今天主要写的是AccessKeyId，SecretAccessKey泄露

AccessKey（即访问密钥）是云平台用户在通过API访问云资源时用来确认用户身份的凭证，以确保访问者具有相关权限。AccessKey由云平台提供商（如亚马逊AWS、阿里云等）颁发给云主机的所有者，一般由AccessKeyID（访问密钥ID）和Secret Access Key（私有访问密钥）构成。

对网站进行信息搜集的时候，发现存在文件上传漏洞

尝试文件上传的时候，在相应包里面看到泄露了阿里云主机Access Key信息，因为网站比较敏感，找了一个图替代。

在泄露信息里面，找到对应的AccessKey ID、AccessKeySecret 、token，接下来就是接管OSS桶

至此拿下云桶。之前看其他大牛文章都是在js文件里面泄露的信息，文件上传还是第一次遇见，也是在请求包里面看到了阿里云的OSS，才继续尝试了一下

更多阿里云 OSS对象存储攻防参考以下文章。

参考文章：

阿里云 OSS对象存储攻防