Out-Of-Band ANALYSIS con Introspector.
Cuando explotas un SSRF en un endpoint y el response tarda 16 segundos en volver, la mayoría piensa “servidor lento” y sigue adelante.
Error.
Ese delay ES un dato importantísimo. Si no se analiza, no hay visibilidad OOB.
EL SETUP
Introspector corre como un interprete y receptor OOB: HTTP listener + DNS listener, ambos con timestamps de alta resolución y logging de cada interacción.
TIMELINE
• T+0s → Envío del request al endpoint vulnerable • T+2.0s → DNS query llega a Introspector (resolución) • T+15s → Waiting • T+16s → El response del SSRF finalmente vuelve
¿Qué pasó en esos 15 segundos de silencio?
El servidor resolvió tu dominio rápido, hizo “fetch”, pero ALGO MÁS hizo el backend después. Posibilidades:
• Timeout de un recurso interno que intentó alcanzar • Retry logic sin respuesta • Procesamiento sincrónico • Connection pooling
INTROSPECTOR
Sin un receptor OOB, solo existe un request de “16 segundos”. Con Introspector puedes:
- Confirmar que el SSRF es real (callback recibido).
- Medir el overhead interno del servidor (análisis de comportamiento).
- Identificar arquitectura interna por patrones de timing.
- Usar el delayer module para provocar timeouts controlados y mapear thresholds del servidor.
- Encadenar con DNS rebinding si el gap temporal lo permite.
ENFOQUE OFENSIVO
Si sabes que el servidor espera ~15s después de la primera interacción, puedes usar el modulo /delayresponse?t=X de Introspector para controlar exactamente cuánto tarda tu endpoint en responder. Fingerprint de un target, subiendo el delay gradualmente: 5s, 10s, 20s, 30s hasta observar una interacción distinta. De esta manera se puede inferir el timeout threshold del target para identificar el cliente y también conocer el límite exacto para DNS rebinding, race conditions, o time-based exfil.
El timing no es ruido. Es señal.
Saludos, Dedalo.