文章总结: 本文详细介绍了如何通过信息收集发现阿里云临时安全凭证STS泄露,并利用该凭证操作OSS桶。作者使用fofa语法获取资产,发现登录框后测试接口,最终在/api路径下获取AK/SK及临时STS凭证。利用阿里云CLI工具配置凭证后,可执行列出、上传、删除桶文件等操作,具有较高危害性。文章还提到可通过登录框特征进行测绘,寻找通用资产。 综合评分: 83 文章分类: 渗透测试,漏洞分析,云安全,红队,安全工具
阿里云临时安全凭证STS利用
迪哥讲事
2026年6月30日 11:00 江苏
在小说阅读器读本章
去阅读
以下文章来源于陌笙不太懂安全 ,作者陌笙
陌笙不太懂安全 .
web安全知识分享,渗透测试,SRC,CTF,等优质内容分享学习!
免责声明
由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号陌笙不太懂安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉,谢谢!
前言
快暑假了,有没有师傅公司,缺实习生的,求内推,缺人的师傅可以,私我,呜呜呜。
信息收集
这里很常规的一种获取资产的方法
直接把学校的名字,域名啥的,组合成语法,像这样,丢到fofa里面
(title=”xxx” || domain=”xxx” || host=”xxx”)&&status_code=200
拿到资产后,无影探活,对存活的资产进行挖掘就行
我这里发现了这个登录框
这种连图形验证码,都没有的登录框是最好挖的
至少可以爆一手,弱口令
登录框的常见测试手法
这里不存在用户枚举,猜一手,admin/test用户应该存在
直接固定用户爆破密码top9000,没啥效果
然后固定密码123456爆破常见用户,也没有突破
后台有点不太好进,重点看看接口
接口数量挺多的,get方式/post方式都使用burp跑一跑,这里要先对接口进行简单处理比如有id参数,的替换为具体的数值
出了很多数据,但是不是啥敏感信息
因为有很多list接口,构造这种参数跑一手
也没啥敏感信息
对接口进行观察,发现有些接口是/api开头的,推测他是二级路由
拼接/api再次测试接口,终于出东西了
使用yakit进行查看
可以看到泄露了ak/sk以及临时sts
具体解释
在阿里云的身份与访问管理体系中,STS(Security Token Service,安全令牌服务)提供了一套基于临时凭证的身份认证与授权解决方案。开发人员通过调用STS服务接口(如 AssumeRole),可获取一组由 AccessKeyId``AccessKeySecret 及 SecurityToken 三部分构成的临时安全凭证。
该凭证的有效期由 Expiration 字段明确定义,过期后系统将自动拒绝所有携带该凭证的API请求。这一机制的核心价值在于:将长期有效的静态密钥替换为动态生成的临时凭证,从而有效规避因密钥管理不善或意外泄露所引发的安全风险。同时,临时凭证的权限范围严格受限于其所绑定的RAM角色(RAM Role)策略,确保每次授权均遵循最小权限原则,满足企业级安全合规要求。
在典型应用场景中,该机制广泛适用于第三方临时授权、跨账号资源访问,以及移动应用或Web前端的云端资源直传等业务需求。
这种东西虽然有危害但是直接交上去是不收的
深入利用一下
直接使用这个工具
来进行操作
使用这条命令进行配置token以及region,region配置cn-beijing
(cn-beijing,现在漏洞已经修复了,所以没图,之前在js里面,能看到一个桶的地址,然后地区是这个,操作的时候,我直接使用这个地区,确实也可以,如果不可以的话,直接把这个丢给ai,让个给你fuzz可用的地区)
命令
.\aliyun configure –mode StsToken
输入这个命令会让你输入ak/sk然后输入地区
输入之后如果凭证没过期且有权限,就可以操作桶了,如果权限够大,可以操作ets等其他内容,我这里只能操作桶
使用这条命令列出这个区域的所有桶
.\aliyun oss ls
.\aliyun oss ls oss://xxx-img --region cn-beijing
这条命令是列出所有该桶里面的所有文件
这条命令可以进行上传,如果文件存在,我们可以选择是否覆盖
.\aliyun oss cp oss://xxxx/test.txt ./test.txt --region cn-beijing
.\aliyun oss rm oss://xx/test.txt --region cn-beijing
这条命令可以对桶里面的文件进行删除,不再演示,危害已经足够了
这个利用是最简单的,还有很多命令,师傅们可以自行了解,
打完之后,利用登录框的特征,可以进行测绘,看看是不是通用的
如果是通用的,就可以继续打很多资产。
如果你是一个长期主义者,欢迎加入我的知识星球,本星球日日更新,包含号主大量一线实战,全网独一无二,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款
往期回顾
#
如何利用ai辅助挖漏洞
#
如何在移动端抓包-下
#
如何绕过签名校验
#
一款bp神器
挖掘有回显ssrf的隐藏payload
ssrf绕过新思路
一个辅助测试ssrf的工具
dom-xss精选文章
年度精选文章
Nuclei权威指南-如何躺赚
漏洞赏金猎人系列-如何测试设置功能IV
漏洞赏金猎人系列-如何测试注册功能以及相关Tips
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:迪哥讲事 《阿里云临时安全凭证STS利用》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论