OSSFileBrowse丨存储桶遍历漏洞利用工具

admin 2026-07-13 05:13:56 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: OSSFileBrowse是一款存储桶遍历漏洞利用工具,基于JavaFX开发并集成kkFileView实现文件在线预览。它解决渗透测试中列出存储桶文件后无法直接预览的问题,支持阿里云OSS、AWSS3、腾讯云COS等主流云存储。工具提供GUI和命令行模式,可一键加载资源、上下翻页浏览,并支持文件类型过滤,用于向甲方直观证明漏洞危害。 综合评分: 75 文章分类: 渗透测试,红队,内网渗透,安全工具


cover_image

OSSFileBrowse丨存储桶遍历漏洞利用工具

原创

予辉安全 予辉安全

予辉安全

2026年7月8日 18:00 河北

在小说阅读器读本章

去阅读

-前言-


在针对阿里云OSS、AWS S3、腾讯云COS等对象存储服务进行渗透测试时,你是不是经常遇到这种情况:

  • 📂 文件列表有了:通过目录遍历或权限配置错误,成功列出了存储桶的所有文件
  • 📥 但只能下载,无法预览:直接访问文件URL会触发下载,不能在线查看内容
  • 📋 甲方要“危害证明”:光说“我能看到文件列表”不够,对方要看具体能看到什么敏感内容
  • 🔄 文件太多,手工查看效率低:成百上千个文件,总不能一个一个下载下来再打开看

-工具简介-


OSSFileBrowse是一款存储桶遍历漏洞利用工具,基于JavaFX开发图形界面,并集成kkFileView实现文件在线预览功能。

核心定位:加载存储桶全部资源 → 通过kkFileView渲染预览 → 用按钮上下翻页浏览 → 向甲方直观证明漏洞危害。

两种运行模式

  • GUI模式:图形化界面,可视化展示文件列表和预览内容
  • 命令行模式:无界面环境下的快速利用

-核心功能-


📂 一键加载存储桶全部资源

点击“加载”按钮,工具自动爬取存储桶上的全部文件资源,支持:

  • 阿里云OSS、AWS S3、腾讯云COS等主流云存储
  • 遍历后以TreeView树形结构展示文件目录
  • 等待几秒后,左侧WebView将通过kkFileView渲染预览文件

🔄 上下翻页浏览

加载完成后,通过“下一个”和“上一个”按钮即可在文件中顺序浏览:

  • 下一个:切换到下一个文件资源
  • 上一个:返回到上一个文件资源

📄 可定制的文件类型过滤

config.properties配置文件中:

  • allow.extensions:指定允许预览的文件后缀,值为null时可加载所有文件
  • kkFileView_URL:可修改为自建的kkFileView地址,默认使用官方地址

🖥️ 直观的图形化界面

左侧目录树展示文件层级结构,右侧WebView实时预览文件内容。即使存储桶上有中文文件名,也能正常显示,若显示乱码则提示漏洞不存在。

-工具获取-


后台回复:20260708

End

文章都看完了

回顾往期内容

PScan丨FScan内网渗透扫描器魔改版

API-Explorer丨API密钥图形化工具

K8sPenTool | Kubernetes渗透测试一站式GUI工具

SQL注入靶场显错注入(一)

Sunny网络中间件

JAVA代码审计:鉴权漏洞深度分析

你不知道的表网、深网与暗网世界


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:予辉安全 予辉安全 予辉安全《OSSFileBrowse丨存储桶遍历漏洞利用工具》

评论:0   参与:  0