阿里云OSS存储桶Bucket 劫持漏洞
fofa搜索语句:product="AliyunOSS" && body="NoSuchBucket"
访问https://xxx.oss-ap-south-1.aliyuncs.com/
发现
<Code>NoSuchBucket</Code>
<HostId>pkdyxxxx.img-cn-hongkong.aliyuncs.com</HostId>
<BucketName>pkdya11sxxxxjcenac2v</BucketName>
前往阿里云https://oss.console.aliyun.com/bucket
对应上数据,创建后进入bucket
点击上传文件
访问对应的文件https://xxx.oss.xx.aliyuncs.com/1.html
(如果没有下载成功,可以去看一下控制面板中的公共访问打开没有。)
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步