Bucket 接管

假如在进行渗透时，发现目标的一个子域显示如下内容

通过 cname 记录，可以判断出这是一个 Amazon 的 S3，而且页面显示 NoSuchBucket，说明这个 Bucket 可以接管的，同时 Bucket 的名称在页面中也告诉了我们，为 test.teamssix.com

那么我们就直接在 AWS 控制台里创建一个名称为 test.teamssix.com 的 Bucket 就可以接管了

创建完 Bucket 后，再次访问发现就显示 AccessDenied 了，说明该 Bucket 已经被我们接管了。

将该 Bucket 设置为公开，并上传个文件试试

在该子域名下访问这个 test.txt 文件

可以看到通过接管 Bucket 成功接管了这个子域名的权限

2 Comments Powered by GitHub & Vssue

Comments per page

< Page 1 / 1 >

Asura88 2022-04-16 14:41:03

查询 cname 记录

mannix@MannixdeMacBook-Pro-2 ~ % nslookup -qt=cname www.baidu.com

*** Invalid option: qt=cname
Server:		114.114.114.114
Address:	114.114.114.114#53

Non-authoritative answer:
www.baidu.com	canonical name = www.a.shifen.com.
Name:	www.a.shifen.com
Address: 110.242.68.4
Name:	www.a.shifen.com
Address: 110.242.68.3

mannix@MannixdeMacBook-Pro-2 ~ % dig www.baidu.com

; <<>> DiG 9.10.6 <<>> www.baidu.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17768
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;www.baidu.com.			IN	A

;; ANSWER SECTION:
www.baidu.com.		847	IN	CNAME	www.a.shifen.com.
www.a.shifen.com.	124	IN	A	110.242.68.4
www.a.shifen.com.	124	IN	A	110.242.68.3

;; Query time: 55 msec
;; SERVER: 114.114.114.114#53(114.114.114.114)
;; WHEN: Sun Apr 17 01:31:57 CST 2022
;; MSG SIZE  rcvd: 101

0 2 0

Asura88 2022-04-16 15:43:44

在腾讯云的对象存储中，我们无法造成以上的操作，因为在腾讯云的对象存储域名中，有一个APPID，这个APPID来自我们的账户信息中

0 1 0

Bucket 爆破 S3 任意文件上传