shikata ga nai

Private? There is no such things.

SSRF via flawed request parsingをやってみた

Hello there, ('ω')ノ

 

欠陥のあるリクエスト解析によるSSRFを。

このラボは 、ルーティングベースのSSRFに対して脆弱で。

リクエストの対象ホストの解析に欠陥があるためだとか。

内部IPアドレスにある安全でないイントラネット管理パネルにアクセスできらしく。

 

まずは、ページにアクセスして。

 

f:id:ThisIsOne:20210425163704p:plain


リクエストをリピータへ。

f:id:ThisIsOne:20210425161742p:plain

 

まずは、Hostヘッダを変更してみるとブロックされて。

ただし、正常系のHostヘッダのURLをGETでリクエストするとブロックはされず。

つまりHostヘッダでなくURLを検証しているようで。

 

 GET https://acf61f951f1394528081326f00f30000.web-security-academy.net/ HTTP/1.1
 Host: localhost

 

f:id:ThisIsOne:20210425161924p:plain

 

コラボレータで、ペイロードをコピーして。

 

f:id:ThisIsOne:20210425162059p:plain

 

Hostヘッダに貼り付けてSendして。

 

f:id:ThisIsOne:20210425162512p:plain

 

任意のサーバにWebサイトのミドルウェア発行要求を行えることが確認できて。

 

f:id:ThisIsOne:20210425162555p:plain

 

次にIntruderへ。

 

f:id:ThisIsOne:20210425162625p:plain

 

Hostヘッダで、IPの範囲をスキャンすることに。

 

f:id:ThisIsOne:20210425162702p:plain

 

これまでと同様に第4オクテットを回してみて。

 

f:id:ThisIsOne:20210425162748p:plain

 

ひとつだけ有効なアドレスが見つかって。

 

f:id:ThisIsOne:20210425162817p:plain

 

見つかったIPアドレスをHostヘッダへ。

Sendするとエラーが。

 

f:id:ThisIsOne:20210425162923p:plain

 

adminのURLを追加してSendして。

ユーザを削除するためのフォームとパラメータを確認して。

Cookieには、sessionが追加されているのでそのままで。

 

f:id:ThisIsOne:20210425163029p:plain

 

下記のURLを追加して。

 /admin/delete

 

CSRFトークンとusernameをパラメータに追加してSendすると。

メソッドのエラーが。

 

f:id:ThisIsOne:20210425163309p:plain

 

リクエストメソッドを変更して。

 

f:id:ThisIsOne:20210425163338p:plain

 

Sendして。

 

f:id:ThisIsOne:20210425163408p:plain

 

さらにFollowすると。

 

f:id:ThisIsOne:20210425163439p:plain

 

クリアできた。

 

f:id:ThisIsOne:20210425163503p:plain

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain