巧用對象存儲回源繞過SSRF限制

0x01 前言

筆者之前在Web漏洞挖掘指南 -SSRF服務器端請求偽造介紹了SSRF某些場景下的利用和繞過方法,有時開發對于SSRF的限制可能是簡單的禁用內網地址來實現的，這時如果傳入一個外網地址，將其重定向至內網地址，則可以繞過限制對內網服務器發出請求。

302跳轉bypass常見的方法有：

1. 自建服務器，當收到目標服務器的請求后添加一個Location響應頭重定向至內網服務器，Tips中有提到過：https://zone.huoxian.cn/d/392
2. 線上平臺生成短鏈接:

上面兩種方式都有其弊端，前者需要直接搭建服務器環境，成本較高，后者在線平臺生成的短鏈接一般都有時間限制，在研究對象存儲時，筆者發現利用對象存儲的靜態網站托管及回源規則進行重定向也是一種可行的辦法。

0x02 靜態網站托管及回源配置

靜態網站托管功能允許用戶將靜態網站托管到OSS的存儲空間（Bucket），并使用Bucket的訪問域名訪問這個網站。Bucket配置靜態網站托管后，當客戶端向OSS請求的數據不存在時，可通過設置回源規則確保其仍然可以獲取正確的數據。

在控制臺進行圖形化配置過程：

創建一個存儲桶

開通公有讀權限：

進入Bucket列表，在左側導航欄，選擇基礎設置 > 靜態頁面。進行如下配置：

在左側導航欄，選擇基礎設置 > 鏡像回源。

創建如下回源規則，回源地址即需要重定向的內網地址（如果顯示固定地址不能為空，可抓包修改或者輸入空格即可創建成功）。

訪問存儲桶對外訪問的鏈接，隨后便跳轉至http://127.0.0.1/index.html