未经许可,不得转载。
文章目录
前言
Acme 是一家广受欢迎的播客托管公司,拥有庞大的客户群体。与许多大型运营公司一样,Acme 采用了Apiary的服务,使用户能够安全高效地管理他们的播客。
Apiary 于2017年初被Oracle收购,提供了一套完整的工具集,用于开发、测试和管理REST API。
正文
注册 Acme Services。主页面如下:
上图显示了带有模板的 Apiary REST API 页面。左侧列出了可用的端点列表,每个端点根据其用途通常具有不同的请求方法,如 GET、POST 或 PUT;中间部分展示了有关每个端点的详细信息;右侧是 REST API 控制台,其中包含修改请求的各种选项,如 URI 参数、请求标头和请求正文。
右侧给出了一个示例URI:https://polls.apiblueprint.org/questions,并只能发送 GET 请求。
根据端点名称推测,发送GET请求将返回与调查相关的内容。使用UI控制台发送请求后,收到了预期的数据:
而该请求在BurpSuite中却是这样的:
也就是说,UI控制台显示的Get请求实质上是通过https://jsapi.apiary.io/apis/ssrftest/http-transactions/接口、以POST请求发送的。
通过响应包可以看到,存在一个URL参数,Apiary 正在创建一个模拟端点,端点环境为apiary-mock:
在生产环境中,通常是一个环境(Staging、Development、QA、Testing、Production、Question 等)对应一个单独的端点。而环境参数即为请求包中的Destination参数。
尝试将Destination参数由production改为questions:
响应如下,说明在此应用程序中,确实存在多组一一映射关系:
漏洞利用
云提供商(如AWS、Microsoft Azure和Google Cloud)使用的云服务器元数据 REST 接口通常通过 http://169.254.169.254 提供。
该地址是提供实例元数据服务(IMDS)的入口点。IMDS允许实例在运行时获取其自身的详细信息,包括但不限于:
- 实例的ID和名称
- 实例的IP地址和其他网络配置信息
- 实例的操作系统和应用程序信息
- 实例的启动参数和元数据
因此尝试修改URL参数为 http://169.254.169.254/opc/v2/(Oracle Cloud 的实例元数据版本) ,以访问 Oracle Cloud 的 IMDS 端点:
响应如下:
我们收到了敏感数据,其中包含三个主要证书文件:cert.pem、Intermediate.pem、key.pem
这三个文件都负责509证书签名过程,接下来,我们在本地配置属性,就可以直接通过Oracle调用接口(OCI)进行渗透测试。
第一步:使用Python的Flask模块在本地设置一个服务器。这样,当我们向实际服务器发送请求时,我们的本地服务器将通过自定义的本地地址获取所有三个证书文件。
第二步:使用命令sudo /sbin/ifconfig lo0 169.254.169.254 netmask 255.255.255.0 up,将本地主机地址重置为与IMDSv1地址相同(169.254.169.254)。这样,在向OCI服务器发送命令时,它将在IMDSv1服务器(即本地)上查找这三个证书文件。
第三步:认证成功。
接着我们就可以执行命令:
oci--auth instance_principal iam compartment list--compartment id ocid1.tancy.oc1..aaaaaaaa t6du5rqytqh7vxfxh3fxbij7abcdefghiklmnopqrstuvxyz
这里列出指定 compartment-id 的 IAM(身份和访问管理)部门。--auth instance_principal 表示我们使用实例主体身份验证,ocid1.tenancy.oc1..aaaaaaaat6du5rqytqh7vxfxh3fxbij7abcdefghiklmnopqrstuvwxyz 是一个示例的租户ID(Tenancy OCID),用于指定我们要查询的部门所在的租户。
回显如下,获取敏感数据:
原文出处:https://orca.security/resources/blog/oracle-server-side-request-forgery-ssrf-attack-metadata/