τα στοιχεία επικοινωνίας μου
Ταχυδρομείο[email protected]
2024-07-12
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
δεν επιτρέπεται η αναδημοσίευση χωρίς συγκατάθεση.
Το Azure Functions είναι μια υπολογιστική υπηρεσία χωρίς διακομιστή που παρέχει όλες τις απαραίτητες υποδομές και πόρους κατά παραγγελία για εφαρμογές που εκτελούνται. Μπορεί να χρησιμοποιηθεί για τη δημιουργία Web API, την απόκριση σε αλλαγές της βάσης δεδομένων, την επεξεργασία ροών δεδομένων IoT, τη διαχείριση ουρών μηνυμάτων και άλλους σκοπούς.
Πρώτα δημιουργήστε μια εφαρμογή συνάρτησης:
Δημιουργία κωδικού λειτουργίας:
Αφού κάνετε κλικ στο Λειτουργίες, μπείτε στην ακόλουθη σελίδα για διαμόρφωση:
Εισαγάγετε ένα δείγμα ονόματος και επιλέξτε ένα πρότυπο:
Αφού δημιουργηθεί η εφαρμογή λειτουργίας, επιλέξτε Code + Test. Υπάρχουν διάφορα αιτήματα που αποστέλλονται από τον πελάτη, συμπεριλαμβανομένων δύο ειδικών αιτημάτων:
1、https://functions.azure.com/api/passthrough
2、https://functions.azure.com/api/debug
Κάνοντας αναζήτηση στη βιβλιοθήκη GitHub, ο κωδικός κλειδιού είναι ο εξής:
Όπως μπορείτε να δείτε από το πακέτο αιτημάτων που αντιστοιχεί σε αυτόν τον κωδικό, το πρόγραμμα περιήγησης στέλνει την προσαρμοσμένη λειτουργία μας (BlobTrigger1.dat) έστειλε ένα αίτημα GET:
Από την ανάγνωση της τεκμηρίωσης, οι ακόλουθες δύο παράμετροι χρησιμοποιούνται για τον έλεγχο ταυτότητας στο functions.azure.com και είναι απαραίτητες για την εκτέλεση του αιτήματος:
Αυτό σημαίνει ότι αφού αφαιρέσουμε αυτές τις δύο κεφαλίδες, μπορούμε να στείλουμε οποιοδήποτε αίτημα.
Στη συνέχεια, τροποποιήσαμε τη διεύθυνση url και λάβαμε τη διεύθυνση του διακομιστή Azure Functions:
Στέλνοντας ένα αίτημα στη διεύθυνση https://www.nba.com, η απάντηση είναι η εξής:
Αποδεικνύεται ότι η εφαρμογή συνάρτησης χρησιμοποιείται για την εκτέλεση του αιτήματός μας.
Ταυτόχρονα, οι πληροφορίες σχετικά με τη διεύθυνση IP λαμβάνονται με την αποστολή ενός αιτήματος στη διεύθυνση https://www.infobyip.com/ και ο παράγοντας χρήστη που ακούγεται είναι axios/0.21.4, επομένως η συνάρτηση είναι μια λειτουργική μονάδα Node JS:
Αφού διευκρινίσετε τις λειτουργίες και τα χαρακτηριστικά του προγράμματος λειτουργιών, μπορείτε να το χρησιμοποιήσετε περαιτέρω.
Προσπάθησε να αποκτήσει πρόσβαση στην υπηρεσία IMDS αλλά δεν ήταν δυνατή η πρόσβαση.αλλά μπορεί να απαριθμήσει μια δυνητικά ανοιχτή εσωτερική θύρα41692:
Μέσω περαιτέρω απαρίθμησης, επιβεβαιώθηκε ότι το εσωτερικό τελικό σημείο ήταν προσβάσιμο, όπως φαίνεται παρακάτω:
]
Μέσω περαιτέρω απαρίθμησης, επιβεβαιώθηκε ότι το εσωτερικό τελικό σημείο ήταν προσβάσιμο, όπως φαίνεται παρακάτω:
Αρχική πηγή: https://orca.security/resources/blog/ssrf-vulnerabilities-azure-functions-app/
Έχει αφοσιωθεί στην έρευνα της τεχνολογίας για περισσότερα από 30 χρόνια και είναι ικανός σε διάφορες γλώσσες όπως java, linux, javascript, php, css κ.λπ. Έχει κάνει πολλές συνεισφορές στον τομέα του ανοιχτού κώδικα σταθμός τεκμηρίωσης προγραμματιστή για να μοιραστείτε ορισμένα ζητήματα στην ανάπτυξη τεχνολογίας για μελλοντική αναφορά
Ταχυδρομείο[email protected]