欢迎访问Sunbet,Sunbet是欧博Allbet的官方网站!

首页Sunbet_新闻事件正文

Slack的$ 1.000 SSRF

b9e08c31ae1faa592019-02-2415


在最先之前,关于任何从BugBounty最先的人来讲,我有两个主要提醒。

1:一直搜检之前的申报,您能够晓得在这类情况下能够有用的旁路,或许您能够学习新的器械。

2:如果您喜好有关Bug Bounty或其他黑客相关内容的内容,请注册我的频道并存眷新帖子。

SLACK和SSRF:

Slack是一个合作中央,它将适宜的职员,信息和对象连系在一同,以完成事情。从财产100强公司到角落市场,环球数百万人运用Slack衔接他们的团队,一致他们的体系,推进营业生长。

斜杠敕令 Slash Commands

“api.slack.com中的SSRF,运用斜杠敕令并绕过珍爱措施。”

您能够在此处相识有关Slash Commands的更多信息:

“一些Slack功用,如”Integrations / Phabricator“和”Integration / Slash Commands“许可用户提交将由后端效劳器接见的URL。黑名单试图制止接见内部资本(loopback,10.0.0.0 / 8,192.168.0.0 / 24,...)。能够运用“[::]”作为主机名绕过此黑名单。只要运用该向量能力抵达绑定一切接口和支撑IPv6的效劳。“

Slack的$ 1.000 SSRF  第1张

Slack已禁用在Slash敕令中注册IPV6地点的选项。

slacka:' 我为ipv6阻挠创建了一个新问题,并与我们的工程师一同晋级了案例。当我们有更新时,我会关照你。'

对他们来讲,一个修复,对我来讲,一个旁路。

为了绕过这类新的珍爱,我在PHP中运用了带有“Location”题目的重定向。

在您本身的域中:index.php

<?php
 header("location: http://[::]:22/");
 ?>

location: http://[::]:22/
并生存。
转到你的Slack并输入/ youslash
尝尝我的效劳器http:// hackerserver [。] com /

效果
:22

Slack的$ 1.000 SSRF  第2张

:25

Slack的$ 1.000 SSRF  第3张

7月13日 - 第一回应
7月18日 - Tri CC
于1月23日 - Slack以500美圆的奖金嘉奖了elber。

-------------------------------------

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

-------------------------------------

在找到此绕过以后,我在Slack中寻找了更多破绽,并找到了Event Subscriptions参数。

“在事宜定阅参数中绕过SSRF珍爱。”

该破绽出现在“事宜定阅”参数中,个中:
“ Your app can subscribe to be notified of events in Slack (for example, when a user adds a reaction or creates a file) at a URL you choose.”。
URL:https://api.slack.com/apps/YOUAPPCODE/event-subscriptions?

当我们增加不符合API规范的网站时,我们会收到以下音讯:

Slack的$ 1.000 SSRF  第4张

Your request URL gave us a 500 error. Update your URL to receive a new request and challenge value.

运用IPV6向量旁路[::]。

在我的host上,x.php有:

<?php
header("location: ".$_GET['u']);
?>

PoC:
http://hacker.site/x.php/?u=http://%5B::%5D:22/

Response:
SSH [::]:22

Slack的$ 1.000 SSRF  第5张

SMTP [::]:25

Slack的$ 1.000 SSRF  第6张

这份申报Slack被选为另外一个SSRF的副本,我对峙说他们把我作为另外一个申报的参与者。

我看到另外一份申报与我的分歧,以是我通知团队他们多是错的。

网友评论