SSH - набір програм, які дозволяють виконати вхід на віддалену машину для виконання команд на ній.
282 
Підробка запитів на стороні сервера (також відома як SSRF) – це вразливість веб-безпеки, яка дозволяє зловмиснику спонукати серверну програму робити HTTP-запити до довільного домену на вибір зловмисника. У типових прикладах SSRF зловмисник може змусити сервер встановити зворотне з’єднання з самим собою або з іншими веб-службами в інфраструктурі організації, або з зовнішніми сторонніми системами. Атаки SSRF часто використовують довірчі відносини для ескалації атаки з вразливого застосування та виконання несанкціонованих дій. Успішна атака SSRF часто може призвести до несанкціонованих дій або доступу до даних всередині організації, як у самій уразливій програмі, так і в інших внутрішніх системах, з якими програма може спілкуватися. У деяких ситуаціях уразливість SSRF може дозволити зловмиснику виконати довільне виконання команди. Експлойт SSRF, який викликає з’єднання із зовнішніми сторонніми системами, може призвести до зловмисних подальших атак, які, схоже, походять від організації, у якій розміщено вразливу програму.
Атаки SSRF часто використовують довірчі стосунки для ескалації атаки з боку вразливої програми та виконання несанкціонованих дій. Ці довірчі відносини можуть існувати по відношенню до самого сервера або по відношенню до інших внутрішніх систем у тій же організації. Під час атаки SSRF на сам сервер зловмисник спонукає програму зробити HTTP-запит назад до сервера, на якому розміщено програму, через мережевий інтерфейс петлі. Довірчі відносини, коли запити, що надходять від локальної машини, обробляються інакше, ніж звичайні запити, часто є тим, що робить SSRF критичною вразливістю.
Веб-краулінг є важливим аспектом у тестуванні безпеки, оскільки це процес індексації даних на веб-сторінках за допомогою автоматизованих скриптів або програм. Waybackurls є скриптом або інструментом на основі Golang, який використовується для сканування доменів і отримання відомих URL-адрес з Wayback Machines, також відомого як Archives для *.target.com. Щоб дізнатися більше про waybackurls та процес установки, ви можете звернутися за посиланням.
Я знайшов програму Bug Bounty через Google Dorks. Через їхню політику розкриття інформації я не можу назвати найменування цієї організації. Тому назвемо домен target.com. По-перше, я зібрав піддомени за допомогою інструмента subfinder і зберіг висновок у domains.txt. Після цього я запустив інструмент httpprobe на domains.txt, щоб отримати живі домени і зберіг вихідні дані в live_domains.txt.
Тепер я запускаю наступну команду для збору URL-адрес через waybackurls.
Після того, як я зібрав усі URL-адреси в urls.txt, я запустив інструмент httpx для ідентифікації статусу, заголовка, технології тощо і зберіг висновок у status.txt.
Тепер я відсортував усі URL-адреси, які є живими та доступними, і видалив усі непрацюючі URL-адреси. Це робить мою розвідку простішою. Я відкрив status.txt і почав шукати конфіденційну інформацію, параметри, імена користувачів, паролі, токени, конфіденційні файли і т.д.
Ключові слова, що використовуються мною: password, username, mail.com, token, access_token, url=, redirect_url=, api, id=, accessUrl=, payment, і тд. Після 30 хвилин сканування та сортування я помітив одну цікаву URL-адресу:
Моя увага була звернена на параметри “apiEvent” та “accessUrl” Я замінив URL-адресу параметрів на адресу Burp Collaborator. Після заміни адреса виглядає так:
Я відкрив цю URL-адресу в браузері і отримав DNS і HTTP запити до свого сервера з їхньої внутрішньої IP-адреси. Тепер я виконав whois, щоб переконатися, що ця IP-адреса належить їх організації або третій стороні.
Я отримав підтвердження того, що IP-адреса, яку я отримав, є внутрішньою IP-адресою організації. Тепер, щоб збільшити вплив, я відкрив BurpSuite та:
1. Перехопив той самий запит у Burpsuite (Скріншот 1).
2. Відправив його до Intruder.
3. Вибрав тип атаки Pitchfork.
4. Виставив положення корисного навантаження наприкінці 2 URL-адрес (Скріншот 2).
5. Встановив цикл на 100 (Скріншот 3).
6. Починаємо атаку (Скріншот 4).
7. Я отримав HTTP, DNS та SMTP запити (Скріншот 5).
Тепер я отримав DNS та HTTP-запити, а також SMTP-запит на моєму сервері Burp Collab, який підтверджує, що я зміг виконати внутрішнє сканування портів з використанням уразливості SSRF.
282 
432 
366