Selam, son zamanlarda birkaç pentest sırasında karşıma çıkan klasik ama etkili bir yöntemi paylaşmak istedim. Birçok web uygulamasında hâlâ tam olarak filtrelenmeyen SSRF zafiyetiyle AWS EC2 instance’larının metadata servisini nasıl sömürebileceğimizi anlatıyorum. Özellikle IMDSv2’ye geçiş yapılmamış ortamlarda işler bayağı kolaylaşıyor.
Öncelikle hedef uygulamada SSRF noktası bulduktan sonra metadata endpoint’ine istek atıyoruz. Basit curl komutları işimizi görse de bazen header manipülasyonu veya encoding trick’leri gerekebiliyor.
Hidden content - for more
Konuyu Görebilmeniz için "Beğenmeniz ve Yorum yapmaniz" Gerekir.
Eğer IMDSv2 aktifse iş biraz zorlaşıyor, PUT isteğiyle token almak gerekiyor. Token’ı aldıktan sonra Authorization header’ıyla metadata’ya erişim sağlanabiliyor. Bu kısım çoğu zaman gözden kaçıyor ve credential’lar açıkta kalıyor.
Gerçek hayatta karşılaştığım bir vakada, sadece bu yöntemle instance profilindeki yüksek yetkili role’ü ele geçirip tüm S3 bucket’larına erişim sağlamıştık. Tavsiyem, metadata servislerini kesinlikle IP bazlı kısıtlamayla veya IMDSv2 + hop limit ile korumak.
