第一资本SSRF

最新推荐文章于 2024-05-20 17:20:00 发布
最新推荐文章于 2024-05-20 17:20:00 发布
阅读量36 收藏
点赞数
文章标签: web安全 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79205724/article/details/132588941
版权

背景

以下是对第一资本数据泄露事件的重现。

此次事件几乎泄露了1.06亿名客户记录
据报道,佩吉·汤普森被指控侵入了第一资本的服务器,并获取了14万条社会安全号码、100万条加拿大社会保险号码以及8万条银行账号号码。

具体事件请看:美国第一资本银行数据泄露 超1亿用户受影响 (huanqiu.com)
在接下来的模拟案例中,我们将称受影响的组织为CapitalTen,威胁行为者为Bob。

漏洞

根据KrebsOnSecurity的报告,攻击者利用了服务器端请求伪造(SSRF)漏洞来访问AWS云端节点。

SSRF漏洞最常见于与以下功能相关的情况:

  • PDF生成,例如生成PDF报告、信用卡对账单;
  • 文件上传,例如上传扫描文件、图像文件等。

Bob攻击过程

1进入网站

Bob首先在浏览器中加载了CapitalTen的网站。

在这里插入图片描述

2.Bob使用注册的银行账户信息,登录到其网站

在这里插入图片描述

在这里插入图片描述

3在成功登录后,Bob开始他的分析,通过浏览CapitalTen的网站,绘制应用程序的关键功能和服务。此时他发现了更多账户服务功能点

攻击面映射是分析应用程序的核心功能、业务逻辑和控制流程的过程,以识别潜在的输入或向量,通过这些向量,攻击者可以尝试进入应用程序环境。

在这里插入图片描述

在“账户服务”页面上,Bob注意到了“更改卡片图像”服务,该服务允许用户通过上传个人照片或自定义图像来个性化他们的银行卡。

在这里插入图片描述

为了定制个性化的信用卡,此处功能允许用户上传用户自己的图像,Bob准备了一张图片mountain.png,他决定试试这个功能

在这里插入图片描述

文件mountain.png被上传并在图像预览小部件中呈现出来,Bob进一步分析了下面的预览小部件URL,重点在参数和参数值 https://www.capitalten.com/myaccount/personalize/cardimage/preview?url=https://s3.eu-central-1.amazonaws.com/file-upload/6b7c1a1e-1a56-4db8-980a-5a4b849e1581_n.jpg ,他注意到一个s3存储桶的url被作为输入值传递给了预览小程序【不了解S3存储桶对于此案例后续学习无影响】

在这里插入图片描述

进入SSRF测试:在分析了预览URL和卡片构建器功能后,Bob尝试修改原始URL,将AWS S3存储桶链接替换为以下URL。https://www.catmemes.com/latest/cat-17429664.png

被替换后的整体url为:https://www.capitalten.com/myaccount/personalize/cardimage/preview?url=https://www.catmemes.com/latest/cat-17429664.png

仅仅通过将AWS S3存储桶链接更改为不同的URL资源,Bob成功地欺骗了预览小程序,使其获取并加载了外部图像资源。

需要注意的是,CapitalTen应用服务器发起了HTTP请求来获取图像URL并呈现了该图像。

将Web应用程序操纵成向第三方站点或资源发送未经授权的请求的能力被称为服务器端请求伪造(SSRF)。

在这里插入图片描述

后端代码
在Bob继续利用SSRF漏洞之前,让我们快速查看一下卡片设计工作室的后端小程序代码。

此处的documentPreview方法用于呈现上传的图像文件

在这里插入图片描述

此方法通过提取url=参数传递的预签名S3存储桶url,将其分配给queryString变量

在这里插入图片描述

然后queryString作为参数传递给storageService.load方法,该方法负责从S3存储桶下载预览图像

在这里插入图片描述

最后load方法调用Java的HttpGet()函数来检索图像文件,不幸的是,没有对请求参数url进行输入验证检查,允许Bob通过HttpGet()方法控制任意URL的加载

