关于SSRF漏洞原理就不过多赘述了,我们只需要理解攻击者可以将漏洞点当做一台跳板机来读取内网里的数据。如果目标资产部署在云上的话,其实我们可以有新的玩法----读取元数据。本次漏洞利用思路以阿里云为例(其他云平台之后有空再写)。
在阿里云的语境中,“元数据地址”通常指的是 ECS (Elastic Compute Service) 实例的元数据服务(Metadata Service)所提供的访问地址。这是一个特殊的服务,允许ECS实例安全地查询与实例本身相关的信息,而无需提供额外的身份验证凭证。阿里云ECS实例的元数据服务为每个实例提供了有关该实例及其配置的信息。这些信息包括但不限于实例ID、私有IP地址、公有IP地址、安全组、实例类型等。元数据服务通常通过一个特定的HTTP地址提供这些信息,这个特定的HTTP地址为:http://100.100.100.200/latest/meta-data/ 话不多说,上实战案例:
1、确认存在SSRF漏洞
从响应信息中可以看到在上文中提到的实例ID、私有IP地址、公有IP地址等,获取的方法只需要拼接在元数据地址之后访问就可以,我们主要关注两个点:private-ipv4、ram;读取ipv4地址为之后的云上内网横向渗透做准备。
而ram则可以帮助我们获取到主机开放的临时凭证,前提是存在ram,我们先访问http://100.100.100.200/latest/meta-data/ram/security-credentials/来获取角色名称,获取之后拼接在后面:
如果RAM角色没有被授权,哪怕拿到了临时凭证也没有任何作用反过来,只要RAM角色的权限足够大,即使他只是个STS凭证,也能够造成足够威力的破坏。
原文始发于微信公众号(安全工程师实录):利用SSRF漏洞读取云服务元数据
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3004618.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论