今天在某地打工赚窝囊费,然后看朋友最近批量挖cms的弱口令交src,还换了腾讯视频的半年会员,菜鸡表示很羡慕。
然后机缘巧合之下,找到某cms的后台路径和默认账户和密码,准备大干一场。当然那个cms也让我刷了九个弱口令。好了,废话不多说开始今天的主题。
由于本人是第一次遇到这种情况所以发个文章记录一下。
后台进入某cms后,常例查看里面内容,发现在 系统插件 中有口个挂载阿里云oss对象存储的功能,且此功能导致accessKeyId和accessKeySecret完全暴露在外。(此处打码处理)
这完全是一个起飞上云的典型。(懂得都懂)
AccessKey ID和AccessKey Secret 就是打开这扇门的钥匙,通过调用API完成对服务器ECS实例的管理和运维操作。
所以大门敞开,常回家看看啊回家看看…
以阿里云为例,利用cf工具我们将accessKeyId和accessKeySecret填入,便可直接接管控制台
后面不久想干嘛就干嘛了嘛,桀桀桀
© 版权声明
THE END
- 最新
- 最热
只看作者