hands on SSRF(Server Side Request Forgery)

4602 ワード

OWASP Nagoya

Little Deep Dive AWS Security
by 田中隆博氏
AWS Solutions Architect
ラーメン好き

テーマ
Capital One で発生した情報漏洩事象を題材に、Server Side Request Forgeryを利用したクラウド上のメタ情報の窃取手法について

Capital Oneの漏洩事例

Slack Channel へ投稿

I’ve basically strapped myself with a bomb vest, f—ing dropping Capital One dox and admitting it. I wanna distribute those buckets …There’s SSNs..with full name and [date of birth].
Paige A. Thompson

・・・そして発覚
2005年から2019年にかけてクレジットカードの申請をした人など、１億600万人分の個人情報が不正アクセスをうけた事が判明。

Matt Forbes - 'Mad About You' が流れてきそうですね♪

Let's hands on

SSRF・・・何やら面白そう、なので実際試してみようと思います。

PoC(proof of concept)
目標はEC2のクレデンシャルを読み込んで、ブラウザへ不正に表示させます。・・・現時点でクレデンシャルが取れないので代わりにOpen SSH Public keyを取得しました。

http://ec2-0-0-0-0.us-east-2.compute.amazonaws.com/ssrf.php?url=http://169.254.169.254/latest/meta-data//public-keys/0/openssh-key

なお、PHPの~~curlを悪用するコード~~元々正当な目的でcurlを利用しているコードを、SSRF攻撃のためにサーバー側で用意したいと思います。徳丸氏のブログから参照しました。

ssrf.php

<?php
  require_once('./htmlpurifier/library/HTMLPurifier.includes.php');
  $purifier = new HTMLPurifier();

  $ch = curl_init();
  curl_setopt($ch, CURLOPT_URL, $_GET['url']);
  curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
  $html = curl_exec($ch);
  echo $purifier->purify($html);

AWS無料枠だけで構築します。こちらから申し込みます。
AWS のプラットフォーム、製品、サービスを無料で実際に体験できます。
Webサーバーはnginxとphp-fpmをインストール。
phpinfoで動作確認します。
HTMLPurifierを利用するため、Composerをインストール、バージョンを確認します。

$ composer
   ______
  / ____/___  ____ ___  ____  ____  ________  _____
 / /   / __ \/ __ `__ \/ __ \/ __ \/ ___/ _ \/ ___/
/ /___/ /_/ / / / / / / /_/ / /_/ (__  )  __/ /
\____/\____/_/ /_/ /_/ .___/\____/____/\___/_/
                    /_/
Composer version 1.9.1 2019-11-01 17:20:17

先ほどのssrf.phpをnginxのドキュメントルートへ配置したら完成です！

確認のため以下のURLを指定してホームーページを表示したところです。

http://ec2-0-0-0-0.us-east-2.compute.amazonaws.com/ssrf.php?url=https://qualias.net

AWSの仕様として実行中のインスタンスからインスタンスメタデータが取得できることでPHP curlを使えば、SSRFができることも、何となく分かりました。今日のところは時間切れです。

時間があれば一時的セキュリティ認証情報の使用も試したい。

更に技術的な方法論については、こちらに記載されています。
Riyaz Walikar / An SSRF, privileged AWS keys and the Capital One breach
Ravi Ivaturi / Capital One Security Incident & Key Lessons, so far anyway.

Author And Source

この問題について(hands on SSRF(Server Side Request Forgery)), 我々は、より多くの情報をここで見つけました https://qiita.com/nihonmatsu/items/c3ddd86c769baa9e77e7

著者帰属：元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。

Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .