Bu geri bildirim mekanizması, bunun basit bir CRUD uygulamasından daha fazlası olduğunu ve bu hizmetin belirtilen adrese bir HTTP isteği yayınlaması gerektiğini fark etmemi sağladı. Onaylamak için bir güdeme işbirlikçisi adresi koydum ve bir isteğin geldiğini gördüm.
Yerel bir bağlantı noktası taraması yapmak için geri bildirim mekanizmasını kullanabildim ve çevrimiçi olarak bir dizi hizmet buldum: SSH, SMTP, DNS ve bağlantı noktası tarafından tanımlayamadığım birkaç kişi. Buradaki etkiyi kanıtlamak için çalışmak için, DuckDuckgo ile yaptığım gibi benzer bir test seti gerçekleştirdim: Yönlendirme ve Gopher davranışını kontrol ettim ve her ikisinin de mevcut olduğunu bulacak kadar şanslıydım.
Artık Gopher’ım vardı, Gopher’da bir SMTP mesajı hazırlayarak ve onu ateşleyerek bazı etkileri kanıtlayabildim. localhost:25 . Tabii ki, birkaç dakika sonra, gelen kutumda yeni bir e -posta geldi.
Sonradan
Bu bulgu için 800 dolar verildim ve bir not aldım. high Bu bulgu için.
Yakın zamanda açılan bir özel programa davet edildim. Hiç bir programa davet edilmediyseniz Sadece Açıldı, o zaman bu “suda kan” duygusunu alacağınızın farkında olmayabilirsiniz: siz Bilmek Ayrıca bir davetiyesi olan tüm bilgisayar korsanlarınız ve arkadaşlarınızın önümüzdeki birkaç saat içinde bu programı yırtmaya başlaması ve düşük asılı meyveleri kaçırmak istemiyorsanız, hızlı olmanız gerekir.
Çekirdek alana bakmamaya karar vererek sürecime başladım, ancak ilginç alt alanlara atladım. Ben koştum sublist3r ve bahsedilen birkaç alt alan keşfetti cms alan adlarında. Deneyimlerime göre, cms Hizmetler birçok problemi olma eğilimindedir ve burası bir göz atmak için harika bir yer olabilir. Bu varlığın ana sayfasında fazla bir şey bulamadım, bu yüzden koştum dirsearch Varlık üzerinde potansiyel olarak ilginç bir şey olup olmadığını görmek için.
Tabii ki, varlığı yaklaşık 15 dakika vurduktan sonra, bir şeyden bahseten bir son nokta buldum user management Bu 302 başka bir uç noktaya olurdu. Bu uç noktanın bazı yönetim sistemi için bir giriş sayfası vardı. Dahası, bu varlıkta bir API’ya atıfta bulunan bazı JavaScript dosyaları vardı.
Keşfettikten sonra qa alt alan Bu Varlık, gözlemsiz JavaScript vardı, API’yi nasıl çağıracağımı ve benim için müsait olan çağrıları anlayabildim. Aramalardan biri adlandırıldı createWebRequest Ve bir tane aldı url Bir Post gövdesinde parametre.
Bu noktada hacklememde bu varlığın AWS’de çalıştığını zaten biliyordum, bu yüzden AWS meta veri IP adresi için bu API son noktasına bir istekte bulunmaya çalışmak için zaman kaybetmedim. Tabii ki, bir hit aldık.
AWS anahtarlarını denediğimde aws cli Müşteri, düzinelerce S3 kovasına, düzinelerce daha fazla EC2 örneğine, redis vb.
Sonradan
Bana 3.000 dolar (maksimum ödeme) ödendi ve rapor bir critical.
Bu benim en son SSRF’nin hikayesi ve bir bakıma bulduğum en eğlenceli SSRF oldu. Davetlediğim bu yeni özel programı hacklemeye başladım. Sorunlar için temel varlığa bakmaya başladım. Bu noktada birkaç depolama XSS buldum ve gerçekten harika bir ruh halinde. Açık bıraktığım Burp İşbirliği örneğine bir göz attığımda dükkanı tamamlamak üzereydim. Gördüğüm şey beni şaşırtacaktı.
