ソース:
脆弱性:SSRF
訳:
API を探しているときに、PDF 配送ラベルの作成に使用されるエンドポイントを見つけました。
傍受されたリクエストには「説明」入力ボックスがあり、傍受されたリクエストに配送ラベルのレイアウトが含まれていることを示唆していました。
私はすぐに iframe を作成して、HTML インジェクションに対して脆弱かどうかを確認することを考えました。
その「説明」入力フィールドに HTML コードを挿入しようとしたところ、成功しました。
前のスクリーンショットに見られるように、新しいコラボレーター リンクを確立し、サーバーからヒットを返せるかどうかを確認することで、「説明フィールド」に「iframe」を挿入しようとしました。
次のスクリーンショットから、アプリ サーバーから HTTP ヒットを受信したことが確認でき、SSRF の実現可能性が検証されます。
上の画像から、「説明入力フィールド」が HTML インジェクション、クリックジャッキング攻撃に対して脆弱であることが確認され、SSRF の可能性を確認するためにさらにエスカレーションする予定です。
これは Amazon AWS S3 に格納されていたため、AWS メタデータを悪用し、その IAM セキュリティ認証情報にさらにアクセスする攻撃を探すことを検討しました。
サーバーからヒットバックを受け取り、ペイロード「http://169.254.169.254/latest/meta-data/iam/security-credentials/aws-elasticbeanorastalk-ec2-role」を試行すると成功しました。
上の図を使用して SSRF を正常に実行できました。これにより、アプリケーションによって発行された PDF 領収書の AWS メタデータにアクセスできるようになります。
これにより、シークレット アクセス キー、トークン、エリアなどの情報が明らかになりました。
そのため、AWS クライアントを利用して上記のデータをすべてエクスポートし、アクセスできるようになりました。
このバグにより、エスカレーションが可能になり、PDF ベースの SSRF 脆弱性を使用して RCE を達成することができました。
ほなほな。