Shikata Ga Nai

Private? There is no such things.

SSRF with blacklist-based input filterをやってみた

Hello there, ('ω')ノ

 

ブラックリストベースの入力フィルターを備えたSSRFを。

まずは、ページに移動して在庫チェックを。

 

f:id:ThisIsOne:20210215150612p:plain

 

他サーバへのstcokApiが確認できて。

 

f:id:ThisIsOne:20210215145452p:plain

 

リピータで、下記に変更してSendするとエラーが。

 stockApi=http://127.0.0.1

 

f:id:ThisIsOne:20210215145556p:plain

 

IPアドレスをURLエンコードして。

 

f:id:ThisIsOne:20210215145730p:plain

 

再度、Sendしてもエラーが。

 

f:id:ThisIsOne:20210215145700p:plain

 

さらにURLエンコードして。

 

f:id:ThisIsOne:20210215145857p:plain

 

再度、Sendすると成功のステータスが。

 

f:id:ThisIsOne:20210215145836p:plain

 

stockApiにadminを追加して実行すると。

こちらもエラーだったので。

 

f:id:ThisIsOne:20210215145933p:plain

 

同様にURLエンコードを二回して。

 

f:id:ThisIsOne:20210215150149p:plain

 

stockApiに追加して実行すると成功したので。

 

f:id:ThisIsOne:20210215150218p:plain

 

carlosを削除するパラメータを追加して実行すると。

 

f:id:ThisIsOne:20210215150437p:plain

 

クリアできた。

 

f:id:ThisIsOne:20210215150456p:plain

 

Best regards, (^^ゞ