hackerone漏洞挖掘之云存储任意文件上传

在挖掘hackerone的项目时，发现了一个公开的S3列表。使用了ARL和fofa收集资产，在挖掘此类的云安全漏洞的时候，可以重点关注一些子域名前缀。快速辨别它是否存在公开访问的一个情况

此处是它上传自身图片的地方，删除文件名就出来了

测试流程 在网站的图片处鼠标右键，复制图片路径，然后访问，删除文件名，访问根目录

本来这个是不算的，即使通过也只有低危，然后就看别的资产去了，后来实在搞不动就回来再继续碰碰运气。想到有些文件使用了PUT上传，那么是否存在在本地使用PUT也可以直接上传到服务器并可以上传任何文件格式的文件呢？

使用PUT协议测试该存储桶是否存在任意文件上传

上传，访问，成功

漏洞最终变为Files can be uploaded arbitrarily through PUT and exist in publicly listed S3 buckets

这篇开个原创啰嗦一些。

所使用的工具链如下

在子域名的收集方面我使用了ARL+fofa，辅助上使用reNgine作为辅助的漏扫，基本上能覆盖全资产。后续也就是一个个看，拿httpx扫描完存活后，一个个手动去筛选，虽然能做到不遗漏，但是效率太差，其他的扫描工具也扫描不出漏洞。在挖掘h1的时候，对资产点还是使用BP+dirsearch出洞的几率要大很多。

总结一下，还是要收集全面的子域名，才能捞到一两个高危漏洞。