[Blind SSRF] Underc0de.org y SMF 2.1

Anteriormente hice un post sobre este ataque en un blog de un amigo, les dejo el enlace para que le peguen una leída.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En la pagina oficial de github de SMF viene el siguiente código:



lo que hace aquí es que parsea la url luego manda a pedir por una funcion llamada fetch_web_data()



viendo el código vemos que valida si la url es http, https o ftp.



En caso de que sea http abre socket y realiza la petición. Ok hasta aquí no veo que blacklistee o tenga una whitelist de puertos, o solo servidores de imágenes aceptadas, por lo cual puedes poner cualquier URL sera aceptada.

Con esto comenzaremos el ataque, abriré burp collaborator client:



Copiare la URL que me genera, y la pondré en la parte de ataque que es donde ponemos la URL.



le podemos indicar el puerto en este caso el puerto 80.

Verificamos en burp collaborator que la petición se realiza correctamente, podemos darle poll now para un refresco.



Ahora haremos el Poc, verificamos puertos abiertos de la pagina nmap con nmapxD:



ok sabiendo esto podemos realizar la petición usando Burp Repeater:



Aquí sabemos que el puerto esta abierto por que la respuesta fue 302 found y tardo poco tiempo en responder



Aqui sabemos que el puerto esta cerrado por que la respuesta fue 302 found y tardo mucho tiempo en responder

Tambien existe otro caso en el cual un puerto esta abierto pero tarda mucho en responder y esto pasa por que la coneccion sigue viva:



y termina dando un resultado sin respuesta:



Esto seria todo, creo que se pueden realizar mas cosas pero no estoy seguro, un ataque Dos por ejemplo dejando sockets abiertos o pidiendo un string muy lardo, en este caso no pude ver nada de la red interna por que no se ve reflejado en el body como tal la respuesta. Si alguien tiene alguna idea de como explotar esta vulnerabilidad en este caso mas a fondo que me la haga saber o si me equivoco tambien, saludos