在这两天的攻防中也是运气爆棚,碰到了两个aksk泄露的案例公号也好久没更新了,拿出来分享一下
1.先看第一个,是在js文件中泄露的
在打点的过程,网站的流量走向bp,然后,bp被动过滤出accesskey这个关键字
再去查看是否加密了,如果没加密的话就属于直接捡漏了
然后就直接用工具梭哈了,虽然后台会有告警,但谁让脚本小子啥也不怕
使用cf和oss浏览器直接连接:
然后发现只有存储桶的权限
有三个大桶子
简单看了一下
东西还挺多
随便打开几个可以看到是内部的保险单和审批单还有项目设计图等敏感文件
2.
第二个,是在一个spring boot里边发现的
在/env 会直接泄露环境变量、内网地址、配置中的用户名等信息
这个在env中找到了accesskeyid 但是发现accesskeysecret是*
在看到带*的值后,我们得想着如何获取到这些敏感信息。
(1). /jolokia、/actuator/jolokia可以通过/jolokia/list接口寻找可以利用的MBean,获得星号遮掩的信息
尝试了下无果
(2). 通过heapdump文件
下载到本地,先用heapdump_tool.jar分析一下
等待片刻,然后使用搜索查找accesskey
没找到,hhhhh
找了几个文章参考了一下,发现可以使用jdk环境中bin目录下的工具jvisualvm.exe(JVM性能调优监控工具)
打开这个exe,点击文件,装入
装入刚才的heapdump
在下边的类中搜索关键字accesskey,有时候也会有一些password泄露,但可能都是内网的
进入到实例数这查看,可以看到直接明文展示出来了
ak,sk,signname,然后就是梭哈
这个还有个云主机可以接管看看,
看到这玩意果真会告警,但没办法,谁让脚本小子只会工具啊
湘安无事团队 知识星球 一次付费,永久免费,享受两大内部群+星球双重福利(付费之后会拉入内部成员群,直接免费续上)。有需要的直接添加上面微信 118永久,私我支付,直接拉内部成员群,扫码支付,三天后拉内部成员群。
内部群共享
1.fofa高级会员账号
2.360quake高级会员
3.某在线高级会员靶场账号(附带wp)
4.专属内部漏洞库(持续更新)
5.原创漏洞挖掘报告
6.it课表众多好课(持续更新,内容涉及安全+开发等)
7.在线答疑,不定期直播技术分享【湘南第一深情、wuli等】
星球介绍:
星球针对安全新人有优秀学习资源,星球专属嘉宾进行问题解答,
性价比很高。
如果你是入门不久,想要提升漏洞挖掘能力,那该星球是个不错的选择,星球内拥有
专属漏洞报告,
各种奇淫技巧、挖洞技术、专属嘉宾在线问答等。
欢迎您的加入,星球部分内容请你查看!!
星球内容介绍
星球内部提供众多好课
安全类:web安全、内网、src挖掘、kail、逆向、游戏漏洞挖掘、免杀等
开发类:python安全开发、java、Golang、php等开发课程
专栏提供内部漏洞库
专栏内容预览
扫码查看更多内容
由于传播、利用本公众号NGC660安全实验室所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号NGC600安全实验室及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
文章引用微信公众号"WK安全",如有侵权,请联系管理员删除!
