Hello there, ('ω')ノ
ブラインドSSRFを。
脆弱性:
ブラインドSSRF
記事:
https://shahjerry33.medium.com/blind-ssrf-the-hide-seek-game-da9d0ecef2fb
ツール:
Burp Suite
今回は、HackerOneのプライベートプログラムで。
ブラインドSSRFに関連する発見を共有することに。
概要 :
ブラインドSSRFの脆弱性は、アプリケーションが何らかの理由で。
バックエンドサーバに要求を行っているものの。
応答がフロントエンドに表示されない場合に発生して。
影響について言えば、一方向の性質があるため、通常のSSRFよりも低くなって。
これらは、バックエンドシステムから機密情報を取得するために。
悪用される可能性があるので。
まれに、リモートコード実行を実現するために悪用される可能性があって。
この調査結果では、Collaborator Everywhereと呼ばれるBurpSuiteの。
拡張機能を使用して、CollaboratorClientも使用したので。
両方について説明することに。
BurpSuiteにCollaboratorExtensionを追加するには。
1.BurpSuiteを起動して。
2.エクステンダーに移動し、BAppストアをクリックして。
3.拡張機能を見つけて。
4.BurpSuiteにインストールして。
ブラインドSSRFの脆弱性を見つける最も簡単な方法の1つは。
外部サーバを使用してブラインドの脆弱性を見つけることを意味する帯域外手法で。
その外部サーバは、システムとのネットワークの相互作用を監視するために。
使用できる管理下にある必要があって。
独自のサーバをセットアップしたくない場合は、BurpCollaboratorを使用できて。
この脆弱性をどのように見つけたかというと。
ターゲットのWebサイトにアクセスすると。
サーバとの対話にAPIを使用していたので。
拡張機能CollaboratorEverywhereを使用することを考えて。
1.まず、BurpSuiteを起動し、Extenderに移動して、Extensionsをクリックして。
2.次に、インストールされている拡張機能(Collaborator Everywhere)を選択して。
3.次に、ブラウザのプロキシを手動に変更して。
4.ページを更新して、BurpSuite ⇨ ターゲット ⇨ サイトマップに移動して。
5.ターゲットを右クリックして、[スコープに追加]オプションを選択して。
下記のポップアップが表示されたら、[はい]を選択して。
6.あとはサイトに正しくアクセスするだけで。
今回、ダッシュボードに下記のオプションが表示されて。
したがって、すべてのリクエストはBurpSuiteによってキャプチャされて。
(スコープに追加するため)、CollaboratorEverywhereによって評価されて。
7.しばらくして、サイトマップを確認しすると下記の問題を見つけて。
Collaborator Pingback HTTP
Collaborator Pingback HTTP
Collaborator Pingback DNS
8.それがブラインドSSRFに対して脆弱であることを知っていて。
9.もう一度確認したかったので、Burp Collaboratorを使用することに。
これは、プリインストールされているBurpSuiteにあって。
10.ペイロードをコピーするには、[クリップボードにコピー]をクリックして。
11.リピータにリクエストを送信し、リファラヘッダのURLを。
BurpCollaboratorクライアントのコピーされたペイロードに置き換えて。
12.[Go]ボタンをクリックして5〜10秒待ってから。
[Poll now]をクリックして、サーバから応答を受け取って。
DNSルックアップ
注:
最後の3番目の画像と最後の2番目の画像で異なるペイロードが見られるのは。
問題を2回再現したためで、毎回異なるペイロードで。
重要なポイント:
ブラインドSSRFをテストする場合は。
特定のBurp CollaboratorドメインのDNSルックアップが見つかるのが一般的で。
HTTPリクエストはなく。
これは、アプリケーションがドメインにHTTPリクエストを。
送信しようとしたために発生して、最初のDNSルックアップが発生したものの。
実際のHTTPリクエストはネットワークレベルのフィルタリングによって。
ブロックされて。
DNSルックアップまたはDNSクエリのみが見つかった場合は。
それは脆弱性ではないので、有効な脆弱性となるHTTP応答が必須で。
Best regards, (^^ゞ