🧅Laboratorio: SSRF básico frente a otro sistema back-end

Vamos a ver.

Vemos que tenemos la dirección IP la cual es la [0.1] del rango [192.168] intenemos acceder a admin/ a ver que conseguimos, codificamos a URL codificación la petición que creemos con Decoder burp.

En este cambió algo, y es que no es solo IP como antes que solo era la IP loopback, en este caso es “IP:puerto”

Aqui nos damos cuenta que realmente la IP 192.168.0.1 si existe en la pagina pero está asociada a la pagina legitima que habiamos tomado que era la petición POST:http://192.168.0.1:8080/product/stock/check?productId=1&storeId=1 Entonces en ese caso no tendría sentido hace un repeater con admin/ si no existe la interfaz en ese caso lo que podiamos hacer y que fue lo que hice, es probar un rango de IP’s en el primer sufijo de la dirección IP en este caso la .1 en un rango del [1-100] para ver si alguna nos da un 200 ✅

En ese caso lo haremos con ayuda de nuestro gran amigo Burp Intruder →

Y testeamos el rango de posibles direcciones validas para el rango .1 del 1-100, elegimos los ajustes del payload:

Iniciamos el ataque y efectivamente hubo una solicitud con el payload #54 que fue la que nos dió 200, en el status code filtramos por las solicitudes 200 que hubiesen y en este caso estaba esa, en la URL vemos que es efectivamente la IP con el puerto 8080 y el rango .54 http://192.168.0.54:8080/admin/ ahora solo nos basta probar si podemos borrar el user carlos desde la pagina o lo hacemos directamente desde burp repeater.

Renderizada la petición.

No nos funcionó desde la interfaz de la pagina directamente así que lo probaremos desde Repeater.

Aqui vemos que efectivamente pudimos lograr resolver el lab porque efectivamente eliminamos al user carlos.

Si mostramos la interfaz admin/ efectivamente no aparece el user carlos:

Eso es todo, si llegaste hasta aquí y pudiste resolver el laboratorio espero te haya sido de utilidad para comprender un poco más, gracias :)