1,000 ドルの報奨金の話 — SSRF からアクセス トークンやその他の機密情報を漏えいする

Nov 07 2022
こんにちは。Google クラウド アクセス トークンやその他の機密データを漏えいした SSRF を悪用して、HackerOne で最初の報奨金を獲得した方法についての私の話にようこそ. 私は HackerOne のプライベート招待リストからターゲットを選択したため、ターゲットを開示することはできず、編集済みと呼びます。

こんにちは。Google クラウド アクセス トークンやその他の機密データを漏えいした SSRF を悪用して、HackerOne で最初の報奨金を獲得した方法についての私の話にようこそ.

HackerOne のプライベート招待リストからターゲットを選択したため、ターゲットを開示することはできず、redacted.com と呼びます。サブドメインの収集、ライブ ホストの取得、nuclei の実行、ディレクトリ ブルート フォーシング、nmap、waybackurl の取得などの偵察プロセスを実行する自動化ツールを作成しました。自動化が完了した後、waybackurl などのすべてのデータを分析しました。 .

waybackurls は面白そうだったので、すぐに gf パターンを使用して、脆弱な可能性のあるすべての ssrf エンドポイントを取得しました

cat waybackurl | gf ssrf

      
                

Apache サーバーを起動し、アラート JavaScript ペイロードをアップロードして XSS を試してみました

しかし、XSS はあまり影響を与えないのでやめて、 ssrf を探し始めました。

https://redacted.redacted.com/latest/meta-data/iam/security-credentials/?__host=169.254.169.254&__proto=https

次に、Google のような他のエンドポイント、デジタル オーシャン ワンズを試してみませんか。私が提供するすべての ssrf エンドポイントを含む PDF の助けを借りて、最後に Google クラウド エンドポイントが 502 以外の応答を返しました。

レスポンスに含まれていた

Missing required header: Metadata-Flavour

      
                

次に、を使用してアクセストークンを取得しようとしました

GET /computeMetadata/v1/instance/service-accounts/default/token?__host=169.254.169.254&__proto=http

スコープ、電子メール、地域、IDなどの他の詳細を試してみました。

報告

私はすべてのPocに脆弱性を報告し、翌日まで待ちました.

PDF: SSRF.pdf

ここまで読んでくれてありがとう、皆さんがこの記事から何か新しいことを学んだことを願っています. 楽しんだら、拍手をしてフォローしてください。

ツイッター:https://twitter.com/imfaiqu3

インスタグラム:https://www.instagram.com/faique.exe

リンクトイン:https://www.linkedin.com/in/faiqu3/

Infosec の記事より: Infosec では毎日、追いつくのが難しい多くのことが起きています。毎週のニュースレターに参加して、5 つの記事、4 つのスレッド、3 つのビデオ、2 つの GitHub リポジトリとツール、1 つのジョブ アラートの形式で最新の Infosec トレンドを無料で入手してください!

© Copyright 2021 - 2022 | hachiwiki.com | All Rights Reserved