![[云OSS存储桶利用]记录一次某众测临时STS列桶利用-附方法,网络安全爱好者中心-神域博客网](https://img.godyu.com/2026/05/20260515121321354.png)
前言
仅供知识学习分享,敏感信息已打码
入口
STS列桶学习文章
mp.weixin.qq.com/s/NYoQ4QUqqWPOb86z2I7vxg?scene=1
其实过程很简单
小程序起手这里其中一个数据包泄露了sts
![图片[1],[云OSS存储桶利用]记录一次某众测临时STS列桶利用-附方法,网络安全爱好者中心-神域博客网](https://img.godyu.com/2026/05/20260515120959758.png?imageView2/0/format/webp/q/75)
这里泄露了临时的accessid和accesskeysecret和securitytoken
用云资产管理工具或OSS管理工具是连不上的
下面通过ossutil64工具列桶 这也是阿里云官方的工具
下载并安装命令行工具ossutil – 对象存储 OSS – 阿里云
ossutil64 config -e oss.aliyuncs.com \ #-e后需自行调整为实际的云oss地址
-i STS.xx #对应上图的AccessKeyId
-k xxx #对应上图的AccessKeySecret
-t XXX #对应上图的SecurityToken
填入上述配置后成功列桶
![图片[2],[云OSS存储桶利用]记录一次某众测临时STS列桶利用-附方法,网络安全爱好者中心-神域博客网](https://img.godyu.com/2026/05/20260515121321354.png?imageView2/0/format/webp/q/75)
统计大小和数量
![图片[3],[云OSS存储桶利用]记录一次某众测临时STS列桶利用-附方法,网络安全爱好者中心-神域博客网](https://img.godyu.com/2026/05/20260515121250426.png?imageView2/0/format/webp/q/75)
cp可下载到本地 下载1-2张证明危害即可
![图片[4],[云OSS存储桶利用]记录一次某众测临时STS列桶利用-附方法,网络安全爱好者中心-神域博客网](https://img.godyu.com/2026/05/20260515121355278.png?imageView2/0/format/webp/q/75)
THE END
![[LitCTF]cha0s-Writeup,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/06/20240602034759133.png)
![[5.20]从抖音信息收集到微信小程序sessionkey泄露伪造登录渗透某edu站,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240520143248539.jpg)
![[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240522095651301.png)
![16676542890655350fff83ca30ff1 - [云OSS存储桶利用]记录一次某众测临时STS列桶利用-附方法](https://godyu.com/wp-content/plugins/zibll_Add_ons/assets/png/16676542890655350fff83ca30ff1.png)
暂无评论内容