文章总结: OSSFileBrowse是一款存储桶遍历漏洞利用工具,基于JavaFX开发并集成kkFileView实现文件在线预览。它解决渗透测试中列出存储桶文件后无法直接预览的问题,支持阿里云OSS、AWSS3、腾讯云COS等主流云存储。工具提供GUI和命令行模式,可一键加载资源、上下翻页浏览,并支持文件类型过滤,用于向甲方直观证明漏洞危害。 综合评分: 75 文章分类: 渗透测试,红队,内网渗透,安全工具
OSSFileBrowse丨存储桶遍历漏洞利用工具
原创
予辉安全 予辉安全
予辉安全
2026年7月8日 18:00 河北
在小说阅读器读本章
去阅读
-前言-
在针对阿里云OSS、AWS S3、腾讯云COS等对象存储服务进行渗透测试时,你是不是经常遇到这种情况:
- 📂 文件列表有了:通过目录遍历或权限配置错误,成功列出了存储桶的所有文件
- 📥 但只能下载,无法预览:直接访问文件URL会触发下载,不能在线查看内容
- 📋 甲方要“危害证明”:光说“我能看到文件列表”不够,对方要看具体能看到什么敏感内容
- 🔄 文件太多,手工查看效率低:成百上千个文件,总不能一个一个下载下来再打开看
-工具简介-
OSSFileBrowse是一款存储桶遍历漏洞利用工具,基于JavaFX开发图形界面,并集成kkFileView实现文件在线预览功能。
核心定位:加载存储桶全部资源 → 通过kkFileView渲染预览 → 用按钮上下翻页浏览 → 向甲方直观证明漏洞危害。
两种运行模式:
- GUI模式:图形化界面,可视化展示文件列表和预览内容
- 命令行模式:无界面环境下的快速利用
-核心功能-
📂 一键加载存储桶全部资源
点击“加载”按钮,工具自动爬取存储桶上的全部文件资源,支持:
- 阿里云OSS、AWS S3、腾讯云COS等主流云存储
- 遍历后以TreeView树形结构展示文件目录
- 等待几秒后,左侧WebView将通过kkFileView渲染预览文件
🔄 上下翻页浏览
加载完成后,通过“下一个”和“上一个”按钮即可在文件中顺序浏览:
- 下一个:切换到下一个文件资源
- 上一个:返回到上一个文件资源
📄 可定制的文件类型过滤
config.properties配置文件中:
allow.extensions:指定允许预览的文件后缀,值为null时可加载所有文件kkFileView_URL:可修改为自建的kkFileView地址,默认使用官方地址
🖥️ 直观的图形化界面
左侧目录树展示文件层级结构,右侧WebView实时预览文件内容。即使存储桶上有中文文件名,也能正常显示,若显示乱码则提示漏洞不存在。
-工具获取-
后台回复:20260708
End
文章都看完了
回顾往期内容
PScan丨FScan内网渗透扫描器魔改版
API-Explorer丨API密钥图形化工具
K8sPenTool | Kubernetes渗透测试一站式GUI工具
SQL注入靶场显错注入(一)
Sunny网络中间件
JAVA代码审计:鉴权漏洞深度分析
你不知道的表网、深网与暗网世界
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:予辉安全 予辉安全 予辉安全《OSSFileBrowse丨存储桶遍历漏洞利用工具》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。











评论