iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 22
1
Security

Web Security 魔法使攻略系列 第 22

Web Security 魔法使攻略─SSRF

正文

  • CSRF 是從使用者端請求
  • SSRF 就是從伺服器端做請求
  • 通常是為了打內網或是內部系統

「通常會在哪裡發現 SSRF 呢?」

舉個例子
http://hack.feifei.com.tw/?url=about
會對後端做一個請求 url 這個參數的值是 about
那他可能會去找是否符合這個請求,如果找不到可能就是 404

http://hack.feifei.com.tw/?url=/etc/passwd
假設試試看讀檔案,如果可以讀到
表示權限未設好,可以任意讀檔

http://hack.feifei.com.tw/?url=https://google.com
如果又成功回傳 google.com 的頁面
就表示我們透過送以上這個請求,而伺服器代替我們送請求給 google.com
也就是說我們是利用受害者的主機送請求

「如果這是一個開在 aws 上的網站呢,我們可以做哪些事情」
查了一下 AWS 的文件─執行個體中繼資料與使用者資料,我們可以找到一些有趣的資料。

  • 執行個體中繼資料
    • 關於你現在使用 AWS 並且執行這個網站的個體資料

假設有 SSRF 的漏洞,我們可以訪問 http://169.254.169.254/latest/meta-data/
請伺服器代替我們訪問這個頁面。
IP 地址 169.254.169.254 是 link-local 地址且僅在執行個體中有效

  1. 你可以 輸入 http://169.254.169.254/latest/meta-data/iam/security-credentials/
  2. 取得 RoleName
  3. 輸入 http://169.254.169.254/latest/meta-data/iam/security-credentials/你找到的RoleName
  4. 取得 token
  5. 利用 PACU - AWS Exploitation Framework進行攻擊

上一篇
Web Security 魔法使攻略─ Template Injection
下一篇
Web Security 魔法使攻略─不安全的 API
系列文
Web Security 魔法使攻略30

尚未有邦友留言

立即登入留言