0174.Reddit上价值$7,500的访问控制不当

admin
admin
admin
0
文章
0
评论
2026-06-17 04:41:48 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文分析Reddit一个价值7500美元的访问控制漏洞,攻击者通过扫描非标端口发现暴露的Kubernetes反向代理,利用伪造Host头访问内部开发域名snoo.dev。关键发现包括通过证书查询和GitHub代码收集内部资产、绕过CDN直接访问源站IP、利用K8s节点端口配置不当实现内网穿透。可操作建议涵盖影子资产字典构建、ASN端口扫描、BurpHost头爆破等方法。 综合评分: 90 文章分类: 漏洞分析,渗透测试,内网渗透,安全工具,威胁情报

cover_image

0174. Reddit上价值$7,500的访问控制不当

原创

la_revoltage la_revoltage

Rsec

2026年6月11日 16:26 贵州

在小说阅读器读本章

去阅读

本文章仅用网络安全研究学习,请勿使用相关技术进行违法犯罪活动。

声明:本文搬运自互联网,如你是原作者,请联系我们!

类型:访问控制不当

一、原报告

报告地址:

https://hackerone.com/reports/2967634

概括:

通过 https://52.90.28.77:30920 的代理可以访问内部域名。

重现步骤:

要重现此问题,只需使用以下 curl 命令即可

curl --insecure https://52.90.28.77:30920/reddit --header "Host: █████████"

辅助材料

  • snoo.dev 显然是员工使用的内部域名:https://search.censys.io/search?resource=certificates&q=snoo.dev
  • GitHub 上也多次提到过它:https://github.com/search?q=org%3Areddit%20snoo.dev&type=code

影响

攻击者可以访问内部域

二、分析

  1. 这个漏洞发生在什么业务功能上?

企业内部 Kubernetes 集群/反向代理(K8s NodePort)的边界访问控制。

2.这个功能在普通的网站里,前后台的数据交互大概长什么样?

  • 正常的前后台交互: 用户 -> 浏览器发出请求 -> 经过 Cloudflare(进行身份验证、WAF拦截) -> 核心服务器。
  • 本案中的畸形交互: 用户 -> 浏览器发出请求 -> 直接打到 Reddit 暴露在公网的反向代理/K8s NodePort(52.90.28.77:30920) -> 该代理没做鉴权,直接把请求转发给了内网开发服务器。
  1. 原作者是怎么发现这里的?
  • 收集公司文化词(吉祥物 Snoo),通过 Censys 查询证书,捞出不属于官方 Scope 的内网测试根域名 snoo.dev。
  • 在 GitHub 上搜索 org:reddit snoo.dev 确认其活跃度。
  • 扫描 Reddit 的 IP 段,抓到了开放非标端口 30920 的代理服务器。

4. 开发者做了什么防御?

开发者以为这个代理(IP:端口)躲在内网/安全的云生态里,外网的人根本找不到、也访问不到(这就是典型的“通过隐蔽实现安全”的安全误区)。所以,真正的绕过点不是绕过了“域名校验”,而是通过空间测绘找到了本不该暴露的后门,然后通过 Host 头告诉这个后门你想去哪。

  1. 作者是怎么绕过这个防御的?

利用 HTTP 路由机制盲打。 直接绕过 Cloudflare 访问源站 IP+非标端口,并在 HTTP 请求中伪造 Host: [internal].snoo.dev。该代理由于配置不当,将其当成了合法的内网互访流量,直接为其做路由转发,导致内网沦陷。

6. [业务场景] + [测试手法/绕过点] + [报告链接/CWE]

在配置错误的内部 K8s 网关/反向代理中,通过扫描非标端口并伪造内部开发子域名(如 *.snoo.dev)的 Host 头,可绕过外部访问控制,直接打穿边界,访问企业 VPC 内网的任意开发测试服务。

  1. 实战总结

  • 扩充“影子资产”字典: 测试一个目标时,先去查其组织证书,寻找非 .main-domain.com 的隐藏根域名(如内网代号、吉祥物等)。

  • 扫描源站 ASN 与非标端口: 查出目标的 ASN,过滤出所有开放了 30000-40000(K8s 常见端口)或 8080/8443 等代理端口的原生 IP(排除 Cloudflare/Akamai 等 CDN IP)。

  • 直接IP访问:遇到受限访问网站,反查IP,扫描IP,找到端口后,使用IP+端口访问。

  • Burp Host 头爆破:  IP+非标端口,返回 404、403 或报错时,不要放弃!

  • 动作: 保持 IP 不变,把 HTTP 请求里的 Host: 字段,替换为你收集到的各种内网子域名/开发域名。

  • 观察: 检查 Content-Length(返回包大小)或 Status Code 是否发生突变(例如从 404 变成 200,或者吐出 K8s/Verbose 报错)。

  • 漏洞性质评估: 如果遇到了这种内网穿透(类似 SSRF 效果),只要能证明可以触及内网敏感组件(如内部 K8s 报错、开发环境),即使该 IP 不在 Scope 内,也要以“严重基础设施误配置”为由提交,争取高额奖励。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:Rsec larevoltage larevoltage《0174. Reddit上价值$7,500的访问控制不当》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0