ソース:
脆弱性:SSRF
訳:
サブドメインの列挙:
いつものように偵察 (探索を意味する派手な言葉) を行っていたところ、サブドメイン imaginary.example.com を見つけ。
これは、オープンソースの画像処理アプリである Imaginary アプリケーションを実行していました。
このアプリケーションは、GitHub ( https://github.com/h2non/imaginary )で見つけることができて。
エンドポイントディスカバリ
次に、いくつかのエンドポイントに対してブルート フォース攻撃を試みました (基本的には、URL パスを推測しました)。
運がなかった。
そこで、Imaginary アプリケーションのソース コードをチェックしてみることに。
そしてそこにはこうありました。
fit?url=https://i.ibb.co/j6ZgKvm/new-512-ori.png&width=300&height=200&gravity=center
url パラメーターが私の目に留まりました。SSRF のテストに最適であるように見えました。
URL パラメータが SSRF エクスプロイトの鍵になる可能性があることに気づいた私は、「ビンゴ! これだよ!"
SSRF のテスト
さまざまな URL を試して、url パラメーターのテストを開始し。
数回試した後、8 進数形式の localhost URL を使用してブラインド SSRF を実行することができて。
http://0177.0.0.1/
8 進表記では、0177.0.0.1 は 127.0.0.1 と同じで。
内部ポートスキャン:
SSRF が動作している状態で、burpsuite を使用して内部ポートをスキャンしたところ、ポート 80 と 443 が開いていることがわかり。
ほなほな。