SSRF绕过域名白名单的一种方式——CVE-2024-24806(影响大量nodejs服务)

已于 2024-05-09 11:18:39 修改
阅读量1.1k 收藏 7
点赞数 17
分类专栏: CVE漏洞解析 文章标签: 网络安全 安全 系统安全 web安全 安全架构 node.js
于 2024-04-29 10:06:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ooooooih/article/details/138303095
版权

挖SRC也有一段时间了,除了逻辑漏洞就是XSS,感觉没啥提升的样子(叠甲:没有瞧不起逻辑漏洞的意思,我挖得最多的就是逻辑!!),所以最近空闲时间去看了看历史的CVE报告,学习一下大佬们的思路的技巧,前段时间看到一个很有意思的漏洞,分享一下。

CVE-2024-24806

这个漏洞的发现也挺有意思的,根据原作者的描述,他是在打一个CTF比赛的时候发现的这个漏洞,它影响nodejs v10之后的所有版本(目前在v20.11.1版本已经修复),主要是nodejs依赖的的一个异步IO库libuv导致的。

图片

这个漏洞可以通过构造特定的payload来绕过服务器的域名白名单检测来访问内网API接口。

漏洞原理

getaddrinfo

先简单介绍一点前置知识,DNS大家应该都比较了解,我们拿到一个域名后,会通过DNS服务器将它解析为IP然后进行访问。在Linux上有一个方法:getaddrinfo就是用于域名和IP之间的转换,如果果传入的是域名,则会返回域名映射的IP,如果输入的是一个主机可达的IP,那么则会返回这个IP。

实际上返回的是socket结构,上面简单描述为IP。

有了上面的基础知识,那就可以进一步来看这个漏洞了。 libuv库里面有一个方法是uv_getaddrinfo_t,它在调用getaddrinfo之前,会先进行一个操作:判断输入的域名是否大于256个byte,如果大于256,则会截断它,然后再去调用getaddrinfo方法。

而nodejs的域名解析方法dns.lookup方法则刚好用到了这个库。

利用方式

以nodejs为例,基于不同的系统版本和运行环境,在截断之后,不同的系统会有不同的表现:

  1. 如果是Kail Linux的某一个版本,它在截断之后,会自动使用\0进行补全,这时候被截断的字符串就是一个完整的字符串,合法的域名或IP。

  2. 如果是其它的版本,它在截断之后,会随机增加一个byte(0-256),然后再补上一个\0,再进行调用。

  • 虽然最后一位是随机的,但是我们也可以通过爆破来遍历网段。

  • \0在C语言中用于标记字符串结尾,在读取到\0时,则认为这个字符串结束了。

举个栗子

比如我们现在有一个SSRF的入口: demo.com?url=xxxx.com。但是对于url后面的链接,服务端设置了白名单域名,只允许访问demo.com的域名,其它都会被拦截

此时我们知道有一个内网接口,不允许被外部访问:

127.0.0.1:8080/sensitive

正常来说我们是无法访问到的,因为配置了白名单,所以

demo.com?url=127.0.0.1:8080/sensitive

这种请求方式肯定会被拦截掉。

这时候我们构建一个payload:

0x0000000...7f000001.demo.com:8080/sensitive

7f000001127.0.0.1的16进制,在前面使用0补全,让它刚好是256个字符。

此时nodejs服务器在拿到

0x0000000...7f000001.demo.com:8080

这个域名时:

  1. 判断demo.com是属于白名单内的域名,绕过了检测

  2. 进行域名解析,超出256byte的部分被截断,拿到的是0x0000000...7f000001去解析

  3. 解析出来的IP则变成了 127.0.0.1

  4. 发起网络调用:127.0.0.1:8080/sensitive

至此,一个强白名单域名校验被绕过了!

