- 15 Ocak 2019
- 609
- 2
- 244
Merhaba, uzun zaman oldu konu açmayalı :d web hacking konusuna AWS tekniklerine değinemeden olmaz gibi. Öncelike AWS sunucu barındırma, db gibi kaynakların tutulduğu ve kullanıcının kullandığı kadar ödeme yapmasına izin veriyor. Rağbet fazla ve potansiyel açıkları bir o kadar...
Örnek olarak basit bir web sitesini görüyorsunuz...
Web sitesinde öncelikle başıboş açık aramadan önce mimarisini ve kullandığı yapıları kontrol ederken birden kullandığı galeri-video içeriklerini AWS de barındırttığını görüyorum. AWS üzerinde arama yapacağımız "mega-big-tech." var. aws ile s3 bağlantı kurmayı deniyelim.
50. denememizde başarıyoruz "--no-sign-request ekleyin" ve sadece "ls" komutları ile sınırlı kalmayın belkide perm'den dolayı işlem yapamıyor olabilirsiniz.Gördüğünüz gibi bir veri alabildik şimdi ilerleyerek gideceğiz.
- aws s3 ls: S3'teki nesneleri listeleme.
- aws s3 cp: Dosya kopyalama (put/get gibi işlevleri yerine getirir).
- aws s3 mv: Dosya taşıma.
En temeli gördük, sırada senaryolarımız var en basitiyle bir SSRF göreceğiz basit bir web sayfasında domain check yapıyoruz
Pekala dış kaynaklardan veri alabiliyoruz ve durumun sadece ping based olup olmadığını kontol edebiliriz, eğer ki lokal kaynakları çağırabiliyorsam lokalimdeki kiritk dosyaları okuyabilir miyim ? SSRF konusunda bir takım payloadlar verebilirsin;
......
Hemen örneği gösteriyorum
http://[::]:80 verdim ve ana kaynağım yüklendi ama sistemin kritik bilgilerini toplamak için hangi mimaride olduğunu bilmiyorum. Yoksa lokalindeki dosyaları nasıl bilebilirim ? Bunun için nmap kullanıp bakıyorum
Buradan gördüğünüz gibi linux mimarisi kullandığını belirtmiş. Eğer ki /proc/self/environ veya apache2 log hijacking tarzında yöntemleri ile sistem üzerinde kod çalıştırabilirsiniz. Şimdi ise AWS ne alaka diyebilirsiniz. Kurulu olan her sistem üzerinde sabit bir ip adresi vardır ki bu adreste kullanıcının config dosyalarını toplayabilirsin.
İP: http://169.254.169.254/
Gördüğünüz üzere artık verilen ip adresinden kullanıcının AWS verilerini dumplayabilecek yapıya girdik şimdi "latest" klasörüne girerek benden istenildiği creds'lere ulaşmak için ilerliyorum ve bingo...
Peki bu token moken nereye eklenecek ne işimize yarayacak diyorsanız aws uygulmanızda configure kısmını açıp verilen verileri ekleyin sonrası privil. escaliaton konusu, orasıda sizin bileceğiniz iş.
Şİmdi ise çok basit şekilde Hedef sitede LFİ zafiyeti üzerinden kritik AWS dosyasını kendimize çekeceğiz, sitenin parameterisini görüyoruz sadece düz kullanıcının ilgili .csv dosyasını indiriyor.
Buraya kadar herşey çok normal, pekala sistemin mimarisinin unix bazlı olduğunu biliyorum. Sizler bir payload listesinden fuzz edebilirsiniz konuyu uzatmamak adına örnek bir sistem dosyasını çekip paylaşıyorum.
Sistem üzerinde LFİ fuzzing işlemini bitirdikten sonra passwd üzerinde işime yarayabilecek olan /ec2-user/ default dosya yollarında istediğim veriyi almayı başaramıyorum. /.aws/ klaösrü yok bunun yerine nedf yardımımıza koşuyor.
