攻擊者是如何利用SSRF漏洞讀取本地文件並濫用AWS元數據的

漏洞簡介

首先，我抓取並手動執行了該應用程序上的所有用戶操作。之後，我通過burp檢查了http歷史記錄中的所有的請求，坦率的說我當時想要挖掘url重定向漏洞。所以，我通過Burp搜索了url=所有可能的參數，並最終發現了一個如下所示的網址：

https://example.com/viewimage/?url=AWS圖像位置（該圖像存儲在AWS，所以需要從這裡載入）

實際上，這個端點就是用來載入我長傳到網站上的圖像的，而我的圖像是存儲在aws存儲桶中的。很明顯，既然它要載入內容，那為什麼不從其他域載入內容呢？試試RFI如何？

下面是我所採取的具體步驟：

嘗試XSS（可惜失敗了）

首先，我嘗試挖掘一個XSS漏洞。為此，我參閱了關於挖掘XSS漏洞的文章。我的做法就是在網址中添加http://brutelogic.com.br/poc.svg。所以，最終製作出來的網址變成https://example.com/viewimage/?url=http://brutelogic.com.br/poc.svg。之後，我訪問了該網址，但它並沒有載入內容，而是下載了一個簡單的文本文件，不過該文件內並沒有任何內容。

嘗試讀取本地文件（成功了）

接下來，我嘗試通過URL模式來讀取內部數據並讓伺服器執行某些操作（如file:///、dict://、ftp://、gopher://等）。所以，最終製作出來的網址為https://example.com/viewimage/?url=file:///etc/passwd。

然後，又下載了一個文本文件：

當我檢查下載的文本文件時，對於其中的內容倍感驚訝：這分明就是etc/passwd文件的內容。

現在，既然發現這個網站會載入來自AWS的圖像，那麼為什麼不設法提取內部的AWS元數據呢？

讀取AWS EC2元數據

為了對url參數進行相應的修改，需要查看當前運行實例中所有類別的實例元數據，為此，可以藉助於下列URI：

http://169.254.169.254/latest/meta-data

所以，最終精心設計的URL變為https://example.com/viewimage/?url=Location。

之後不出所料，它再次下載了一個文本文件，該文件內容如下所示：

接下來，我們將嘗試讀取更為機密的信息，具體方法如下所示：

http://169.254.169.254/latest/meta-data/iam/security-credentials/aws-elasticbeanorastalk-ec2-role

這樣，我們就能讀取秘密訪問密鑰、令牌等機密信息了。之後，將這些信息導出後，就可以通過AWS客戶端訪問……這個，你們懂的。

簡單來說，利用這裡的安全許可權，我們就可以通過SSRF漏洞實現RCE了。

獲取私有訪問秘鑰等登陸憑證後進一步滲透測試的詳細介紹，請參閱https://www.notsosecure.com/exploiting-ssrf-in-aws-elastic-beanstalk/。

另外，該漏洞我已經提交了相關部門，並且現在已經得到了修復，同時，我還收到了4位數的獎金。希望本文對大家有所幫助！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！