阿里云短信接口配置信息利用方式

最近在做渗透测试的时候无意间拿到了阿里云短信发送的配置文件，像这样的

        一般在源码的配置文件中可以翻到，这些参数啥意思可以去网上搜都能找到，我一开始还以为是和云服务器的aksk一样还去试了一下发现不对。在网上找了一下没有相关的利用工具，全都是交你怎么写java代码去实现的，有点麻烦让我这个脚本小子去写想想就心累。

         不过运气不错在网上找到人家写好的源码，我这里就介绍一下怎么个利用方式吧

项目地址：https://github.com/xuxiaofei1996/duanxin

利用

项目结构很简单，先在pom.xml进行maven拖拽一下相关的组件（右键添加为maven项目，如果maven都没有。。。）。然后到configurationinformation.java的文件中找到的这些并将获取到的填入其中。

accessKeyId

accessKeySecret

SignName

TemplateCode

记住这里需要你知道模版的样式！！！能不能利用成功这里很关键

我这里是在源码中找到的他的原始的发送模板

因为他是一个json的格式，必须要每个都对上才请求模版成功

找到了模板然后在veriificationcode.java处73行替换

可以看到我把模板暂时都写死了。

最后在run.java中写入接收的手机号进行测试

然后在run这里运行

成功的接收到了，并且参数还可以修改内容写任何东西都可以，非常有意思。

也算是又会了一种漏洞的验证方式，能验证危害就可以交差了。