Dropbox HelloSign应用中SSRF漏洞导致的AWS私钥泄露

已于 2022-06-17 08:37:03 修改
阅读量385 收藏
点赞数
分类专栏: Hackerone漏洞启示录 文章标签: web安全 安全
于 2022-06-16 22:13:03 首次发布
原文链接:https://mp.weixin.qq.com/s?__biz=Mzg2OTY2NjMwMw==&mid=2247483686&idx=1&sn=ae69dc311134f1266b9166a374805568&chksm=ce98ddb6f9ef54a01e51a1d43e837db578efaa3dde80dca0e4f923bb801b07185f945f0b346b&token=1250468541&lang=zh_CN#rd
版权

赏金$4913的HelloSign SSRF漏洞

报告原始地址:Server Side Request Forgery (SSRF) at app.hellosign.com leads to AWS private keys disclosure

漏洞报告时间为2020年7月14日 由sayaanalam提交 针对Dropbox的漏洞 赏金为$4913

漏洞利用链

以下为安全研究员漏洞挖掘过程的经历分享:

由于Dropbox有较高的赏金和较短的响应时间,因此我选择了它作为漏洞挖掘目标,并尝试针对HelloSign进行我的赏金狩猎。我发现它有这样一个功能,可以从Dropbox、GDrive、BOX、OneDrive和EverNote中导入文档。 此时,SSRF已经浮现在我的脑海中,于是我开始测试Dropbox的导入功能,并观察到了如下请求

我尝试改变file_reference参数值为burp collaborator的URL(相当于回显服务器地址,Burp自带的一个功能模块),但是返回了404错误,我觉得这应该已经存在SSRF保护,于是我把我的电脑关了😫

但是第二天,我又改变了我的想法,我再次尝试深入挖掘并测试了OneDrive的导入功能,并看到了这样一个请求:-

GET /attachment/externalFile?service_type=O&file_reference=MYONEDRIVEFILELINKHERE&file_name=FILENAME.ANYTHING&c=0.8261955039214062 HTTP/1.1
Host: app.hellosign.com
Connection: close
Accept: application/json
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36
X-CSRF-Token: 
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: REDACTED
Accept-Encoding: gzip, deflate
Accept-Language: en-GB,en-US;q=0.9,en;q=0.8,hi;q=0.7
Cookie:REDACTED

你可以看到在上面这一请求当中有一个请求参数service_type,其值为O代表OneDrive,与之前那个请求中的D参数值不同,我重新将file_reference参数值更改为我的burp collaborator的URL,这次非常幸运成功收到了ping回显

之后HelloSign生成了一个PDF包含了collaborator的页面内容,这可太令我开心了😍

接下来我开始尝试获取设备的本地信息,首先我通过whatismyipaddress查询他们所使用的云服务信息,发现他们所使用的是AWS/EC2。于是我尝试利用http://169.254.169.254/latest/来获取信息,但却返回了404 Not Found响应

显然请求没有通过,我又试了下http://127.0.0.1,还是返回一样的内容

再次emo😫,不过我试图通过Hackerone上的Hacktivity来寻找方法并找到了这份珍贵的报告HackerOne,它使用了303重定向来绕过SSRF保护

我立刻在我的服务器上部署了这一段代码

<?php header('Location: http://169.254.169.254/latest/meta-data/', TRUE, 303); ?>

再次使用这一服务器重定向链接进行尝试,并最终获得了了AWS实例(的元数据)内容 😍😍😍

现在的我可太兴奋了,因为在世界上最棒的漏洞赏金程序之一上发现了完整的SSRF read漏洞,使得我能够从AWS元数据中检索一切,如access_keys,token等。

我立刻提交了漏洞报告并在三小时后收到了回复,安全团队让我检查下是否存在RCE漏洞。我利用access key和token尝试执行实例重启指令,但是失败了并提示该角色没有足够的权限来执行命令(看来暂时没有发现有效的RCE漏洞)

但我还是非常高兴,因为发现了这一漏洞并最终获得$4913赏金😙

漏洞报告解读

SSRF(Server-Side Request Forgery,服务器端请求伪造)具体是什么意思,简单地说就是伪造以服务器的身份来发送一个请求。平常我们通过浏览器上网时,通常是浏览器发出HTTP请求,然后服务器返回数据,在这种情况下所返回的数据往往是受到后台代码限制的。SSRF漏洞就是利用可控参数,更改请求者为服务器本身从而达到窃取数据的目的。结合这一案例具体点说,就是原先file_reference参数的值应该为某一需要导入文件的具体地址,但是攻击者将其更改为服务器本身的URL链接,以此成功返回了其内部数据(这就导致了SSRF漏洞的存在,后台代码应该对这一参数值进行验证并作出限制)。而获取的这些数据中所包含的access_keys,token等内容,就相当于我们登录账户时的用户口令,虽然这一服务器存在比较好的权限分离机制使得RCE(Remote code execution,远程代码执行)攻击失效,但利用这些认证凭据仍然可以完成一些权限范围内的敏感操作。