最后

我只能说大佬们的代码审计能力是真的强,打个比赛随随便便就找个0day,仰望膜拜中。

这里给出原大佬的漏洞报告和payload:https://github.com/libuv/libuv/security/advisories/GHSA-f74f-cvh7-c6q6

欢迎关注我的公众号“混入安全圈的程序猿”,更多原创技术文章第一时间推送

混入安全圈的程序猿
关注
  • 17
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
ssrf-req-filter:在 NodeJS 中发送请求时防止 SSRF 的模块。 阻止对本地和私有 IP 地址的请求
05-31
ssrf-req-filter - 防止 SSRF 攻击 :shield: 服务器端请求伪造 (SSRF) SSRF 是一种攻击媒介,它滥用应用程序与内部/外部网络或机器本身进行交互。 此向量的促成因素之一是 URL 处理不当。 安装 npm install ssrf-req-filter 用法 轴: const ssrfFilter = require('ssrf-req-filter'); const url = 'https://127.0.0.1' axios.get(url, {httpAgent: ssrfFilter(url), httpsAgent: ssrfFilter(url)}) .then((response) => { console.log(`Success`); }) .catch((error) => {
利用URL特性绕过域名白名单检测
CC's Blog
01-09 1万+
URL跳转漏洞主要是利用浏览器对URL特性的支持,绕过一些正则匹配不严谨的防护。
京东云轻量云主机搭建部署Nodejs SSR应用教程
最新发布
DeChenYun_Blog的博客
06-06 288
在一个web应用中,如果前后端不分离,后端的逻辑很难融入到客户端的HTML代码中,代码会比较难阅读和维护。使用SSR (Server Side Rendering) 将服务端渲染技术应用于 Node.js 环境的 Web 应用程序,可以更友好的支持SEO,便于搜索引擎爬虫工具获取渲染的页面,以及实现更快的前端页面响应速度,提升用户访问网站体验。本文以轻量云主机(CenTOS 7.6系统)为例,介绍如何部署Nodejs SSR应用。
SSRF防御机制及方法,具体绕过方法
白帽黑客八哥的博客
12-13 929
服务器端请求伪造(SSRF)攻击是一种网络安全威胁,其中攻击者迫使服务器执行对内部系统或外部系统的请求。防御SSRF攻击需要采用多种策略和技术。以下是一些有效的防御机制及方法,以及一些常见的绕过技巧。
node.js下请求分割导致的ssrf
UserNick157的博客
08-24 366
node.js ssrf 请求分割
SSRF(Server-side Request Forgery)
blrk
12-19 7244
SSRF攻击实例解析: http://www.freebuf.com/articles/web/20407.html
CVE-2020-36179:CVE-2020-36179~82 Jackson-databind SSRF&RCE
05-29
描述CVE-2020-36179:2.9.10.8之前的FasterXML jackson-databind 2.x处理与oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS相关的序列化小工具和键入之间的交互。 CVE-2020-36180:FasterXML jackson-...
proxylogscan:一种快速扫描Microsoft Exchange Server上漏洞的快速工具,它使攻击者可以绕过身份验证并冒充管理员(CVE-2021-26855)
03-12
代理日志扫描 此工具用于大规模扫描Microsoft Exchange Server上的漏洞,该漏洞使攻击者可以绕过身份验证并冒充管理员(CVE-2021-26855)。 通过将此漏洞与另一个身份验证后任意文件写入漏洞链接在一起,以执行代码...
CVE-2021-26855
03-12
由于漏洞允许攻击者绕过认证,因此他们无需登录到 Exchange Server 即可发起攻击。 **Go 语言与漏洞的关系** 描述中提到的 "golang" 指的是 Go 语言,一种由 Google 开发的静态类型编程语言,以其简洁、高效的特性...
ProxyLogon:ProxyLogon(CVE-2021-26855 + CVE-2021-27065)Exchange Server RCE(SSRF-> GetWebShell)
03-25
ProxyLogon(CVE-2021-26855 + CVE-2021-27065)Exchange Server RCE(SSRF-> GetWebShell) usage : python ProxyLogon . py - - host = exchange . com - - mail = admin @ exchange . com python ProxyLogon ...