- Karşılabilecek alanlar -
Host Header Enjeksiyonları örn:
Host: victim.com
host:169.254.169.254
-------
host: 169.254.169.254
-----
host: testsite.com[.]169.254.169.254
-----
GET / http://test.com
host: 169.254.169.254
-----
Location/Referer İnj..
SSRF Enjeksiyonları örn:
$(curl -X POST http://169.254.169.254/)@mail.com
?uri=securesite.com@169.....
Sql enjeksiyonları, SSTI, Kod enjeksiyonları, Http Req Smulling gibi tonlarca örnek verilebilir meseleyi cloud hacking'e çekmek için kullanilabilir ve verdiğim örnekler devam ettirilebilir. Beni okuduğun için teşekkür ederim, kendine iyi bak.
Pekala dış kaynaklardan veri alabiliyoruz ve durumun sadece ping based olup olmadığını kontol edebiliriz, eğer ki lokal kaynakları çağırabiliyorsam lokalimdeki kiritk dosyaları okuyabilir miyim ? SSRF konusunda bir takım payloadlar verebilirsin;
......
Hemen örneği gösteriyorum
http://[::]:80 verdim ve ana kaynağım yüklendi ama sistemin kritik bilgilerini toplamak için hangi mimaride olduğunu bilmiyorum. Yoksa lokalindeki dosyaları nasıl bilebilirim ? Bunun için nmap kullanıp bakıyorum
Buradan gördüğünüz gibi linux mimarisi kullandığını belirtmiş. Eğer ki /proc/self/environ veya apache2 log hijacking tarzında yöntemleri ile sistem üzerinde kod çalıştırabilirsiniz. Şimdi ise AWS ne alaka diyebilirsiniz. Kurulu olan her sistem üzerinde sabit bir ip adresi vardır ki bu adreste kullanıcının config dosyalarını toplayabilirsin.
İP: http://169.254.169.254/
Gördüğünüz üzere artık verilen ip adresinden kullanıcının AWS verilerini dumplayabilecek yapıya girdik şimdi "latest" klasörüne girerek benden istenildiği creds'lere ulaşmak için ilerliyorum ve bingo...
Peki bu token moken nereye eklenecek ne işimize yarayacak diyorsanız aws uygulmanızda configure kısmını açıp verilen verileri ekleyin sonrası privil. escaliaton konusu, orasıda sizin bileceğiniz iş.
Şİmdi ise çok basit şekilde Hedef sitede LFİ zafiyeti üzerinden kritik AWS dosyasını kendimize çekeceğiz, sitenin parameterisini görüyoruz sadece düz kullanıcının ilgili .csv dosyasını indiriyor.
Buraya kadar herşey çok normal, pekala sistemin mimarisinin unix bazlı olduğunu biliyorum. Sizler bir payload listesinden fuzz edebilirsiniz konuyu uzatmamak adına örnek bir sistem dosyasını çekip paylaşıyorum.
Sistem üzerinde LFİ fuzzing işlemini bitirdikten sonra passwd üzerinde işime yarayabilecek olan /ec2-user/ default dosya yollarında istediğim veriyi almayı başaramıyorum. /.aws/ klaösrü yok bunun yerine nedf yardımımıza koşuyor.
- Karşılabilecek alanlar -
Host Header Enjeksiyonları örn:
Host: victim.com
host:169.254.169.254
-------
host: 169.254.169.254
-----
host: testsite.com[.]169.254.169.254
-----
GET / http://test.com
host: 169.254.169.254
-----
Location/Referer İnj..
SSRF Enjeksiyonları örn:
$(curl -X POST http://169.254.169.254/)@mail.com
?uri=securesite.com@169.....
Sql enjeksiyonları, SSTI, Kod enjeksiyonları, Http Req Smulling gibi tonlarca örnek verilebilir meseleyi cloud hacking'e çekmek için kullanilabilir ve verdiğim örnekler devam ettirilebilir. Beni okuduğun için teşekkür ederim, kendine iyi bak.
ne giriş ner gelişme ne sonuç... ama yorumun için sağol gerçekten yapıcı olmuş.
