印象笔记 价值 5000$的SSRF 案例分析

admin 2022年4月6日10:40:56安全文章评论35 views1079字阅读3分35秒阅读模式

Evernote是一款記事軟體,这个漏洞由@neolex师傅发现并提交,目前漏洞官方已修复,已经公开披露了,来看看这个案例吧


https://hackerone.com/reports/1189367

印象笔记 价值  5000$的SSRF  案例分析


打开印象笔记,发现有一个如下 的请求

印象笔记 价值  5000$的SSRF  案例分析


细心的@neolex 师傅发现这里是一个Base64编码字符

印象笔记 价值  5000$的SSRF  案例分析


解码后

印象笔记 价值  5000$的SSRF  案例分析


是一个css文件,立即想到了 SSRF !

把http://169.254.169.254/latest/meta-data   编码成Base64,进行替换,尝试读取AWS EC2 实例元数据,失败了!


经过一段时间的试验和错误,neolex师傅了解到 url/filepath 必须要以 .css 或 .js 结尾的白名单


最终编码成这样去访问:

https://www.evernote.com/ro/aHR0cDovL21ldGFkYXRhLmdvb2dsZS5pbnRlcm5hbC9jb21wdXRlTWV0YWRhdGEvdjFiZXRhMS9pbnN0YW5jZS9zZXJ2aWNlLWFjY291bnRzL2RlZmF1bHQvdG4305ZW48Lmp.js/


Base64解码后的样子(注意这里的#.js):

http://metadata.google.internal/computeMetadata/v1beta1/instance/service-accounts/default/token#.js

#.js 服务器不会对其进行解释,但允许添加扩展,最终通过#.js 绕过了白名单


并且发现SSRF请求来自Google云

由于Evernote基础设施在谷歌云上,SSRF是可以去尝试访问谷歌API来获取token

详细请参考 SSRF in Exchange leads to ROOT access in all instances

印象笔记 价值  5000$的SSRF  案例分析



通过SSRF http://metadata.google.internal/computeMetadata/v1beta1/instance/service-accounts/default/token  也获取到了token

印象笔记 价值  5000$的SSRF  案例分析


把file:///etc/passwd#.js 编码成Base64也可以读取到passwd内容

印象笔记 价值  5000$的SSRF  案例分析


最终获得了5 000$ bounty


印象笔记 价值  5000$的SSRF  案例分析


最后推荐下朋友的星球【BugBounty漏洞赏金自动化】

印象笔记 价值  5000$的SSRF  案例分析


关 注 有 礼



关注本公众号回复“718619
可以免费领取全套网络安全学习教程,安全靶场、面试指南、安全沙龙PPT、代码安全、火眼安全系统等

印象笔记 价值  5000$的SSRF  案例分析 还在等什么?赶紧点击下方名片关注学习吧!


原文始发于微信公众号(渗透测试网络安全):印象笔记 价值 5000$的SSRF 案例分析

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月6日10:40:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  印象笔记 价值 5000$的SSRF 案例分析 http://cn-sec.com/archives/867004.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: