Web Security Academy

SSRF - Lab : Exploiting XXE to perform SSRF attacks

Objectif :

  • Obtenir la clé secrète du système de gestion des identités et des accès en utilisant un endpoint permettant de récupérer les informations d'une instance EC2.

  • Dans l'énoncé, on nous informe que l'endpoint se situe à l'adresse http://169.254.169.254/.

Solution :

On lance le lab et on se trouve dans un site de commerce :

En accédant aux détails d'un produit, on constate qu'en bas de la page on peut vérifier le stock de certains produits dans certaines villes :

Lorsqu'on clique sur "Check stock", une requête POST est envoyée au serveur contenant, comme donnée, du code XML :

On va essayer d'inclure une entité extérieure vers l'endpoint à l'adresse 169.254.169.254 pour récupérer des informations :

Le serveur répond :

On trouve le fichier "latest". On retente avec l'adresse http://169.254.169.254/latest/ et on trouve le fichier "meta-data".

On continue ce mécanisme jusqu'à arriver à /latest/meta-data/iam/security-credentials/admin puis on trouve :

On a trouvé la clef d'accès secrète et le lab est désormais validé !