印象笔记 价值 5000$的SSRF 案例分析

渗透技巧 2年前 (2022) admin
576 0 0

Evernote是一款記事軟體,这个漏洞由@neolex师傅发现并提交,目前漏洞官方已修复,已经公开披露了,来看看这个案例吧


https://hackerone.com/reports/1189367

印象笔记 价值  5000$的SSRF  案例分析


打开印象笔记,发现有一个如下 的请求

印象笔记 价值  5000$的SSRF  案例分析


细心的@neolex 师傅发现这里是一个Base64编码字符

印象笔记 价值  5000$的SSRF  案例分析


解码后

印象笔记 价值  5000$的SSRF  案例分析


是一个css文件,立即想到了 SSRF !

把http://169.254.169.254/latest/meta-data   编码成Base64,进行替换,尝试读取AWS EC2 实例元数据,失败了!


经过一段时间的试验和错误,neolex师傅了解到 url/filepath 必须要以 .css 或 .js 结尾的白名单


最终编码成这样去访问:

https://www.evernote.com/ro/aHR0cDovL21ldGFkYXRhLmdvb2dsZS5pbnRlcm5hbC9jb21wdXRlTWV0YWRhdGEvdjFiZXRhMS9pbnN0YW5jZS9zZXJ2aWNlLWFjY291bnRzL2RlZmF1bHQvdG4305ZW48Lmp.js/


Base64解码后的样子(注意这里的#.js):

http://metadata.google.internal/computeMetadata/v1beta1/instance/service-accounts/default/token#.js

#.js 服务器不会对其进行解释,但允许添加扩展,最终通过#.js 绕过了白名单


并且发现SSRF请求来自Google云

由于Evernote基础设施在谷歌云上,SSRF是可以去尝试访问谷歌API来获取token

详细请参考 SSRF in Exchange leads to ROOT access in all instances

印象笔记 价值  5000$的SSRF  案例分析



通过SSRF http://metadata.google.internal/computeMetadata/v1beta1/instance/service-accounts/default/token  也获取到了token

印象笔记 价值  5000$的SSRF  案例分析


把file:///etc/passwd#.js 编码成Base64也可以读取到passwd内容

印象笔记 价值  5000$的SSRF  案例分析


最终获得了5 000$ bounty


印象笔记 价值  5000$的SSRF  案例分析


最后推荐下朋友的星球【BugBounty漏洞赏金自动化】

印象笔记 价值  5000$的SSRF  案例分析


关 注 有 礼



关注本公众号回复“718619
可以免费领取全套网络安全学习教程,安全靶场、面试指南、安全沙龙PPT、代码安全、火眼安全系统等

印象笔记 价值  5000$的SSRF  案例分析 还在等什么?赶紧点击下方名片关注学习吧!


原文始发于微信公众号(渗透测试网络安全):印象笔记 价值 5000$的SSRF 案例分析

版权声明:admin 发表于 2022年4月3日 下午7:13。
转载请注明:印象笔记 价值 5000$的SSRF 案例分析 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...