在这里插入图片描述

AWS元数据端点 : 尽管SSRF问题可能看似风险有限,但攻击者可以在这些漏洞上发挥创造力,以便发出针对可能暴露敏感数据的非公开URL的请求。

在第三方云环境中,攻击者通常利用的一种服务是基于REST的名为云元数据端点的Web服务。如果配置正确,元数据端点可以编程方式访问云服务器的系统配置、网络详细信息、身份验证访问密钥等。

Bob尝试通过提交以下AWS元数据URL来访问CapitalTen的元数据端点。

替换前:
在这里插入图片描述

替换后:

在这里插入图片描述

成功!通过将AWS元数据URL作为参数传递给URL参数url,Bob成功地检索到了与CapitalTen Web服务器相关的所有实例元数据类别!

在这里插入图片描述

Bob继续通过向security-credentials端点发出以下请求,枚举可能为CapitalTen Web服务器配置的IAM角色。

在这里插入图片描述

这次,Bob发出的元数据请求返回了一个与Web服务器实例关联的单个角色ISRM-WAF-ROLE。

ISRM-WAF-ROLE 是 CapitalTen 网站中的一个 IAM 角色。IAM(Identity and Access Management)是 Amazon Web Services(AWS)中用于管理用户、权限和资源访问的服务。ISRM-WAF-ROLE 与网站的 Web Application Firewall(WAF)相关,用于授予特定权限以保护网站免受恶意攻击。

在识别出实例角色名称ISRM-WAF-ROLE后,Bob构造了以下查询,以下载与ISRM-WAF-ROLE角色关联的访问令牌。

替换前:

在这里插入图片描述

替换后:

在这里插入图片描述

在这里插入图片描述

正如预期的那样,Bob修改后的查询security-credentials/ISRM-WAF-ROLE端点返回了CapitalTen的EC2实例的AccessKeyId和SecretAccessKey令牌!

