ソース:
脆弱性:SSRF
訳:
空き時間にランダムなターゲットを探しているときに、会社とマーケティングに関連するレポートを表示できるサブドメインを 1 つ見つけ。
レポートを PDF 形式で表示できる機能を 1 つ見つけて。
ボタンをクリックすると、 PDF リクエストが 1 つ作成され、応答は次のようになり。
ここで、すぐに 1 つのランダムな URL (例: evil.com) を status_url パラメータに挿入し、その evil.com の応答を取得して。
これで、 完全な読み取り SSRF を確認できて。
次に、 file:/// プロトコル経由で読み取られたローカル ファイルを確認し。
file:///etc/passwd を追加してリクエストを送信すると、Akamai からの応答は403。
これをここにドロップし、localhost の内部ポート スキャンを実行し、侵入者を使用して 1 ~ 10000 のポートをスキャンし、開いている 2 つのポート、つまり 25 と 9080 を正常に見つけ。
さて、このエクスプロイトは報告するのに十分だと思い、これを会社に報告し。
そして、彼らの反応は次のようなもので。
さて、私は同じ日にこの問題について詳しく調べ始め。たとえば、Gopher などの他のプロトコルを試したり、内部 IP や内部ホストなどを見つけようとしたりしましたが、成功せず。もう 1 つの不運は、クラウドも使用していないことです:(
2 時間休憩し、 Akamai WAF プロトコルをブロックする file:/// などの一般的なファイルをブロックする一連の WAF ルールがあることがわかりました についてさらに詳しく調査し始めたところ、etc/passwd、etc/hosts 。シャドウ などで、centos に関するさまざまなファイル パスを探索し始めました。
いくつかのファイルを正常に読み取ることができましたが、興味深いファイル ( proc/net/arp ) を 1 つ見つけました。
ここで、すべての内部 IP を書き留め、 2 つの CIDR 範囲を構築しました:) 次のような
172.31.0.0/23
172.31.0.1–255
172.31.1.1–255172.31.8.0/23
172.31.8.1–255
172.31.9.1–255
変換したところ ここで、これらのCIDR 範囲 をIP アドレスに 、 1024 個の IP アドレスが得られ。
つぎは?
次に、イントルーダーを使用してこれらの IP をブルート フォース攻撃してみましょう :) その結果は驚くべきもので :)
さて、ここからが厄介な部分になり。
次に、以下のリクエストに応じて、ターゲットに属するホスト名 (たとえば、「 .target」) ように、6000 以上の結果が見つかりました を検索しました。 たとえば、 some-internal-app.target.ad here の 。
広告は アクティブディレクトリを表します
次に、すべての 内部ホスト名を抽出し、 intruder を使用して再度ブルート フォース攻撃を開始しました 、これで終わりです😂 。
攻撃者として会社を乗っ取ることができたので
そして結果は次のとおりです:)
これで終わり、会社の内部ネットワークで実行されている 1000 以上の Web サービスにアクセスできました。
ほなほな。