sanaki's Freesoft part167(SSRF on HostHeaderPoisoning を調査するスクリプト)

これは、VBScript & WSH(Windows Scripting Host)用です

履歴

ver1.0 : (2023/12/28) 最初のバージョン
ver1.1 : (2023/12/29) 簡易的にSSL/TLSプロトコル有効化有無も調べられるようにした
ver1.2 : (2023/12/31) 簡易的にHTTPメソッド有効化有無も調べられるようにした
ver1.3 : (2024/01/19) 「-HttpHeader」というオプションを新設。リストファイルの行頭に「」(半角スペース)付でリクエストヘッダを指定できるようにした。
ver1.4 : 未公開
ver1.5 : (2024/04/24) 「-HttpHeader」がOPTIONSリクエストなどに付与されていなかったバグの修正
ver1.6 : (2025/03/04) 「-CertFile」「-CertFilePassword」オプションを新設し、クライアント証明書に対応

はじめに StreamRelay.NET.exeを用いて、HostHeaderを操作しながらWebサーバにアクセスし、SSRF可能かどうか調べるツールです。

想定としては、調査対象のWebサーバの手前に(ステルスな)Webリバースプロキシが存在していて、それが内部ネットワークへの"匿名プロキシ"のような状態になっているような場面を想定しています。

WSH なので、処理自体が遅いです。

SSRFのURLリストは、ここから入手できます。

C:\>cscript.exe ssrfHostPoisonCheck.vbs
Microsoft (R) Windows Script Host Version 5.812
Copyright (C) Microsoft Corporation. All rights reserved.

usage: cscript.exe ssrfHostPoisonCheck.vbs <<ListFile>> <<TargetHost/IP>> <<TargetPort>> <<Options>>
      Options
           -ssl : Enable SSL/TLS
           -VirtualHostName <<HostName>> : Set VirtualHostName
           -RoleName <<RoleName>> : Set Role-Name
           -DefaultPath <<Path>> : Set Default URL Path
           -SSLProtocolCheck : SSL/TLS Protocol Check
           -HttpMethodCheck : HTTP Method Check
           -HttpHeader <<name:value>>: HTTP Header added
           -CertFile <<filename>>: ClientCertFile(ex. .PFX)
           -CertFilePassword <<password>>: password of ClientCertFile

                  ver1.6
                  create by active@window.goukaku.com

「ListFile」は、スキャンするURL/URIの一覧を収めたテキストファイル
「TargetHost/IP」と「TargetPort」は、診断対象のIPアドレス(ホスト名)と、ポート番号です。
httpsサーバの場合は、「-ssl」オプションをセットすること
既定のホスト名(既定のホストヘッダの値)を明示したい場合は、「-VirtualHostName」をセットすること
「-RoleName」はリスト中の「${ROLE_NAME}」を置換する文字列をセットします
「-DefaultPath」はリスト中の「${DEFAULT_PATH}」を置換する文字列をセットします
診断作業時の起点となるパスでしょうかね!?
「-SSLProtocolCheck」はSSL2.0/SSL3.0/TLS1.0/TLS1.1/TLS1.2での接続テストも追加します
「-HttpMethodCheck」はHTTPメソッド「OPTIONS/NONAME/TRACE/TRACK」での接続テストも追加します
「-CertFile」はクライアント証明書の証明書ファイル(pfx形式など)
「-CertFilePassword」はクライアント証明書ファイルを保護しているパスワード

リストファイルについて

一行に一つのパス
書式は、「/」を行頭に置いた「URLパス」だけ
例えば「/path/path....」
書式は、行頭に「ホスト名」を置いて、次に「URLパス」を置いた形式
例えば「www.example.com/path/path....」
この「www.example.com」がホストヘッダに埋め込まれる
行頭が「#」で始まる行はコメント
行頭が「」(半角スペース)の場合は、リクエストヘッダ

SSRFのURLリストは、ここから入手できます。
例えば、こんな感じ

リストファイルの例
169.254.169.254/latest/user-data 169.254.169.254/latest/meta-data/ 169.254.169.254:80/latest/user-data # リクエストヘッダ付きで送信するリクエストメッセージ 169.254.169.254:80/latest/meta-data/ X-Request: XmlHttpRequest # Delegateの多段プロキシのURL /-_-http://www.example.com/

ソースの説明省略

使い方

StreamRelay.NET.exeをどこかにインストールします。
ダウンロードしたファイルを解凍しします。
解凍して出来た ssrfHostPoisonCheck.vbs がスクリプトファイルです。
スクリプトファイル中の「StreamRelay.NET.exe」のパスを自分の環境に合わせて書き直してください
あとは、コマンドラインで操作してください

削除方法スクリプトファイルを消してください
レジストリを操作した場合は、該当レジストリを削除してください

免責など 当然ですが、悪用厳禁です。

修正BSDライセンスで配布します。

SSRFのリストとか参考リンクとか・・・ こんなところですかね...

DownLoad(ssrfHostPoisonCheck.zip as 6,872byte) (ssrfHostPoisonCheck.zip.base64)

これを使った記事を書いた

SSRF on HostHeader Poisoning を確認するツールを作った

mail to active@window.goukaku.com