Câu chuyện về tiền thưởng trị giá 1 nghìn đô la - SSRF về việc rò rỉ mã thông báo truy cập và thông tin nhạy cảm khác

Nov 07 2022
Xin chào và chào mừng mọi người đến với câu chuyện của tôi về cách tôi nhận được tiền thưởng đầu tiên trên HackerOne bằng cách khai thác một SSRF làm rò rỉ mã thông báo truy cập đám mây của Google và các dữ liệu nhạy cảm khác, Trước khi tiếp tục, tôi muốn cảm ơn cộng đồng ngọt ngào này đã giúp đỡ tôi trong hành trình chung . Tôi đã chọn mục tiêu từ danh sách lời mời riêng tư của HackerOne, do đó tôi không thể tiết lộ mục tiêu và vì vậy tôi sẽ gọi nó là redacted.

Xin chào và chào mừng mọi người đến với câu chuyện của tôi về cách tôi nhận được tiền thưởng đầu tiên trên HackerOne bằng cách khai thác một SSRF làm rò rỉ mã thông báo truy cập đám mây của Google và các dữ liệu nhạy cảm khác, Trước khi tiếp tục, tôi muốn cảm ơn cộng đồng ngọt ngào này đã giúp đỡ tôi trong hành trình chung .

Tôi đã chọn mục tiêu từ danh sách lời mời riêng tư của HackerOne, do đó tôi không thể tiết lộ mục tiêu và vì vậy tôi sẽ gọi nó là redacted.com. Tôi bắt đầu với việc kiểm tra lại, tôi đã tạo ra một công cụ tự động hóa để thực hiện quá trình kiểm tra lại của tôi như thu thập các miền phụ, tải các máy chủ trực tiếp, chạy hạt nhân, cưỡng bức thư mục, nmap và nhận các mã backback, v.v. Sau khi tự động hóa xong, tôi đã phân tích tất cả các dữ liệu như backbackurls và các dữ liệu khác .

Các đường dự phòng có vẻ thú vị nên tôi nhanh chóng sử dụng các mẫu gf để lấy tất cả các điểm cuối ssrf có thể dễ bị tấn công

cat waybackurl | gf ssrf

      
                

Tôi đã thử XSS với nó bằng cách kích hoạt máy chủ Apache và tải lên tải lên JavaScript cảnh báo

Nhưng tôi đã dừng lại vì XSS sẽ không quá ảnh hưởng và bắt đầu tìm kiếm ssrf, Trong tham số __host, tôi đặt 169.254.169.254 và trong url tôi đã thêm / mới nhất / meta-data / iam / security-credentials /

https://redacted.redacted.com/latest/meta-data/iam/security-credentials/?__host=169.254.169.254&__proto=https

Sau đó, tôi mặc dù tại sao không thử các điểm cuối khác như google, digital ocean, tôi đã nhờ sự trợ giúp của một pdf có tất cả các điểm cuối ssrf mà tôi sẽ cung cấp và cuối cùng điểm cuối đám mây của google đã đưa ra phản hồi khác với 502.

Phản hồi có

Missing required header: Metadata-Flavour

      
                

Sau đó, tôi đã cố gắng lấy mã thông báo truy cập bằng cách sử dụng

GET /computeMetadata/v1/instance/service-accounts/default/token?__host=169.254.169.254&__proto=http

Tôi đã thử và nhận được các chi tiết khác như phạm vi, email, khu vực và id, v.v.

Báo cáo

Tôi đã báo cáo lỗ hổng bảo mật với tất cả Pocs và đợi cho đến ngày hôm sau, họ phản hồi và công nhận đó là một phát hiện thú vị và thưởng cho tôi 1000 đô la tiền thưởng

PDF: SSRF.pdf

Cảm ơn bạn đã đọc đến đây, tôi hy vọng các bạn đã học được điều gì đó mới từ bài viết này. Nếu bạn thích, hãy vỗ tay và theo dõi tôi trên:

Twitter:https://twitter.com/imfaiqu3

Instagram:https://www.instagram.com/faique.exe

LinkedIn:https://www.linkedin.com/in/faiqu3/

Từ Infosec Writeups: Rất nhiều thứ xuất hiện trong Infosec mỗi ngày mà thật khó để theo kịp. Tham gia bản tin hàng tuần của chúng tôi để nhận tất cả các xu hướng Infosec mới nhất dưới dạng 5 bài báo, 4 Chủ đề, 3 video, 2 Bản cập nhật GitHub và các công cụ, và 1 cảnh báo việc làm MIỄN PHÍ!

© Copyright 2021 - 2022 | vngogo.com | All Rights Reserved