[웹해킹] Lab: Basic SSRF against another back-end system Writeup

저번 ssrf 포스팅: https://eggsmong.tistory.com/85

웹해킹 :: SSRF 취약점/ Lab: Basic SSRF against the local server

 

 

 

이전의 ssrf 랩과 마찬가지로 재고 확인 기능이 있고,

백엔드에 쿼리 하는 파켓을 이용해서 ssrf 공격을 하면 된다

이번 랩에서는 ip 주소와 포트가 추가되었음

 

일단 burpsuite으로 재고확인하는 파켓부터 인터셉트해보자

 

 

 

재고확인하는 파켓의 경우 HTTP POST 메소드를 사용하고 있다

이 파켓을 수정하기 위해 repeater에 보냄 

 

랩의 시나리오 부분에서 설명한 대로 192.168.0.x:8080/admin

이렇게 api 파라미터에 넣었다 저 x 값이 뭔지 모르니까 임의로 1을 넣고

intruder에서 값을 찾으면 되겠다

 

브루트포스 시도할 부분에 해당하는 $1$ 이렇게 추가하고

payload부분을 숫자로 변경한 후 범위를 1~255로 정해주면 된다

start attack 하면 대입해서 공격을 시작함

 

+ 범위가 1~255인 이유는

255(10)=1111 1111(2) 이기 때문

 

 

브루트포스 시도 중에서 상태코드가 전부 400(클라이언트 오류) 500(서버 측 오류)인데

유일하게 200으로 성공한 페이로드가 발견됐다

 

response 응답 페이지를 보니까 정상적으로 어드민 페이지가 로드됐다

렌더 해서 보겠음

 

유저 중에서 우리가 삭제해야 하는 carlos 가 있고

carlos를 삭제하는 url 링크도 html 소스코드에 나와있으니 이걸 쓰면 될 듯

 

 

carlos 계정을 삭제하는 위의 URL을 repeater에서 stockApi에 넣었음

302 Found가 뜨니까 Intercept on을 off 하고 브라우저로 다시 돌아가서 새로고침하기 

 

성공!