文章总结： 本文讲述了一次真实的云存储桶渗透测试案例。作者通过扫描发现某项目阿里云OSS存在公共读配置错误，意外获取了其他安全团队遗留的完整漏洞报告，并进一步发现该存储桶支持任意文件上传。文章强调云安全与传统Web渗透的差异，指出云资产配置错误、权限过大、敏感文件乱放和缺乏监控是主要风险，建议安全人员拓展云资产收集视野，掌握AK/SK利用、容器逃逸等云安全技能。 综合评分： 72 文章分类： SRC活动,云安全,实战经验,渗透测试,安全运营

【SRC实战】云存储桶实战

迪哥讲事

2026年2月10日 09:01 四川

以下文章来源于隐雾安全 ，作者隐雾安全

隐雾安全 .

隐雾，为您提供职业成功的关键。

📝 编者语

俗话说得好：

高端的黑客，往往采用最朴素的渗透方式。

咱们平时挖洞，又是扫描又是爆破，累死累活毛都没有。但有时候，运气来了挡都挡不住。

今天不讲复杂的原理，带大家“沉浸式吃瓜*。看看我是如何“捡漏”的。

(注：本文所有敏感信息已脱敏，仅供安全研究与教学交流，请勿用于非法用途。)

1

一个云端“捡漏”的故事

做安全这行，你永远不知道下一个漏洞会以什么离谱的方式出现。

平时挖洞，习惯了死磕 SQL 注入、XSS，或者对着只有登录框的后台发呆。

在这个“云原生”遍地走的时代，想要单车变摩托，就要换思路。

最近在对某项目进行资产收集时，我并没有像常规那样去扫端口，而是把目光瞄准了目标的云资产——阿里云OSS。

本来只是想看看有没有泄露什么身份证、发票之类的敏感图片，结果扫着扫着，我发现了一个公共读的 Bucket。

进去一看文件列表，我直乎好家伙！

2

螳螂捕蝉，黄雀在后

在小小的花园里面挖呀挖呀挖。有一个文件名瞬间击穿了我的心理防线：

尼玛遇到同行了！

当时我的内心是复杂的：

• 惊喜：这不就是传说中的“藏宝图”吗？
• 犹豫：这么干同行要不要吃瓜落啊！

最后还是理智战胜了欲望，正义必胜，

抱着求知（吃瓜）的心态，我下载并打开了这份文件。

那家厂商测的，我不说，反正logo挺眼熟，挺护眼的的。

报告里详细记录了目标系统存在的各种高危漏洞；

包括并不限于：

弱口令

未授权

敏感信息泄露

原本我可能挖一周也不会出一个洞，现在这位“前辈”已经帮我把活儿全干完了，还贴心地整理成了文档送给我，我愿意称呼他为“网安好人”。

3

吃完你的，吃你的

好人大哥给我提供了，意外之喜但我自己也不能闲着啊，守株待兔是行不通的，咋们自己也得挖啊，既然这个OSS，防护不严那会不会还有其他漏洞呢，果不其然，让我发现了它还可以任意文件上传。

为了让自己距离大佬再近了一步，咱们就不得不分析一下漏洞成因了。

这属于典型的 云存储配置错误。

1. 权限过大：开发人员或运维为了图方便，将 OSS Bucket 的权限设置为了”Public Read”甚至 “Public Read/Write”。
2. 敏感文件乱放：安全服务商或者乙方的安服人员，在做完测试后，可能为了方便传输文件，随手把报告传到了云盘上，结果忘了删。
3. 缺乏监控：企业根本不知道自己的云资产在互联网上是在“裸奔”。

4

总结与思考

这个案例其实技术含量并不高，甚至可以说全是“运气”。写出来也只是为了给大家提个醒。

以前我们挖洞盯着Web，现在我们必须盯着云。

很多传统的Web渗透高手，遇到云环境往往会“水土不服”。因为云安全的逻辑和传统 Web 完全不同：

• 你也可能扫不到任何端口，但一个 AK/SK 泄露就能接管整个云控制台。
• 你也可能进不去后台，但一个 OSS 配置错误 就能让你拿到所有数据。

我自己总结了几点经验：

1. 不要只盯着 Web：把视野打开，资产收集时多关注云资产（OSS、COS、Docker 等）。
2. 补齐云安全技能：AK/SK 利用、容器逃逸、K8s 提权，这些都是必考题了。
3. 保持敏锐：很多时候，高危漏洞不是“挖”出来的，而是通过对业务逻辑和架构的理解“推”出来的。

如果你是一个长期主义者，欢迎加入我的知识星球，本星球日日更新,包含号主大量一线实战,全网独一无二，微信识别二维码付费即可加入，如不满意，72 小时内可在 App 内无条件自助退款

往期回顾

#

如何利用ai辅助挖漏洞

#

如何在移动端抓包-下

#

如何绕过签名校验

#

一款bp神器

挖掘有回显ssrf的隐藏payload

ssrf绕过新思路

一个辅助测试ssrf的工具

dom-xss精选文章

年度精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips‍

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：迪哥讲事 《【SRC实战】云存储桶实战》