nodejs中如何防止ssrf攻击
qq_42880714的博客
09-28 1204
nodejs中如何防止ssrf攻击
[GYCTF2020]Node Game-nodejs通过拆分攻击实现的SSRF攻击
cjdgg的博客
08-16 1543
[GYCTF2020]Node Game 漏洞:通过拆分请求实现的SSRF攻击 假设一个服务器,接受用户输入,并将其包含在通过HTTP公开的内部服务请求中,像这样: GET /private-api?q=<user-input-here> HTTP/1.1 Authorization: server-secret-key 如果服务器未正确验证用户输入,则攻击者可能会直接注入协议控制字符到请求里。假设在这种情况下服务器接受了以下用户输入: "x HTTP/1.1\r\n\r\nDELETE /p
深入浅出带你了解文件上传白名单绕过
qq_44005305的博客
01-02 2110
今天比较详细的讲了文件上传白名单绕过原理以及应用方法,可能刚开始学不太好理解。有兴趣的小伙伴可以自己去搭建靶机来进行测试,喜欢的小伙伴不妨一键三连。# 学习计划安排我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉。
web安全第六天:绕过白名单监测实现文件上传
cc777777777的博客
02-27 3129
web安全第六天:绕过白名单监测实现文件上传
【愚公系列】2023年04月 文件上传渗透测试之绕过白名单检查(Content-Type、%00截断、0x00截断、CVE-2015-2348)
热门推荐
时光隧道
08-22 5万+
文件上传漏洞是一种安全漏洞,指攻击者通过网站上传功能上传恶意文件来攻击网站的漏洞。攻击者可以通过利用这种漏洞上传恶意文件来执行代码和命令,进而控制网站、窃取敏感信息等。常见的文件上传漏洞主要存在于没有健全的文件上传验证机制的网站中。白名单检查是一种安全机制,用于限制只有列入特定名单中的人员、设备或程序才可以获得访问权限,而不允许其他未经授权的访问。这种机制通常用于保护敏感数据或系统不被未经授权的访问和攻击。在白名单检查中,只有列入白名单的实体允许通过验证,而不在白名单中的所有实体都被阻止访问相关资源。
【复现】D-Tale SSRF漏洞(CVE-2024-21642)_26
fushuang333的博客
01-22 742
【复现】D-Tale SSRF漏洞(CVE-2024-21642),可能会进行端口扫描,内网Web应用指纹识别,攻击内网Web应用
【漏洞复现】Gradio file SSRF漏洞(CVE-2024-1183)
qq_67810151的博客
04-28 319
Gradio存在SSRF漏洞,未授权的攻击者可以通过该漏洞扫描和识别内部网络中的开放端口,通过操纵GET请求中的"file"参数,攻击者可以根据响应中是否存在"Location"标头或"File not allowed"错误来辨别内部端口的状态。
文件上传 黑名单&白名单绕过(上)
她叫常玉莹
10-04 5126
前言 文件上传常见验证: 后缀名:类型,文件头 后缀名:黑名单,白名单 文件类型:MIME信息 文件头:内容信息 php与html代码混编 $_FILES[表单上传name][‘name’] <?php $_FILES[upload_file]['name']; ?> <form method="post" action=""> <p>请上传需要上传的文件:</p> <input class="input_file" type="file" name=
以下Weblogic漏洞为反序列化的有 (2分) A CVE-2017-10271 B CVE-2018-2628 C CVE-2014-4210 D CVE-2017-3506
06-08
以下Weblogic漏洞为反序列化的有A CVE-2017-10271、B CVE-2018-2628和D CVE-2017-3506。 WebLogic Server是一款流行的Java应用服务器,由Oracle公司开发和维护。WebLogic Server的反序列化漏洞是一种常见的安全漏洞,攻击者可以通过构造恶意序列化数据,从而实现远程代码执行、绕过身份验证等攻击。 以下是反序列化漏洞的相关信息: A. CVE-2017-10271:WebLogic Server WLS-WSAT组件反序列化漏洞,攻击者可以通过构造特定的HTTP请求,实现远程代码执行。 B. CVE-2018-2628:WebLogic Server T3协议反序列化漏洞,攻击者可以通过构造特定的T3协议请求,实现远程代码执行。 C. CVE-2014-4210:WebLogic Server SSRF漏洞,攻击者可以通过构造恶意请求,访问内部网络资源。 D. CVE-2017-3506:WebLogic Server WLS Security组件反序列化漏洞,攻击者可以通过构造特定的HTTP请求,实现绕过身份验证。 因此,选项A、B和D是反序列化漏洞。 答案:A、B、D。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值