正文

正常情况下的请求:

在正常情况下，用户会在LRS配置中输入一个合法的、用来收集学习记录的URL，例如：

http://legit-lrs-server.com/data

服务器会发送请求到这个URL，去获取或存储相关的数据。

受到攻击后的请求（SSRF攻击） 如果攻击者利用SSRF漏洞，他们可以输入一个指向AWS元数据服务的URL，例如：

http://169.254.169.254/latest/meta-data/

这个URL是AWS实例中一个特殊的IP地址，提供有关实例的元数据。服务器会将此请求发送到该地址，并返回元数据信息。

攻击流程详细解释 步骤 1: 发现SSRF漏洞 攻击者首先发现了网站中的一个功能，该功能允许用户输入一个URL，服务器会根据这个URL发出请求。

步骤 2: 构造恶意请求 攻击者利用这个功能构造了一个恶意的URL，指向AWS元数据服务。例如：

http://169.254.169.254/latest/meta-data/

这个URL指向了AWS元数据终端，攻击者希望通过这个请求获取到与实例相关的敏感信息。

步骤 3: 发送恶意请求 攻击者通过网站的LRS配置功能，提交了这个恶意URL。服务器会按照攻击者提供的URL发送请求：

POST /products/create/ HTTP/1.1
Host: victim.com
...
LRS_URL=http://169.254.169.254/latest/meta-data/

服务器尝试访问这个URL，并从AWS元数据终端获取信息。

步骤 4: 获取并分析响应

服务器从AWS元数据终端获取到数据，并将其作为配置的日志记录保存下来。攻击者随后可以下载这些日志并分析其中的响应内容，发现例如AMI ID、实例ID、网络信息，甚至可能是AWS密钥等敏感信息。

攻击者通过这一系列操作，可以从服务器中获取到大量内部信息，并且可能利用这些信息对系统发起进一步的攻击。

一般这种造成元数据泄露的是ssrf漏洞中危害程度比较大的，因为其元数据中有ak,sk这类敏感数据

往期回顾

dom-xss精选文章

年度精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips

参考

https://hackerone.com/reports/1628102