使用上述访问密钥,Bob现在可以开始使用ISRM-WAF-ROLE的权限进行编程调用AWS API。

Bob在本地终端中打开,并在他的笔记本电脑上配置了窃取的AWS ISRM-WAF-ROLE令牌。

然后,他使用AWS命令行界面(CLI)实用工具发出命令aws s3 ls,以列出CapitalTen服务器上的所有S3存储桶。

AWS命令行界面(AWS CLI)是一款开源工具,它使得授权用户能够使用命令行Shell与AWS服务进行交互。

在这里插入图片描述

chosennnny
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
第一SSRF原理介绍-01
09-15
第一SSRF原理介绍-01
SSRF漏洞给云服务元数据带来的安全威胁
道阻且长,行则将至。
02-05 2161
本文讲述了云服务厂商的云服务器实例提供的元数据服务所面临的安全威胁,如果云服务器存在 SSRF 漏洞导致元数据中实例具备的角色所对应的临时凭据谢泄露,那么攻击者可以通过云服务厂商提供的客户端管理工具或者 CF 云环境利用工具,非法调用受害者的云服务实例 API,甚至创建后门账户接管云服务管理台,接管受害者的所有云服务资源。
浅谈云上攻防 --SSRF 漏洞带来的新威胁
YDclub的博客
10-09 1436
前言 在《浅谈云上攻防——元数据服务带来的安全挑战》一文中,生动形象的为我们讲述了元数据服务所面临的一系列安全问题,而其中的问题之一就是通过SSRF去攻击元数据服务;文中列举了2019年美国第一资本投资国际集团(Capital One Financial Corp.,下“Capital One公司”)信息泄漏的案例;我们内部也监测到过类似的事件:测试人员通过SSRF漏洞攻击元数据服务,并将获取到的AK信息存储到日志服务中,然后在日志服务中获取到了AK信息,最终通过获取到的AK信息控制了超过200台服务器。
HTTP Host 头攻击,是什么鬼?
程序猿DD
01-14 324
前沿技术早知道,弯道超车有希望积累超车资本,从关注DD开始作者:angry_program,图文编辑:xj来源:https://blog.csdn.net/angry_program1...
在互联网上,没有人知道你是一条狗?
热门推荐
信息安全-企业安全-数据安全
08-22 3万+
1993 年,《纽约客》(The New Yorker)杂志刊登一则由彼得·施泰纳(Peter Steiner)创作的漫画:标题是【On the Internet, nobody knows you’re a dog.】 这则漫画中有两只狗:一只黑狗站在电脑椅上,爪子扶着键盘。它望向站在地上、表情迷茫的另一只狗,兴奋地说:「在互联网上,没人知道你是一条狗。 (On the Internet, nobody knows you’re a dog.)画中那只狗的台词随即成了 IT 界广为流传的经典笑话。 那个
Web安全2年,这大概是我最害怕听到的一句话了
蚁景网安学院
09-03 797
“月薪多少呀?”这大概是所有Web安全人员最怕听到的一句话。一提起Web安全工程师,表面上让人以为是月入过万的高薪一族,其实很多人工作一两年后,就陷入跳槽不易、涨薪难的境地。现有的薪资水...
​浅谈云上攻防之——元数据服务带来的安全挑战
YDclub的博客
06-09 404
原创作者:腾讯云鼎实验室 ruiqiang 前言 在针对云上业务的的攻击事件中,很多攻击者将攻击脆弱的元数据服务作为攻击流程中重要的一个环节并最终造成了严重的危害。 以2019年的美国第一资本投资国际集团(CapitalOne)信息泄露事件举例,根据《ACase Study of the Capital One Data Breach》报告指出,攻击者利用CapitalOne部署在AWS云上实例中的SSRF漏洞向元数据服务发送请求并获取角色的临时凭证,在获取角色临时凭据后将该角色权限下...
buuctf web
CyhDl666的博客
02-01 889
文章目录[GYCTF2020]Blacklist[ZJCTF 2019]NiZhuanSiWei[CISCN2019 华北赛区 Day2 Web1]Hack World [GYCTF2020]Blacklist 注入题 先输入’页面返回报错确定闭合方式 直接准备union注入1' union select 1,2# 返回一个正则表达式return preg_match("/set|prepare|alter|rename|select|update|delete|drop|insert|where|\./
我的渗透之路系列——(五)
weixin_34364071的博客
04-20 234
虫子 什么是渗透测试? http://www.pentest-standard.org 这个网站描述的是最为详细的了(这个网站我还没看完只看了部分看完了会好好介绍一下的) 概括起来就是七部分但这七个部分的作用却有点类似于OSI模型一样,只是一个标准,就国内而 言,我看到的很多,是简之又简的 看到的算是比较全面的知道创宇的算一个 http://scanv.com/stcs/ 还有一些平台比如之前的乌...