漏洞报告是不是很短,并没有想象中的复杂,但这就是真实世界中的一个漏洞场景。也可能有些小伙伴还不理解SSRF漏洞,可以自己动动小手利用搜索工具了解一下,公众号未来也会考虑更新一些基础知识。当然如果认为文章内容有任何疏漏或者对内容存在一些疑问,欢迎与我进行沟通交流哦

探星者
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全之浅谈密钥泄露
wolaisongfendi的博客
02-10 803
现代应用程序需要与其他外部应用程序通信,并且它们需要内部服务到服务的通信。 这意味着访问任何服务、应用程序和数据都需要大量凭证或密钥。而密钥泄漏、配置不当等问题正引起的越来越安全问题。
微信小程序漏洞accesskey泄露
crowsec
11-14 1839
这篇文章里面都是以我个人的视角来进行的,因为一些原因,间删了好多东西,肯定有很多不正确的地方,希望大家能理解,也能指正其的错误。
云上攻防-云服务篇&对象存储&Bucket桶&任意上传&域名接管&AccessKey泄漏
最新发布
siu~
02-29 1298
1、云服务-对象存储-权限配置不当 2、云服务-对象存储-域名解析接管 3、云服务-对象存储-AccessKey泄漏
由OSS AccessKey泄露引发的思考
mingyqf的博客
08-23 2686
请求的主机名xxxx.aliyuncs.com和表单的OSSAccessKeyId参数,基本可以确认系统使用 OSS 作为上传文件存储,即使上传恶意脚本文件也无法成功解析,面对这种情况如何破局?ossbrowser 是 OSS 官方提供的图形化管理工具,提供类似 Windows 资源管理器的功能,使用 ossbrowser,您可以方便地浏览、上传、下载和管理文件。一键备份数据到阿里云OSS,支持Bucket管理,支持鼠标拖放,支持剪贴板,支持断点续传,支持统计目录大小,支持文件搜索。
漏洞案例】记一次aws-key泄露导致火币交易所被攻击案例
Websec
07-03 1248
全球最大的加密货币交易所之一火币悄然修复了一个数据泄露事件,该泄露事件可能导致该公司的云存储被访问。在我检查开放的 Amazon Web Services (AWS) S3 存储桶时,我发现了一个包含 AWS 凭证的敏感文件。不幸的是,在这种情况下,我不能断定火币已经很好地完成了他们的工作。泄露自己的亚马逊凭证已经够糟糕的了,但花了几个月的时间才得到回应,即便如此,火币还是选择将凭证留在网上。在下面的屏幕截图,我将一个文件上传到火币用来存储和分发 Android 应用程序的 CDN。
SimpleUpload:PHP的简单上载系统,与AWS S3,Dropbox,Azure等兼容
01-28
PHP的简单上传系统,与AWS S3,Dropbox,Azure等兼容。 负责简化文件上传的组件。 有了它,就可以执行本地上传和服务,例如:DropboxAWS S3,Azure,SFTP等。 查看完整列表。 安装 通过作曲家: composer ...
send-that-invoice:一个小型节点应用程序,可通过电子邮件自动发送给定Dropbox文件夹的文件(现已在AWS上)
04-30
应用程序通过检查文件是否已上传到Dropbox来纠正此问题,并继续根据上载的文件名前缀,生成电子邮件并将其作为带有附件的电子邮件发送给特定的客户端。 应用程序经常使用cron检查文件。 可以更改这些设置,并...
Noty:Android应用程式可追踪Dropbox的便笺
04-30
诺蒂Android应用程式可追踪Dropbox的Notes。 主要功能是应用程序与Dropbox所有文件之间的同步。去做指标显示为更新的文件推送内容时预留抽屉打开添加过渡COLAPSE动作条集装箱查看更多注意- 摘要片段通过接口更改...
纸莎草纸::非官方Dropbox Paper桌面应用
02-04
非官方的桌面应用程序。预习 Papyrus当前为1.0.2版。安装自制$ brew update && brew cask install morkro-papyrus手动地安装程序解压缩将应用程序安装...发展历程该应用程序将官方的Dropbox Paper网站包装在浏览器窗口
expo-dropbox:使用Dropbox API的通用博览会示例应用
05-17
总的来说,`expo-dropbox` 示例是学习如何将 Dropbox 集成到 Expo 应用的绝佳资源,涵盖了 OAuth 身份验证、文件操作、跨平台开发等多个重要知识点。对于想要扩展自己技能树的 React Native 开发者,这是一个非常...
云环境下密钥泄露导致安全问题
蚁景网安学院
07-15 1554
前言如今越来越多的小型公司选择使用云平台,诸如:阿里云、腾讯云、Amazon、Azure。使用云平台大大降低了企业的资源成本,另一方面随着公用云的普及,也存在着一些风险,当然不是由于云...
从Spring Boot信息泄露AWS控制台劫持(攻破aws亚马逊服务器)
墨痕诉清风的博客
08-24 968
