正文

• CSRF 是從使用者端請求
• SSRF 就是從伺服器端做請求
• 通常是為了打內網或是內部系統

「通常會在哪裡發現 SSRF 呢？」

舉個例子
http://hack.feifei.com.tw/?url=about
會對後端做一個請求 url 這個參數的值是 about
那他可能會去找是否符合這個請求，如果找不到可能就是 404

http://hack.feifei.com.tw/?url=/etc/passwd
假設試試看讀檔案，如果可以讀到
表示權限未設好，可以任意讀檔

http://hack.feifei.com.tw/?url=https://google.com
如果又成功回傳 google.com 的頁面
就表示我們透過送以上這個請求，而伺服器代替我們送請求給 google.com
也就是說我們是利用受害者的主機送請求

「如果這是一個開在 aws 上的網站呢，我們可以做哪些事情」
查了一下 AWS 的文件─執行個體中繼資料與使用者資料，我們可以找到一些有趣的資料。

• 執行個體中繼資料
  • 關於你現在使用 AWS 並且執行這個網站的個體資料

假設有 SSRF 的漏洞，我們可以訪問 http://169.254.169.254/latest/meta-data/
請伺服器代替我們訪問這個頁面。
IP 地址 169.254.169.254 是 link-local 地址且僅在執行個體中有效

1. 你可以 輸入 http://169.254.169.254/latest/meta-data/iam/security-credentials/
2. 取得 RoleName
3. 輸入 http://169.254.169.254/latest/meta-data/iam/security-credentials/你找到的RoleName
4. 取得 token
5. 利用 PACU - AWS Exploitation Framework進行攻擊