阿里云

Access Key一般会出现在报错信息、调试信息中,具体场景没法说什么情况。本次遇到也是意外收获,因此我在网上也查阅了很多文章,并没发现什么技巧。如果是APP在APK中存放Access Key Web页面/JS文件等 Github查找目标关键字发现Access Key与AccessKey Secret拥有WebShell低权限的情况下搜集阿里云Access Key利用。
阿里OSS 渗透案例
https://www.cnblogs.com/xiaozi/p/11734540.html
阿里云主机accesskey利用工具
https://mp.weixin.qq.com/s?__biz=Mzg2NjQ2NzU3Ng==&mid=2247486213&idx=1&sn=79b00aa958ca39a5e43d336f6d4c12cf&chksm=ce4b2092f93ca984321e951bf9b0a535b6f453e9c2f164322ec945eac403b6c07c792f78ab03&mpshare=1&scene=23&srcid=1221KpnfD49kChOGere6mL5t&sharer_sharetime=1608532587656&sharer_shareid=93e0355b886ed62b41c0d844877d1c1a#rd
下载链接及漏洞文章
项目链接:https://github.com/mrknow001/aliyun-accesskey-Tools
工具下载链接:https://github.com/mrknow001/aliyun-accesskey-Tools/releases/download/1.0/Aliyun-.AK.Tools.exe

记一次阿里云主机泄露Access Key到Getshell
https://www.freebuf.com/articles/web/255717.html