阿里云OSS存储桶Bucket 劫持漏洞

fofa搜索语句:product="AliyunOSS" && body="NoSuchBucket"
访问https://xxx.oss-ap-south-1.aliyuncs.com/

发现

<Code>NoSuchBucket</Code>
<HostId>pkdyxxxx.img-cn-hongkong.aliyuncs.com</HostId>
<BucketName>pkdya11sxxxxjcenac2v</BucketName>

前往阿里云https://oss.console.aliyun.com/bucket

image
对应上数据,创建后进入bucket
点击上传文件
image

访问对应的文件https://xxx.oss.xx.aliyuncs.com/1.html
image

(如果没有下载成功,可以去看一下控制面板中的公共访问打开没有。)
image

posted @   LinkPoc  阅读(341)  评论(0编辑  收藏  举报
点击右上角即可分享
微信分享提示