• Gizli içerikleri açmak için anlamsız yorum yapmak, script isteğinde bulunmak ve link kısaltmak BAN sebebidir.

WEB | OWASP TOP 10 | Capital One SSRF

Reisci

Account Hunter
Kadim Üye
Katılım
11 Mar 2020
Mesajlar
5,746
Tepkime puanı
13,003
Puanları
108
OWASP TOP 10 | Capital One SSRF

SSRF(Server Side Request Forgery) açığı adından da anlaşılacağı üzere “Server Side Request Forgery” sunucu tabanlı istek sahteciliği anlamına geliyor.
Nasıl gerçekleştiğini basitçe açıklarsak; Saldırgan hedef sunucuya istek göndermek için araya başka bir sunucuyu dahil ederek hedefe istek gönderir.
Saldırgandan değil başkabir sunucudan gelen istekler hedef sunucuda yorumlanır.Bunun pratikte nasıl işlediğini application.security üzerinden inceyelim.

j6lf4ka.png


CapitalTen isimli banka hesabına [email protected] ve erratic321 şifresiyle giriş yapan saldırgan

mzehodp.png


Giriş yaptıktan sonra websitesi üzerinde inceleme yapmaya başlayan saldırgan “MoreAccount Services” sekmesini inceleme başlar

75higxn.png


“Change Card Image” diyerek kredi kartının tasarımını özelleştirme ekranını açar.

g1cbeiu.png


“mountain.png” adlı şablonu yüklerek ilerler.

g4kkw6e.png


göründüğü üzere yüklenen şablon kart üzerine aktarılmış ancak burda dikkat çeken şey URL çubuğunda https://www.capitalten.com/myaccount/personalize
/cardimage/preview?url=https://s3.eu-central-1.amazonaws.com/file-upload/6b7c1a1e-1a56-4db8-980a-5a4b849e1581_n.jpg
yeşil ile belirttiğim resim adresinin uzak bir sunucudan çağırıldığı gözüküyor.

7nx5tbh.png


başka bir URL çağırılır.

n98s6mh.png


gördüğünüz gibi çağrılan diğer resim kart üzerinde görülüyor. SSRF bulduğumuz anlaşılıyor.

SSRF’i sömürmeden önce kart tasarım uygulamasının backend kodlarına bir bakalım.

9hlbumx.png


Java Spring Boot ile yazılmış backend kodlarını incelerken altlarını çizdiğim satırları inceleyin.

9yhdtms.png


gördüğünüz gibi oluşturulan nesnede httpget isteğiyle URL alınıyor. Herhangi bi önlem yok.
Açığı nasıl istismar edeceğimize bakalım


lw66ja9.png


URL üzerinden AWS Meta data urlsi göndererek veri çekmeye çalışıyor.
(AWS Servislerini bilmeyenler internetten araştırabilir.)

5uywq4l.png


evet gördüğünüz gibi bize veri döndürebiliyor şimdi farklı veriler döndürelim

ofxi018.png


gördüğünüz gibi URL üzerinden istediğimiz isteği gönderiyoruz.

owg1tow.png


Gönderdiğimiz istek bize ISRM-WAF-ROLE çıktısını gösterdi.
Bu konu hakkında daha detaylı bilgi
için ziyaret edin https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html


d8ss8jh.png


Görüldüğü üzere AWS IAM token bilgilerini dönderdi. API(Application Programming Interface) kullanarak bilgileri işleyebileceğiz.

3ibteam.png


Saldırgan local terminalinde AWS için gerekli tokenleri yapılandırdıktan sonra

oese9y8.png


aws s3 ls sorgusu ile CapitalTen sunucusundaki S3 klasörlerini listeler.

SSRF ile ISRM-WAF-ROLE bilgilerini çaldık.Bu konuda AWS hakkında daha fazla fikir sahibi olmak isteyenler bulut bilişim sistemleri hakkında araştırma yapabilir.
 
Üst