SSRF with Corporate Token Exfiltration

SSRF with Corporate Token Exfiltration

SSRF with Corporate Token Exfiltration Plataforma de archivos con herramienta de preview de websites que realiza peticiones server-side con un token corporativo en los headers, permitiendo acceder a servicios internos protegidos

POST http://192.168.0.125:1100/api/tools/preview HTTP/1.1
host: 192.168.0.125:1100
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:140.0) Gecko/20100101 Firefox/140.0
Accept: */*
Accept-Language: es-ES,es;q=0.8,en-US;q=0.5,en;q=0.3
Referer: http://192.168.0.125:1100/tools?tab=preview
Content-Type: application/json
Content-Length: 31
Origin: http://192.168.0.125:1100
Connection: keep-alive
Priority: u=0

La verdad es que no encontré el token al capturar el request que se menciona como pista en el reto.

─$ nmap -p- localhost 
Starting Nmap 7.95 ( https://nmap.org ) at 2026-05-21 21:38 CEST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00023s latency).
Other addresses for localhost (not scanned): ::1
Not shown: 65520 closed tcp ports (conn-refused)
PORT      STATE SERVICE
22/tcp    open  ssh
25/tcp    open  smtp
631/tcp   open  ipp
1100/tcp  open  mctp
1101/tcp  open  pt2-discover

Tampoco parece necesario ese token, simplemente debemos encontrar que hay expuesto un segundo endpoint escuchando en http://localhost:1101

Esto nos lleva a un sitio con acceso restringido.

Si ahora utilizamos la pestaña preview con el endpoint descubierto nos mostrará el contenido sin restricción

Y en la parte de abajo encontramos la flag que necesitamos para completar el reto.