#平台Secquan
#作者:某匿名小伙伴
1、找到一个上传文件处的地方进行burp抓包
上传文件请求包如下
返回包如下
可以看到直接返回了一个accesskey和accesspwd,通过观察返回包发现OSS字样,猜测上传的图片存放在OSS上面,前面的accesskey和accesspwd就是OSS的AccessKeyId和AccessKeySecret,后面还有个bucket字段
所以这里打开OSS Browser进行相应的泄露信息的利用
总结:
需要利用到的条件有四个:
1、AccessKeyId OSS账号
2、AccessKeySecret OSS密码
3、bucket OSS路径
4、区域名称