【奇技淫巧】五分钟教你挖掘AK/SK泄露漏洞
2022-10-18 00:5:37 Author: 戟星安全实验室(查看原文) 阅读量:272 收藏

戟星安全实验室

    忆享科技旗下高端的网络安全攻防服务团队.安服内容包括渗透测试、代码审计、应急响应、漏洞研究、威胁情报、安全运维、攻防演练等

本文约1255字,33图,阅读约需5分钟。

前言

项目中各厂商越来越趋势于使用云存储,云管理。

漏洞介绍

AK/SK(Access Key ID/Secret Access Key)即访问密钥,包含访问密钥ID(AK)和秘密访问密钥(SK)两部分,公有云通过AK识别用户的身份,通过SK对请求数据进行签名验证,用于确保请求的机密性、完整性和请求者身份的正确性。简单来说,云AK/SK是用于生成用户跟云平台的API通信的访问凭据。其中SK是必须要保密的,不能通过任何途径泄露,否则就会产生安全问题。

使用Trufflehog插件发现AK/SK

访问一个网站,若存在AK/SKtrufflehog就会弹窗提示,我本次没有弹窗,在trufflehog插件的findings查看。

下载js,优化格式查看,ak、sk、Bucket均有

腾讯oss网页版登陆测试,成功访问

登录进去可以看到里面的存储文件

若网站采用异步加载,该方法也是有效的。

利用Trufflehog扫描

首先将整个网页下载本地,放入一个文件夹中

使用trufflehog常规扫描:./trufflehog filesystem --directory=./sit

通过所在的js文件,搜索泄露的AK/SK找到具体位置

使用OSS浏览器配置AK/SK信息,选择区域

然后就可以浏览所有的文件了

ps:若网站采用异步加载,该方法无效。

利用Packer  Fuzzer 扫描

packer fuzzer直接扫描

python3 PackerFuzzer.py -u url -l zh -t adv

没有扫描出来
ps:若网站采用异步加载,该方法无效。

代理到burp保存后扫描

保存全部流量请求,注意不要勾选base64
手动可以查找出AK/SK的,也就是说保存的txt文件中是有的
测试一下工具能不能发现,linux和windows都没扫出来,shodankey是浏览器插件的免费key没啥用
若工具查找不到,可以使用正则:SecretId:".*?",
网站采用异步加载,该方法是可以查找的(正则匹配)

工具推荐

trufflehog:https://github.com/trufflesecurity/trufflehog
Packer-Fuzzer:https://github.com/rtcatc/Packer-Fuzzer
oss-browser:https://github.com/aliyun/oss-browser

声明

    由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,戟星安全实验室及文章作者不为此承担任何责任。

    戟星安全实验室拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经戟星安全实验室允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。

戟星安全实验室

# 长按二维码 关注我们 #


文章来源: http://mp.weixin.qq.com/s?__biz=MzkzMDMwNzk2Ng==&mid=2247502699&idx=1&sn=d3d63289d08439f90004eb80b4918c94&chksm=c27ec17af509486c2da4b4bae8a8438be7ef97569f6db20f646d12434b2fd55c8e23f18ec1ce#rd
如有侵权请联系:admin#unsafe.sh