攻防演练期间由于比较劳累，失误把两篇原本应该发在项目发布号上的项目公告发在了NOP Team 这个公众号上，实在是有些尴尬

在以后每次发布技术文章的时候，都会将项目发布说明带上，说明内容都是一样的，如果有变化，我们会在标题中着重标注出来。这样以后关注我们的朋友想成为合作伙伴也可以及时加入

这篇文章提到的安全风险可能不仅仅是阿里云OSS存在，主要是因为我用阿里云OSS，所以在渗透测试过程中才会发现一些隐藏的安全风险

在红队检测和渗透测试的过程中，遇到文件上传引用分离的云OSS的时候,经常会降低对此漏洞的关注度，或者写一个文件上传html、文件覆盖之类的漏洞。导致错过信息收集的好机会，下面介绍一下这两个安全风险，使用了相关服务的可以自行测试一下是否存在风险。

0x01 文件浏览漏洞

这个风险默认配置应该是不存在的，所以也容易被很多安全测试人员忽略

一般文件浏览漏洞存在于根目录，但是在根目录中会将包含子目录的具体内容显示出来。

“这有什么风险吗？我将资源放到OSS上就是为了共享的”

这是一种常见的论调， OSS 不仅能存储图片，还可以存储 doc， xlsx等，问题在于在进行日常办公、开发和测试的过程中，一些自动化工具可能将存在着敏感信息的图片自动上传到OSS上，还有一些工具也支持上传 doc， xlsx 等

这个风险不仅仅涉及到企业，所有使用了这类服务的人员都可能会涉及这个问题。

使用 FOFA 查了一下，大概有 790 个阿里云OSS存在相关风险

0x02 文件枚举漏洞

这个风险显得更加无脑，也是和个人配置有关

举个简单的例子

我的阿里云OSS配置的默认文件格式是这样的

http://{nopteam}.oss-cn-beijing.aliyuncs.com/2022-08-18-{123123}.png

• {nopteam} 表示用户自己定义的名称
• {123123} 表示6位数字

对于我这种配置比较简单的用户来说，想要枚举文件，只需要想办法搞到上面两个变化的量，配合自定义的后缀就可以进行枚举

{nopteam} 的内容你是可以直接获取到的，不然你也不会去测试OSS，6位随机数可以尝试暴力破解

请求存在的文件情况如下：

请求不存在的文件内容如下：

这里就以枚举 2022年8月18日的png文件为例

这里小范围模拟暴力破解，共发包9000个，在这期间阿里云应该是有一些拦截，短时间卡住2～3次，每次15～30秒，但是并没有封禁IP，最终发现7张图片

0x03 往期文章