shikata ga nai

Private? There is no such things.

Routing-based SSRFをやってみた

Hello there, ('ω')ノ

 

ルーティングベースのSSRFを。

このラボは、ホストヘッダを介したルーティングベースのSSRFに対して脆弱で。

内部IPアドレスにあるイントラネットの管理パネルにアクセスできて。

 

まずは、ページにアクセスして。

 

f:id:ThisIsOne:20210424143344p:plain

 

リクエストをリピータへ。

 

f:id:ThisIsOne:20210424143428p:plain

 

adminのURLを調査してみると、エラーが。

 

f:id:ThisIsOne:20210424143458p:plain

 

Hostヘッダを変更してみると、違ったレスポンスが。

 

f:id:ThisIsOne:20210424143553p:plain

 

コラボレータを起動して、ドメインをコピーして。

 

f:id:ThisIsOne:20210424143641p:plain

 

Hostヘッダを変更してSendすると正常なレスポンスが返ってきて。

 

f:id:ThisIsOne:20210424143724p:plain

 

コラボレータークライアントダイアログにもどると。

いくつかのネットワーク相互作用が表示されるので。

Webサイトのミドルウェアのリクエストを任意のサーバに送信できるわけで。

 

f:id:ThisIsOne:20210424143826p:plain

 

次にIntruderへ。

 

f:id:ThisIsOne:20210424143856p:plain

 

Hostヘッダを下記のIPアドレスに置き換えて。

最後のオクテットをAddして。

 192.168.0.§0§ 

 

f:id:ThisIsOne:20210424144022p:plain

 

1~254をアタックするように設定してStart attackを。

 

f:id:ThisIsOne:20210424162246p:plain

 

警告は、Hostヘッダが指定されたターゲットホストと一致しないことの通知なので。

Ignoreをクリックして。

 

f:id:ThisIsOne:20210424144257p:plain

 

1つのリクエストのレスポンスが200のステータスだったので。

 

f:id:ThisIsOne:20210424144405p:plain

 

Hostヘッダを下記に変更してSendすると管理者のページにアクセスできて。

 192.168.0.248

 

f:id:ThisIsOne:20210424144723p:plain

 

ちなみに/adminでなくSendすると下記のようなレスポンスが返ってきて。

 

f:id:ThisIsOne:20210424150040p:plain

 

ユーザを削除するためにリクエスト内容からフォームを調べると。

下記のリクエストのパスがわかって。

 /admin/delete

 

下記のパラメータを追加してSendするとGETめそっどなのでうまくいかず。

 csrf=f1f8qULgPw6ohSmPHdi63cpJDaNVnPmc&username=carlos

 

f:id:ThisIsOne:20210424150448p:plain

 

メソッドを変更して。

 

f:id:ThisIsOne:20210424150355p:plain

 

Sendして、Followをクリックすると。

 

f:id:ThisIsOne:20210424150218p:plain

 

クリアできた。

 

f:id:ThisIsOne:20210424150235p:plain

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain