informasi kontak saya
Surat[email protected]
2024-07-12
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
repost tidak diperbolehkan tanpa persetujuan.
Azure Functions adalah layanan komputasi tanpa server yang menyediakan semua infrastruktur dan sumber daya yang diperlukan sesuai permintaan untuk menjalankan aplikasi. Ini dapat digunakan untuk membangun API Web, merespons perubahan database, memproses aliran data IoT, mengelola antrian pesan, dan banyak tujuan lainnya.
Pertama buat aplikasi fungsi:
Buat kode fungsi:
Setelah mengklik Fungsi, masuk ke halaman berikut untuk konfigurasi:
Masukkan nama sampel dan pilih templat:
Setelah aplikasi fungsi dibuat, pilih Kode + Tes. Ada berbagai permintaan yang dikirim oleh klien, termasuk dua permintaan khusus:
1、https://functions.azure.com/api/passthrough
2、https://functions.azure.com/api/debug
Dengan mencari di perpustakaan GitHub, kode kuncinya adalah sebagai berikut:
Seperti yang Anda lihat dari paket permintaan yang sesuai dengan kode ini, browser mengirimkan fungsi khusus kami (BlobTrigger1.dat) mengirim permintaan GET:
Dari membaca dokumentasi, dua parameter berikut digunakan untuk mengautentikasi ke function.azure.com dan diperlukan untuk menjalankan permintaan:
Artinya setelah menghapus kedua header ini, kami dapat mengirimkan permintaan apa pun.
Kemudian kami memodifikasi url dan mendapatkan alamat server Azure Functions:
Dengan mengirimkan permintaan ke https://www.nba.com, responnya adalah sebagai berikut:
Ternyata aplikasi fungsi tersebut digunakan untuk mengeksekusi permintaan kita.
Pada saat yang sama, informasi tentang alamat IP diperoleh dengan mengirimkan permintaan ke https://www.infobyip.com/, dan User-Agent yang di-echo adalah axios/0.21.4, jadi fungsinya adalah modul Node JS:
Setelah memperjelas fungsi dan karakteristik program fungsi, Anda dapat memanfaatkannya lebih lanjut.
Mencoba mengakses layanan IMDS tetapi tidak dapat mengakses.tetapi dapat menghitung port internal yang berpotensi terbuka41692:
Melalui pencacahan lebih lanjut, dipastikan bahwa titik akhir internal dapat dijangkau, seperti yang ditunjukkan di bawah ini:
]
Melalui pencacahan lebih lanjut, dipastikan bahwa titik akhir internal dapat dijangkau, seperti yang ditunjukkan di bawah ini:
Sumber asli: https://orca.security/resources/blog/ssrf-vulnerabilities-azure-functions-app/
Ia telah mengabdikan dirinya untuk meneliti teknologi selama lebih dari 30 tahun, dan mahir dalam berbagai bahasa seperti java, linux, javascript, php, css, dll. Ia telah memberikan banyak kontribusi di bidang open source stasiun dokumentasi pengembang untuk berbagi beberapa masalah dalam pengembangan teknologi untuk referensi di masa mendatang. Semua orang memeriksanya
Surat[email protected]