Server-side request forgery(SSRF)

# Server-side request forgery(SSRF) [TOC] ![](https://hackmd.io/_uploads/SkDkfQi4n.png) 資料來源 : https://portswigger.net/web-security/ssrf ## APPRENTICE ### Lab: Basic SSRF against the local server --2023/05/12 題目說，透過簡單的 SSRF 來取得 admin 權限刪除 Carlos (又是Carlos 受害的一天XD ![](https://hackmd.io/_uploads/Syy5o7oE2.png) 從首頁隨意選一個 item 進去點 "Check stock" ![](https://hackmd.io/_uploads/B1xUTQs4n.png) 在 Request 中可以看到 stockApi 這個參數，把它改成 ```stockApi=http://localhost/admin```，接著你就能看到刪除 Carlos 的 URL ![](https://hackmd.io/_uploads/rJmsaQiNh.png) 將刪除貼上 URL，發現權限不夠 ![](https://hackmd.io/_uploads/BkZiRXoE3.png) 那回來用 burpsuite 送 request ![](https://hackmd.io/_uploads/SJpkkNjN3.png) successful ![](https://hackmd.io/_uploads/HJB8eNoNh.png) ### Lab: Basic SSRF against another back-end system --2023/05/12 題目說要透過 SSRF 對後端進行攻擊，提示說內網是 192.168.0.x port 8080 ![](https://hackmd.io/_uploads/rkTTQ4oNn.png) 一樣在首頁隨意點一個項目然後點擊 "check stock"，在 burpsuite 中我們可以看到 stockApi 指向的後端為 192.168.0.1:8080 ![](https://hackmd.io/_uploads/HJxGFVoVh.png) 然而送 request 卻發現不是這個地址 ![](https://hackmd.io/_uploads/rJnZNLj4n.png) 所以 192.168.0.1~255 都有可能是後端的地址，透過 Intruder 去爆破正確地址，發現是 163 ![](https://hackmd.io/_uploads/Sy_E_Lo4h.png) 然後送 request OUO ![](https://hackmd.io/_uploads/Sy-9_UiNh.png) successful ![](https://hackmd.io/_uploads/rk52dUo4n.png) ## PRACTITIONER ### Lab: SSRF with blacklist-based input filter --2023/05/12 題目說，藉由 SSRF 到後端刪除 Carlos 的帳戶，還提示有兩個反 SSRF 要繞過 ![](https://hackmd.io/_uploads/Hkpf9IiV2.png) localhost 被擋住啦 ![](https://hackmd.io/_uploads/SJP5sUsV2.png) 127.0.0.1 也被擋住啦 ![](https://hackmd.io/_uploads/ByyKo8jEh.png) 127.1 可以ㄟ ![](https://hackmd.io/_uploads/ry83oIs43.png) 但是 /admin 不行 ![](https://hackmd.io/_uploads/SynCsIsVh.png) URL encoding 也被擋住 @@ 哭啊，那我用兩次 ![](https://hackmd.io/_uploads/Skn83IsEn.png) 喔喔，兩次可以ㄟ ![](https://hackmd.io/_uploads/HJZ5n8iEn.png) 刪除 Carlos!! ![](https://hackmd.io/_uploads/ByBpnIjNn.png) successful ![](https://hackmd.io/_uploads/Byk1a8iN3.png)