shikata ga nai

Private? There is no such things.

Blind SSRF - The Hide & Seek Gameを訳してみた

Hello there, ('ω')ノ

 

ブラインドSSRFを。

 

脆弱性:

 ブラインドSSRF

 

記事:

 https://shahjerry33.medium.com/blind-ssrf-the-hide-seek-game-da9d0ecef2fb

 

ツール:

 Burp Suite

 

今回は、HackerOneのプライベートプログラムで。

ブラインドSSRFに関連する発見を共有することに。

 

概要 :

ブラインドSSRFの脆弱性は、アプリケーションが何らかの理由で。

バックエンドサーバに要求を行っているものの。

応答がフロントエンドに表示されない場合に発生して。

影響について言えば、一方向の性質があるため、通常のSSRFよりも低くなって。

これらは、バックエンドシステムから機密情報を取得するために。

悪用される可能性があるので。

まれに、リモートコード実行を実現するために悪用される可能性があって。

この調査結果では、Collaborator Everywhereと呼ばれるBurpSuiteの。

拡張機能を使用して、CollaboratorClientも使用したので。

両方について説明することに。

 

BurpSuiteにCollaboratorExtensionを追加するには。

1.BurpSuiteを起動して。

2.エクステンダーに移動し、BAppストアをクリックして。

3.拡張機能を見つけて。

 

f:id:ThisIsOne:20211018082920p:plain

 

4.BurpSuiteにインストールして。

ブラインドSSRFの脆弱性を見つける最も簡単な方法の1つは。

外部サーバを使用してブラインドの脆弱​​性を見つけることを意味する帯域外手法で。

その外部サーバは、システムとのネットワークの相互作用を監視するために。

使用できる管理下にある必要があって。

独自のサーバをセットアップしたくない場合は、BurpCollaboratorを使用できて。

 

この脆弱性をどのように見つけたかというと。

ターゲットのWebサイトにアクセスすると。

サーバとの対話にAPIを使用していたので。

拡張機能CollaboratorEverywhereを使用することを考えて。

 

1.まず、BurpSuiteを起動し、Extenderに移動して、Extensionsをクリックして。

2.次に、インストールされている拡張機能(Collaborator Everywhere)を選択して。

 

f:id:ThisIsOne:20211018082949p:plain

 

3.次に、ブラウザのプロキシを手動に変更して。

f:id:ThisIsOne:20211018083019p:plain

 

4.ページを更新して、BurpSuite ⇨ ターゲット ⇨ サイトマップに移動して。

5.ターゲットを右クリックして、[スコープに追加]オプションを選択して。

 

f:id:ThisIsOne:20211018083049p:plain

 

下記のポップアップが表示されたら、[はい]を選択して。

f:id:ThisIsOne:20211018083115p:plain

 

6.あとはサイトに正しくアクセスするだけで。

 今回、ダッシュボードに下記のオプションが表示されて。

 

f:id:ThisIsOne:20211018083146p:plain

 

 したがって、すべてのリクエストはBurpSuiteによってキャプチャされて。

 (スコープに追加するため)、CollaboratorEverywhereによって評価されて。

 

7.しばらくして、サイトマップを確認しすると下記の問題を見つけて。

 

 Collaborator Pingback HTTP

f:id:ThisIsOne:20211018083526p:plain



 Collaborator Pingback HTTP

f:id:ThisIsOne:20211018083547p:plain


 Collaborator Pingback DNS

f:id:ThisIsOne:20211018083605p:plain

 

8.それがブラインドSSRFに対して脆弱であることを知っていて。

 

9.もう一度確認したかったので、Burp Collaboratorを使用することに。

 これは、プリインストールされているBurpSuiteにあって。

 

f:id:ThisIsOne:20211018083217p:plain

 

10.ペイロードをコピーするには、[クリップボードにコピー]をクリックして。

 

f:id:ThisIsOne:20211018083239p:plain

 

11.リピータにリクエストを送信し、リファラヘッダのURLを。

 BurpCollaboratorクライアントのコピーされたペイロードに置き換えて。

f:id:ThisIsOne:20211018083259p:plain

 

12.[Go]ボタンをクリックして5〜10秒待ってから。

 [Poll now]をクリックして、サーバから応答を受け取って。

f:id:ThisIsOne:20211018083449p:plain


 DNSルックアップ

f:id:ThisIsOne:20211018083400p:plain

 

注:

 最後の3番目の画像と最後の2番目の画像で異なるペイロードが見られるのは。

 問題を2回再現したためで、毎回異なるペイロードで。

 

重要なポイント:

    ブラインドSSRFをテストする場合は。

 特定のBurp CollaboratorドメインのDNSルックアップが見つかるのが一般的で。

 HTTPリクエストはなく。

 これは、アプリケーションがドメインにHTTPリクエストを。

 送信しようとしたために発生して、最初のDNSルックアップが発生したものの。

 実際のHTTPリクエストはネットワークレベルのフィルタリングによって。

 ブロックされて。

    DNSルックアップまたはDNSクエリのみが見つかった場合は。

 それは脆弱性ではないので、有効な脆弱性となるHTTP応答が必須で。

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain