标题:Exploiting Non-Cloud SSRF for More Fun & Profit
作者:Basavaraj Banakar
原文地址:https://infosecwriteups.com/exploiting-non-cloud-ssrf-for-more-fun-profit-3597934518c8
让我们直接进入主题。在我的空闲时间搜索某个随机目标时,我发现了一个子域名,其中可以查看与公司和营销相关的报告。我发现了一个功能,可以查看报告的PDF格式。
在点击PDF按钮后,它发送了一个请求,响应看起来是这样的。
现在,我快速地将一个随机的URL,例如:evil.com,插入到status_url参数中,并获得了evil.com的响应。现在我确认了存在读取SSRF漏洞。
接下来,我们可以尝试使用file:///协议检查本地文件读取。我添加了file:///etc/passwd并发送了请求,但得到了Akamai的403响应。这意味着Akamai已经阻止了这种类型的请求。
我将其放在这里,并进行了对本地主机的内部端口扫描,通过使用intruder扫描了1到10000端口,成功找到了2个开放的端口,即25和9080。
现在我认为这个漏洞足够重要需要报告,于是我向公司报告了这个漏洞,他们的回应如下:
当天,我开始更深入地探索这个问题,尝试了其他协议,如Gopher,试图查找内部IP、内部主机等,但遗憾的是没有成功。更糟糕的是,他们也没有使用云服务。
休息了2个小时后,我开始更深入地探索阻止file:///协议的Akamai WAF。我了解到,会有一组WAF规则,用于阻止常见文件,如etc/passwd、etc/hosts、etc/shadow等。我开始探索关于CentOS的不同文件路径,成功地读取了一些文件,但发现了一个有趣的文件,即proc/net/arp。
现在,我记录了所有的内部IP,并构建了两个CIDR范围,看起来像这样:
172.31.0.0/23
172.31.0.1–255
172.31.1.1–255
172.31.8.0/23
172.31.8.1–255
172.31.9.1–255
现在,我将这些CIDR范围转换为IP地址,得到了1024个IP地址。
接下来呢?
现在,让我们使用intruder来暴力破解这些IP地址🙂,结果令人惊讶🙂。
现在,关键的部分来了。在下面的请求响应中,我搜索了属于目标的主机名,例如“.target.”,找到了6000多个结果,例如:some-internal-app.target.ad,这里我猜测.ad代表Active Directory(活动目录)。
现在,我提取了所有内部主机名,并再次使用intruder进行暴力破解攻击。这将是结束,因为作为攻击者,我本可以接管该公司。
这就是结果:
这就结束了,我成功访问了公司内部网络中运行的1000多个网络服务。
每周一9点发布精选内容。
每周三9点发布翻译内容。
更多安全资讯,请关注微信公众号:安全虫。
每周坚持学习与分享,觉得文章对你有帮助可在底部给点个“在看”。
原文始发于微信公众号(安全虫):【翻译】利用非云环境的SSRF来获得更多乐趣和利润(022)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论