2024年最新为什么黑客越来越少了
2401_84300859的博客
05-03 763
而信任链就是,为了方便,我们使用安全性更低的验证方式,但是又能够保证当这种验证方式出了问题的时候,验证的责任能够向上传递,信任链的最高点就是你的信任根,也就是能够说明你一定是你的信息,一般来讲就是你的生物 ID,比如人脸,指纹等。我们在 PC 端登陆的时候,仍然有大量的账号密码登陆,看起来似乎和十年前差不多,可以安全性仍然增强了,因为现在我们把信任链更好的构建起来了。
SSRF_ex:SSRF漏洞测试、利用 SSRF vulnerability testing and utilization
05-08
SSRF_exSSRF漏洞测试、利用 SSRF vulnerability testing and utilizationSSRF[+] 服务端请求伪造,当作跳板攻击内网服务[+] 扫描内部网络、服务[+] 访问本机敏感文件[+] 向特定端口发送数据包、payload.├── ...
你未见过的SSRF利用方式
06-20
SSRF (Server-Side Request Forgery:服务器端请求伪造) 是⼀种由攻击者构造形成,由服务端发起请求的⼀个安全漏洞 原因是由于服务端提供了从其他服务器应⽤获取数据的功能且没有对地址和协议等做过滤和限制 本⽂讲解...
WebLogic SSRF 及漏洞修复
11-25
WebLogic SSRF 及漏洞修复方法 CVE-2014-4210 10.0.2,10.3.6
SSRF利用总结
04-24
SSRF漏洞利用总结,类似SQL注入小计的形式,总结地比较完整。
HCIP-Datacom-ARST自选题库_02_网络安全【道题】
2301_80961833的博客
05-20 477
为了防止黑客通过MAC地址攻击用户设备或网络,可将非信任用户的MAC地址配置为黑洞MAC地址,过滤掉非法MAC地址。中间人攻击或IP/MAC Spoofing攻击都会导致信息泄露等危害,且在内网中比较常见,为了防止中间人攻击或IP/MACSpoofing攻击,可以采取以下哪些配置手段?多远题461/805、为了防止仿冒DHCP服务器接入网络,可以在交换机上开启DHCP Snooping功能,配置步骤包括以下哪些选项?开启DHCP Snooping检查DHCP REQUEST报文中CHADDR字段的功能。
web安全之登录框渗透骚姿势,新思路
qq_47289634的博客
05-10 580
越权漏洞的挖掘大部分是通过对比两个用户的请求包以及响应包,来观察不同之处,有的时候替换一下响应包就直接越权,其中特别要关注的是uid,这里在挖掘逻辑漏洞和越权漏洞时建议使用burp中的compare模块进行两个数据包的比对,非常直观。width=500&height=100导致可以随意更改大小,配合脚本批量请求,很容易就会把带宽占满,造成dos攻击。不管漏洞挖掘还是挖SRC,登录框都是重点关注对象,什么漏洞都有可能出现,登录框也是框,见框就插就对了,说不定会有奇效。看到登录框,输入信息后,抓包。
网站有存在哪些类型的漏洞,网站漏洞存在哪些危害,该怎么解决网站漏洞问题
dexunyun的博客
05-14 359
通过使用漏洞扫描VSS服务,我们可以及时发现网站存在的漏洞,有效降低网站漏洞的风险,保障网站安全,满足合规要求。文件上传漏洞是由于网站在处理文件上传功能时没有对上传的文件类型、大小等进行严格的验证和过滤,攻击者利用网站中的文件包含函数,将恶意文件或代码包含到网站中,从而实现远程代码执行或文件读取。网站安全是一个持续的过程,需要我们不断关注,通过及时发现存在的漏洞,我们可以针对性的处理,这样可以有效地减少网站安全漏洞的产生和危害,确保网站的安全稳定运行。同时,采用安全的编程语言和框架,减少漏洞的产生。
Upstream最新发布2024年汽车网络安全报告-百度网盘下载
最新发布
qq_18209847的博客
05-20 137
Levy总结道:“在负责保护车队、电动汽车充电站和基础设施的网络安全利益相关者中,对汽车网络安全的重要性日益增加。特别是在GenAI日益普及的情况下,其降低了黑帽子行为者的进入门槛,使他们能够比以往更快、更有效地进行大规模攻击。这份报告的第六版着重介绍了汽车网络安全的拐点:从实验性的黑客攻击发展到规模庞大的攻击,并产生了怎样的影响。另外今年的报告还提供了关于网络攻击的财务影响的独到见解,它提供了一个可操作的框架,用于在现实场景中衡量网络攻击的货币影响。
ssrf redis
08-29
1. 访问 Redis 未授权的端口:Redis 默认监听在 6379 端口,如果你能够通过 SSRF 访问到该端口,并且 Redis 没有进行适当的身份验证和授权配置,那么你可能能够执行一些恶意操作,如读取或修改 Redis 中的数据。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

chosennnny

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值