SSRF basé sur le routage

Routing-based SSRF

Lab: Routing-based SSRF | Web Security AcademyWebSecAcademy

Description du laboratoire

Ce laboratoire présente une vulnérabilité de type SSRF basée sur le routage, exploitable via la cabecera Host. L’application se fie à la valeur du champ Host pour déterminer la destination des requêtes, ce qui permet d’accéder à des ressources internes non exposées publiquement.

Objectif :

Accéder au panneau d’administration interne hébergé sur une adresse IP du réseau 192.168.0.0/24
Supprimer l’utilisateur carlos

Observation initiale

Le point d’accès /admin n’est pas accessible depuis l’extérieur. Cependant, l’application relaie les requêtes en fonction de la valeur du champ Host, ce qui permet de rediriger la requête vers des adresses internes.

Étape 1 – Scan du réseau interne

On envoie la requête suivante vers Intruder afin de tester les adresses IP internes :

GET /admin HTTP/2

Host: 192.168.0.X

⚠️ Important :

Désactiver l’option Update Host header dans Burp, sinon l’attaque échoue.

Résultat :

L’adresse 192.168.0.221 renvoie une réponse HTTP 200, indiquant la présence du panneau d’administration interne.

Étape 2 – Accès au panneau d’administration

Une fois l’IP valide identifiée, on cible directement le panneau admin :

GET /admin/delete?username=carlos HTTP/2
Host: 192.168.0.221

L’interface d’administration interne devient accessible.

Étape 3 – Suppression de l’utilisateur carlos

La suppression nécessite une requête POST avec un jeton CSRF valide :

POST /admin/delete HTTP/2

Host: 192.168.0.221

csrf=iWyb78rJxAsoblmARVtqSef6YOsKG0Ph&username=carlos

Résultat :

Le serveur répond avec 302 Found, confirmant que l’utilisateur carlos a bien été supprimé.

Mis à jour il y a 1 mois

hashtagRouting-based SSRF

Routing-based SSRF