SSRF完成利用获取到access_token 获得1000美元

声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。

前言

分享挖到一个SSRF,并完成利用获取到access_token成高危, 1000美元的经历。

正文

最近我的 HackerOne 收到了很多私人邀请项目,因为是保密项目,在这里就叫redacted.com,我选择其中某个域名redacted.com目标进行挖掘。

首先我还是从资产侦察开始,我创建了一套自动化工具来执行我的侦察过程,例如收集子域名-->获取实时主机名-->端口扫描-->获取 waybackurls -->目录暴力破解等等。

自动化工作完成后,我分析了所有数据,基本没什么收获 ,但我很快发现waybackurls 的数据看起来可能存在问题。

waybackurls项目 https://github.com/tomnomnom/waybackurls

使用 gf 模式来获取所有可能易受攻击的 ssrf 端点。

cat waybackurl | gf ssrf

SSRF完成利用获取到access_token 获得1000美元

这里的 __host 字段是从 github 获取某种数据,尝试下测试 ssrf,使用Burpsuite 的burp collaborator 模块测试,放在 __host 字段中并发送请求。

Burpsuite神奇的收到一个HTTP 交互响应。

SSRF完成利用获取到access_token 获得1000美元填写我自己 Apache 服务器域名的JavaScript ,尝试使SSRF-->XSS,XSS钓鱼是可以了,继续Fuzzing一下。

SSRF完成利用获取到access_token 获得1000美元

这时我想到了SSRF-->Amazon EC2 元数据泄露,如果成功,可能就能升级成RCE了,经过很多次测试,在 __host 参数中输入 169.254.169.254 并在 url 添加了/latest/meta-data/iam/security-credentials/。

https://redacted.redacted.com/latest/meta-data/iam/security-credentials/?__host=169.254.169.254&__proto=https

但服务端返回502 BAD Gateway,然后我将 __proto 值更改为 http也是一样。

响应包含:Metadata-Flavour。

SSRF完成利用获取到access_token 获得1000美元

很明显需要添加一个请求头,Metadata-Flavour: Google,这次成功获取AWS 元数据。

SSRF完成利用获取到access_token 获得1000美元

用下面链接来获取令牌(access_token)。

GET /computeMetadata/v1/instance/service-accounts/default/token?__host=169.254.169.254&__proto=htt

SSRF完成利用获取到access_token 获得1000美元

这时就从一个SSRF-->XSS-->升级到获取服务器凭证access_token了。

关于赏金

我报告了该漏洞,随后第二天,他们承认这是一个漏洞,并奖励了我 1000 美元。

SSRF完成利用获取到access_token 获得1000美元

原文始发于微信公众号(BugHunting):SSRF完成利用获取到access_token 获得1000美元

版权声明:admin 发表于 2022年11月14日 上午12:07。
转载请注明:SSRF完成利用获取到access_token 获得1000美元 | CTF导航

相关文章

暂无评论

暂无评论...