文章总结： 文章复盘学员利用对象存储配置失误拿下3000赏金：先以GET探测目录泄露，再用PUT上传123.txt得200OK证实匿名写权限，随后DELETE该文件返回404确认可删，总结云资产必须闭环验证读、写、删、配置四步，附赠微信答疑。 综合评分： 86 文章分类： SRC活动,云安全,漏洞分析,渗透测试,实战经验

【项目实战】我能挖到是因为它全开了

原创

隐雾安全 隐雾安全

隐雾安全

2026年1月22日 09:02 四川

📝 编者语

本文是 [隐雾SRC]学员的实战项目复盘，学员通过此漏洞成功拿下3000项目赏金。

你不是没扫到资产，而是扫到了不会判断“它能不能写、能不能删、能不能列目录”。

这次就是典型：一个看起来“只能下载”的资源域名，最终却验证出了多个高风险漏洞。

(注：本文所有敏感信息已脱敏，仅供安全研究与教学交流，请勿用于非法用途。)

1

为什么你总是漏掉对象存储的漏洞？

很多人在挖掘 SRC 或做红队项目时，经常遇到这类特征的资产：

域名长得像云服务：比如包含oss、s3、cdn、static、img等关键字（如oss-cn-beijing.aliyuncs.com或static.target.com）。

页面长得像报错：浏览器打开后，不是正常的网页，而是一大串 XML 格式的代码（通常标签里 或 ）。

面对这种站点，新手下意识的反应往往是：

• “害，这就一静态图片服务器，没得搞。”
• “这是 CDN 节点，没东西可挖。”
• “只能读，不能写，下一个。”

这其实是最大的误区。

2

失败自测：你是不是卡在这 3 个坑里？

在进入正题前，先做个快速自测。当你遇到类似 oss-cn-xxx.aliyuncs.com 或自建S3接口时，你的测试流程是怎样的？

• 坑位A： 只在浏览器里访问一下，看到AccessDenied 就走了。
• 坑位 B： 只会用目录扫描工具跑，完全忽略了 HTTP 方法（Method）的测试。
• 坑位 C： 看到能列目录就提交了，从未验证过“能不能写”或“能不能删”。

如果你中了B或C，恭喜你，你可能亲手扔掉过高危漏洞。

3

实战复盘：从信息泄露到破坏性攻击

第一步：打破“静态”假象

当我们访问目标站点的某个目录时，服务器返回了如下的 XML 响应：

【关键点分析】

很多新手看到这个界面就关了。但请注意，这里虽然没有直接列出文件名，但它暴露了Bucket的元数据结构。

在实战中，只要配置稍有不当（如 ListBucket 权限开启），这里就会直接把所有文件名（Key）列出来，导致敏感信息泄露。

排查动作：哪怕看到报错，也要尝试移除文件名，只访问根目录或子目录，观察响应是否会变为Key 列表。

第二步：核心突破——HTTP方法测试

这是拉开差距的一步。大多数人止步于“看”，而高危漏洞往往藏在“改”里。

我尝试将 HTTP 请求方法从 GET 改为 PUT，并构造了一个测试文件 /123.txt。

结果：服务器返回200 OK。

这意味着什么？意味着匿名用户/未授权用户拥有PutObject权限。为了验证是否真的上传成功，我们紧接着访问这个文件：

结论：任意文件上传成立。攻击者可以利用这个漏洞上传钓鱼页面、黑页，甚至在某些特定条件下配合其他漏洞 GetShell。

第三步：危害升级——任意文件删

既然能写，那能不能删？

在云安全模型中，DeleteObject 权限往往和 PutObject 是分开配置的，但一旦这两个都开了，危害等级直线上升。

我们尝试发送 DELETE请求：

随后再次访问该文件，显示 404，证明文件已被物理删除。

危害总结： 这不再仅仅是上传漏洞，而是破坏性漏洞。攻击者可以清空整个Bucket 的业务数据，造成不可逆的业务中断。

4

总结：云资产的“最小闭环验证”

不要相信你的眼睛（看着像静态），要相信你的测试包。

以后遇到类似资产，请严格执行这套作业程序：

1. 测读取 (GET)：能不能列目录？能不能下载敏感文件？
2. 测写入 (PUT)：构造一个随机命名的 .txt 文件，看能不能上传成功。
3. 测删除 (DELETE)：（慎用！）仅对自己上传的测试文件进行删除验证，严禁删除业务文件。
4. 测配置 (OPTIONS)：查看 CORS 和允许的方法。

5

如果你还是搞不定…

如果你看完文章，还是：

分不清什么是对象存储，什么是普通 Web 服务； 抓包修改了 Method，但不知道回包代表什么意思； 手里有一个疑似的云存储 IP/域名，不敢确定的；

做一件事：

1. 把你卡住的那一步（请求包+响应包）截图。

2. 添加我的微信，备注【云安全】。

3. 把截图发我，并附上一句话：“我的目标是XX，测了 XX 方法，卡在这里了。”

我我会告诉你：这是误报，还是应该继续挖。

!

微信号丨Hiddenfog001

往期内容

通用0day挖掘思路

某大厂勒索病毒处置流程外泄

今年大一，不小心黑进学校的迎新系统怎么办

英雄联盟租号平台getshell

记一次色情APP的渗透过程

课程推荐

隐雾SRC第八期全面升级

零基础就业班-三包模式

只要98，JS逆向带回家！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：隐雾安全 隐雾安全 隐雾安全《【项目实战】我能挖到是因为它全开了》