Hello there, ('ω')ノ

 

SSRF は、AWS メタデータへのアクセスにつながるを。

 

脆弱性：

　SSRF

 

記事：

　https://infosecwriteups.com/ssrf-leads-to-access-aws-metadata-21952c220ae

 

サーバサイド リクエスト フォージェリ (SSRF) 攻撃では。

攻撃者はサーバ上の機能を誘導して。

内部リソースの読み取りまたは更新を行うことができ。

攻撃者は、AWS メタデータなどのサーバ構成を読み取ったり。

http 対応データベースなどの内部サービスに接続したり。

公開を意図していない内部サービスに対して。

ポスト リクエストを実行したりできる可能性があり。

 

https://portswigger.net/web-security/ssrf

 

プログラム名をreducted.comとして。

Burp SuiteのHTTP履歴ですべてのリクエストをチェックして。

Burp Searchを使用して、次のような可能なパラメータを見つけて。

 

url={target}
file={target}
filename={target}

top 25 params

https://github.com/lutfumertceylan/top25-parameter/blob/master/ssrf-parameters.txt

 

そして、このような url= を見つけて。

　reducted.com/gadgets/proxy/?url=

１．オープンリダイレクトを試みて

URL は https://reducted.com/gadgets/proxy/?url=https://evil.com のようなもので。

しかしエラーをスローして失敗して。

 

２．XSSを試して

URLはこんな感じで。

　https://reducted.com/gadgets/proxy/?url=javascript:alert(1);

　https://reducted.com/gadgets/proxy/?url=http://14.rs

　https://reducted.com/gadgets/proxy?url=http://brutelogic.com.br/poc.svg

 

しかしメソッドが許可されていないというエラーがスローされ失敗して。

 

３．LFI を試して。

URL は https://reducted.com/gadgets/proxy/?url=file:///etc/passwd のようなもので。

しかしurlスキーマはHTTPまたはHTTPSのみで失敗して。

 

 

内部を読み取ってサーバにアクション[file:///、dict://、ftp://、gopher://]を。

実行させるURLスキーマを試しましたが失敗して。

 

 

 

URLにアクセスしましたが、単純なテキストファイルが反映されて。

ダウンロードされたコンテンツをロードしておらず。

 

AWS メタデータの読み取り：

他の多くのことを行った後、結果が得られなかったので。

ヒットのためだけに AWS のマジック IP を思い出して。

URL パラメータを AWS が使用するマジック IP である以下の IP に置き換えてみて。

 

https://gist.github.com/mechcozmo/c41c3a8dff2e909f1c0b0c0b0586f67c

 

次のように URL を作成して。

https://reducted.com/gadgets/proxy/?url=http://169.254.169.254/latest/meta-data

 

 

これはreducted.txtファイルをダウンロードし、それを開くと以下の情報が表示されて。

 

下記が、AWS メタデータで。

 

緩和：

１．ホワイトリストと DNS 解決

２．入力検証

３．応答処理

４．未使用の URL スキーマを無効に

５．内部サービスの認証

 

Best regards, (^^ゞ