Server-side request forgery (SSRF)
Lab: Basic SSRF against the local server
Enunciado
Este laboratorio tiene una funcionalidad de verificación de stock que obtiene datos desde un sistema interno. Modificar la URL usada en la verificación de stock para acceder a la interfaz de administración en http://localhost/admin y eliminar al usuario carlos.
Resolución
Entramos a un producto y comprobamos la petición.
Como el servidor web tiene esos permisos accedemos a la URL cambiandola ya que en el /admin nos decía que se podría entrar en localhost.
Ahora vemos la ruta para eliminar al usuario y hacemos lo mismo cambiando la URL para enviarlo y así se elimina.
Lab: Basic SSRF against another back-end system
Enunciado
Este laboratorio tiene una funcionalidad de verificación de stock que obtiene datos desde un sistema interno. Usar la funcionalidad de verificación de stock para escanear el rango interno 192.168.0.X en el puerto 8080, localizar una interfaz de administración, y utilizarla para eliminar al usuario carlos.
Resolución
No se encuentra /admin por lo que vamos a ver el stock de un producto y su petición.
Hacer peticiones a una IP eso está mal por lo que enviamos esa petición pero para la ruta /admin.
Nos da error por lo que no se encuentra en esa IP. Enviamos al Intruder y realizamos una fuerza bruta para ver que IP es.
Encontramos una solución que nos da código 200.
Con la petición del stock con la ruta de eliminar como hicimos antes pero con la IP correcta.
Lab: Blind SSRF with out-of-band detection
Enunciado
Este sitio utiliza un software de análisis que obtiene (fetch) la URL especificada en el header Referer cuando se carga una página de producto.
Para resolver el laboratorio, aprovecha esta funcionalidad para provocar que se realice una solicitud HTTP al servidor público de Burp Collaborator.
Resolución
Interceptamos la petición.
Cambiamos el header Referer por el enlace del Collaborator.
Enviamos petición.
Lab: SSRF with blacklist-based input filter
Enunciado
Este laboratorio tiene una función de verificación de stock que obtiene datos de un sistema interno.
Para resolver el laboratorio, modifica la URL de verificación de stock para acceder a la interfaz de administración en:
http://localhost/adminy elimina al usuario carlos.
El desarrollador ha implementado dos defensas anti-SSRF débiles que tendrás que eludir.
Resolución
Miramos la petición de stock.
Enviamos el enlace del enunciado.
Vemos varias maneras de encodearlo y nos salión con la codificación doble de caracteres.
http://127.1/%2561dmin
Ya podemos eliminar al usuario Carlos.
Lab: SSRF with filter bypass via open redirection vulnerability
Enunciado
Este laboratorio tiene una función de verificación de stock que obtiene datos de un sistema interno.
Para resolver el laboratorio, modifica la URL de verificación de stock para acceder a la interfaz de administración en:
http://192.168.0.12:8080/adminy elimina al usuario carlos.
El verificador de stock ha sido restringido para acceder únicamente a la aplicación local, por lo que primero necesitarás encontrar un open redirect que afecte a la aplicación.
Resolución
Miramos la petición de stock.
No nos deja completar dominios ni subdominios.
Detectamos una vulnerabilidad de redirección abierta en el parámetro path del endpoint nextProduct.
Aprovechamos esta redirección para lograr que el stock checker accediera de forma indirecta al panel de administración interno en:
http://192.168.0.12:8080/adminUna vez allí, aplicamos la misma técnica para construir una URL que permitiera eliminar al usuario carlos, logrando así completar el laboratorio.
Ya podemos eliminar al usuario.
Last updated
Was this helpful?