Bir kenara: Hackleyeceğim hizmetlere kaydolduğumda yaptığım şeylerden biri, e -postayı incelemek için bir güdümlü işbirlikçisi örneği kullanmam. Bir hizmete hacklemeyi bitirdikten sonra can sıkıcı reklamlarla sahip olduğum e -posta hesaplarını kirletmemem için iyi bir yol ve aynı zamanda gerçeklerden sonra ilginç bir şey olup olmadığını görmeme izin veriyor.
Her neyse, Burp işbirlikçisine baktığımda, bir HTTP isteği aldığını fark ettim. User-Agent Bu, hacklediğim hizmetten bahsetti. Kendi kendime düşündüm: “Yanlışlıkla SSRF’ye karşı savunmasız olabilecek bir özellik keşfettim mi?!”. Bunu nasıl tekrar tetikleyeceğimi anlamaya başladım.
İsteklerin zaman çizelgesini bir araya getirmek, ne olduğunu açıkça açıkladı. Ben vardı Sadece Bu hizmet için bir e -posta ile kaydoldu [email protected] ve saniyeler daha sonra hem SMTP mesajı (e -posta) hem de ana sayfa için HTTP isteği aldı.
Gibi bir e -posta adresi ile tekrar kaydoldum [email protected] 302 davranışa saygı gösterip göstermediğini kontrol edip edemeyeceğimi görmek için. Burp işbirlikçisi örneğimde iletilen isteği aldıktan sonra, Gopher’ın bu talebin Squid Proxy tarafından (muhtemelen dahili ağa erişme girişimlerimi engelleyeceğini engelleyeceğini) fark ettiğim gibi çalıştığını doğrulamak istedim.
Önceki hikayelere benzer şekilde, Gopher protokolünü 302 yönlendirmede kontrol ettim ve dahili hizmetlerle etkileşim kurmak için kullanabildiğimi belirttim. Ne yazık ki, herhangi bir tür geri bildirim yoktu, bu yüzden burada bir bağlantı noktası taraması yapamazdım. Şanslı olup olamayacağımı görmek için yine de bir localhost SMTP mesajı denemeye karar verdim.
Tabii ki, bir mesaj hazırladıktan ve saldırıyı gerçekleştirdikten sonra, gelen kutumda bu SSRF’nin gerçek ve tehlikeli olduğunu kanıtlayan yeni bir e -posta aldım.
Sonradan
Önceki hikayelerin aksine, bu bulgu için henüz para almadım. İyi haber şu ki, raporum bir high Bu yüzden sadece ödeme konusunda son bir kararlılık bekliyorum. Muhtemelen bunun hakkında göndereceğim Twitter’imde (hangisi yapmalısın takip et Henüz yapmadıysanız).
Keşke bu hikayenin ilham aldığını söyleyebilseydim Nahamsec ve Daeken’in SSRF konuşması Defcon’da Ama bunu konuşmalarının serbest bırakılmasından kabaca bir yıl önce bulmuştum. Finansal alanda bir şirket için yeni bir programda hackliyordum. Daha önce hiç görmediğim (veya duymadığım) bir üründü ve analitikte yoğun bir şekilde yer aldı. Özelliklerden biri, resim yüklemenize ve üründeki diğer birkaç özellikte kullanılmak üzere saklamanıza izin verdi.
Tabii ki, burada gerçekleştirmek istediğim testlerden biri “HTML yükleyebilir miyim” ve eğer öyleyse, “HTML harici kaynakları getirirse ne olur”?
Bir HTML dosyası yüklemeyi denedim, ancak hizmetin yüklemeyi reddettiğini buldum. Çok partili yüklemedeki içerik türü hakkında yalan söyleyip yalan söyleyemeyeceğimi görmeye çalıştım. image/jpeg Ve eminim belgeyi iyi yükledim.
Belgenin durumu hakkında size güncellemeler veren bu diğer uç noktaya bir istekte bulunduktan sonra, bir dahili oluşturucu/tarayıcıyı bir talepte bulunmasını tetikler. attacker.com.