Перейти к содержимому
← Каталог nodejs SSRF

SSRF: эксфильтрация облачных credentials через метаданные

SSRF в /fetch-url без блокировки link-local адресов — IMDS отдаёт IAM credentials.

hardnodejsPro
Задача
# SSRF: обход фильтра через облачный metadata-сервис ## Сценарий Перед вами Express-приложение интернет-магазина SecureShop. В нём есть функция «сравнение цен»: пользователь подаёт URL внешнего магазина, сервер скачивает страницу и показывает её содержимое в ответ. В отличие от типичной SSRF-уязвимости первого уровня, здесь разработчик уже знал про SSRF и **добавил фильтр** — обращения к адресам, обозначающим «локальное» с точки зрения сервера, отвергаются. Однако фильтр сделан невнимательно: он закрывает только одну из нескольких категорий непубличных адресов. Приложение развёрнуто в облачной среде (AWS/GCP/Azure-подобный инстанс), и среди непубличных адресов есть особый класс, доступный изнутри инстанса. Через него обычно достаются креденшалы виртуальной машины, не предназначенные для внешнего мира. Ваша задача — найти этот класс и использовать его, чтобы достать CTF-флаг. ## Цели 1. Авторизуйтесь как `demo` / `demo` и найдите функцию загрузки URL. 2. Эмпирически установите, какие классы непубличных адресов фильтр блокирует, а какие — пропускает. 3. Воспользуйтесь обнаруженной слабостью фильтра, чтобы достучаться до облачного metadata-сервиса инстанса и получить от него credentials. 4. Извлеките CTF-флаг из ответа metadata-сервиса. ## Данные | Параметр | Значение | |----------|----------| | Обычный пользователь | `demo` / `demo` |

Похожие лабораторные

Ещё лабораторные по этому типу уязвимости

SSRF

SSRF: Fetch Avatar в Express + better-sqlite3

Обработчик загрузки аватара в Express делает fetch по пользовательскому URL без валидации — доступ к внутреннему /admin/stats и утечка флага.

+30 XP ~20 минут
nodejseasyPro
Exploit Fix
SSRF

SSRF: Обход проверки URL через HTTP-редирект в Node.js

Админ-форма импорта продуктового фида проверяет hostname URL и отвергает loopback и приватные сети, но fetch() автоматически следует HTTP-редиректам — внешний сервер атакующего перенаправляет на внутренний /admin/stats и утечка флага.

+90 XP ~75 минут
nodejshardPro
Exploit Fix
SSRF

Basic SSRF: Доступ к админке

Простая SSRF-уязвимость, позволяющая получить доступ к внутренним ресурсам сервера.

+30 XP ~20 минут
golangeasyPro
Exploit Fix
🚧 Сайт в разработке. Полный функционал пока недоступен. Все вопросы — support@hackandfix.ru