利用SSRF漏洞读取云服务元数据

admin 2024年7月30日08:42:07评论115 views字数 781阅读2分36秒阅读模式
关于SSRF漏洞原理就不过多赘述了,我们只需要理解攻击者可以将漏洞点当做一台跳板机来读取内网里的数据。如果目标资产部署在云上的话,其实我们可以有新的玩法----读取元数据。本次漏洞利用思路以阿里云为例(其他云平台之后有空再写)。
在阿里云的语境中,“元数据地址”通常指的是 ECS (Elastic Compute Service) 实例的元数据服务(Metadata Service)所提供的访问地址。这是一个特殊的服务,允许ECS实例安全地查询与实例本身相关的信息,而无需提供额外的身份验证凭证。阿里云ECS实例的元数据服务为每个实例提供了有关该实例及其配置的信息。这些信息包括但不限于实例ID、私有IP地址、公有IP地址、安全组、实例类型等。元数据服务通常通过一个特定的HTTP地址提供这些信息,这个特定的HTTP地址为:http://100.100.100.200/latest/meta-data/ 话不多说,上实战案例:
1、确认存在SSRF漏洞
利用SSRF漏洞读取云服务元数据
2、直接读取阿里云元数据地址查看响应信息
利用SSRF漏洞读取云服务元数据
从响应信息中可以看到在上文中提到的实例ID、私有IP地址、公有IP地址等,获取的方法只需要拼接在元数据地址之后访问就可以,我们主要关注两个点:private-ipv4、ram;读取ipv4地址为之后的云上内网横向渗透做准备
利用SSRF漏洞读取云服务元数据
而ram则可以帮助我们获取到主机开放的临时凭证,前提是存在ram我们先访问http://100.100.100.200/latest/meta-data/ram/security-credentials/来获取角色名称,获取之后拼接在后面:
利用SSRF漏洞读取云服务元数据
如果RAM角色没有被授权,哪怕拿到了临时凭证也没有任何作用反过来,只要RAM角色的权限足够大,即使他只是个STS凭证,也能够造成足够威力的破坏。
利用SSRF漏洞读取云服务元数据
利用SSRF漏洞读取云服务元数据

原文始发于微信公众号(安全工程师实录):利用SSRF漏洞读取云服务元数据

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月30日08:42:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   利用SSRF漏洞读取云服务元数据https://cn-sec.com/archives/3004618.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息