0x01 引言 全球云厂商有很多,本文主要针对Spring Boot信息泄露aws上的利用。 0x02 正文 1) 用shodan分析spring boot服务器在asn上分布的情况 https://beta.shodan.io/search/facet?query=http.favicon.hash%3A116323821&facet=asn aws的服务器主要分布在as16509和as14618。 2) 通过shodan命令行下载数据 as16509: s.
amazon s3 的用户验证 access-key, secrete-key
weixin_33887443的博客
04-13 1341
amazon s3的用户验证方式是一种对称加密方式,下面介绍此加密方式。 请求的构造   请求元素:   AWS Access Key Id:其实就是常见的用户名,用来区分用户的。   Signature:签名,使用私钥计算后得出。   Timestamp:时间戳   Date:时间,为每一个请求设置一个过期时间。 验证过程   客户端:经过下面3个步骤 1 ...
AWS系列】boto3入门-上篇
颜淡慕潇
10-20 3231
官方介绍:官方文档Boto 是AWS的基于python的SDK(当然还支持其他语言的SDK,例如Ruby, Java等),Boto允许开发人员编写软件时使用亚马逊等服务像S3和EC2等,Boto提供了简单,面向对象的API,也提供了低等级的服务接入。这里需要区分,Boto有两个版本,其旧的版本boto2已经不推荐使用了,在一些亚马逊新建的region已经不支持旧的Boto2了(貌似国就是这样的),所以如果开发Python代码的话建议使用Boto3。为什么不推荐Boto2?
云主机秘钥泄露及利用
技术超强的网络安全平台
08-02 1911
云平台作为降低企业资源成本的工具,在当今各大公司系统部署场景内已经成为不可或缺的重要组成部分,并且由于各类应用程序需要与其他内外部服务或程序进行通讯而大量使用凭证或密钥,因此在漏洞挖掘过程经常会遇到一类漏洞:云主机秘钥泄露。此漏洞使攻击者接管云服务器的权限,对内部敏感信息查看或者删除等操作。此篇文章围绕如何发现秘钥泄露、拿到秘钥后如何利用展开。云主机通过使用AccessKey Id / Secret Access Key加密的方法来验证某个请求的发送者身份。Access Key
AWS 获取AccessKey和密钥,上传文件到s3
qq_36622490的博客
09-10 9086
1,获取Accesskey和secret 打开AWS的网页,右上角那里,我的账户下面,切换角色上面,我的安全凭证,点击进去就会得到如下页面,然后创建访问密钥,就可以了,保存起来,或者下载下来,因为下次是无法访问的; 2,通过Python脚本向S3写入文件 AWS_ACCESS_KEY_ID='刚才保存下来的AWS access key id' AWS_SECRET_ACCESS_KEY='刚才保存下来的AWS Secret Access Key' AWS_BUCKET_NAME='S3 桶的名..
awscli配置Access key ID和Secret access key
火苗999℃的博客
01-03 9956
配置config和credentials 在~/下创建.aws/目录,进入.aws创建config和credentials文件,权限修改为600。(Windows在用户目录下创建.aws/) config [default] output = json region = cn-northwest-1 regionj是aws区域,根据 credentials [default] aws_acces...
AWS curl获取本机信息
山炮运维
02-25 682
一直爱用ifconfig显示本机网卡信息,在写shell脚本也用ifconfig 会出现linux版本不同抓不到本机IP的问题,发布系统对接机子发行版多了这个shell会很难写。 好在AWS还是很不错的 提供了一个ec2-metadata 命令可以查看本机信息,最后用ec2-metadata去写的shell发现还有linux没有ec2-metadata命令。 AWS提供了http://169.254.169.254/latest/meta-data/ url可以查看本机信息 这个就很好用...
SSRF漏洞给云服务元数据带来的安全威胁
道阻且长,行则将至。
02-05 2287
本文讲述了云服务厂商的云服务器实例提供的元数据服务所面临的安全威胁,如果云服务器存在 SSRF 漏洞导致元数据实例具备的角色所对应的临时凭据谢泄露,那么攻击者可以通过云服务厂商提供的客户端管理工具或者 CF 云环境利用工具,非法调用受害者的云服务实例 API,甚至创建后门账户接管云服务管理台,接管受害者的所有云服务资源。
dropboxsystem_server_wtf文件什么意思
06-07
我不确定Dropboxsystem_server_wtf文件的具体含义,因为这与Dropbox无关。但是,"system_server_wtf"通常是指Android系统的一个日志文件,记录了系统服务发生意外情况时的详细信息,例如出现崩溃或异常。这个文件通常包含了系统出现问题的原因和相关的堆栈跟踪信息,以便开发人员进行故障排除。如果您遇到了类似的问题,您可以查看该文件以获取更多信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值