【Burp入门第二十篇】使用BurpSuite实现SSRF+实战案例

已于 2024-05-24 14:44:14 修改
阅读量488 收藏
点赞数
分类专栏: BurpSuite入门教程 文章标签: Burpsuite 渗透工具
于 2024-04-07 10:21:31 首次发布
该原创文章未经本人许可,不得用于商业用途。未经授权不得转载,否则保留追究法律责任的权利。
本文链接:https://blog.csdn.net/2301_77485708/article/details/137432115
版权

Burp Suite是一款功能强大的渗透测试工具,被广泛应用于Web应用程序的安全测试和漏洞挖掘中。
本专栏将结合实操及具体案例,带领读者入门、掌握这款漏洞挖掘利器
读者可订阅专栏:【Burp由入门到精通 |CSDN秋说】

在这里插入图片描述

SSRF漏洞:向服务器发送伪造请求即可访问或操作服务器上的资源。

假设一个网站http://ice.com,允许用户输入一个URL,然后在服务器端通过发起HTTP请求来获取该URL的内容并显示给用户。如果网站没有对URL进行验证,通过输入 http://ice/admin ,即可获取到内部系统的敏感信息,如管理员页面的内容。

【案例1】

点击下图所示功能点:

在这里插入图片描述
请求包存在参数及参数值:

stockApi=http://192.168.0.1:8080/product/stock/check?productId=1&storeId=1

了解本专栏 订阅专栏 解锁全文 超级会员免费看
秋说
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Burp入门第二十二篇】BurpSuite配置Hea插件教程+添加配置项
等风来
03-22 2622
HaE是一个基于BurpSuite Java插件API开发的辅助型框架式插件,旨在实现对HTTP消息的高亮标记和信息提取。该插件通过自定义正则表达式匹配响应报文或请求报文,并对匹配成功的报文进行标记和提取。
burpsuite安全练兵场-服务端9】服务端请求伪造SSRF漏洞-7个实验(全)
01-11 8733
【BP靶场portswigger-服务端9-服务端请求伪造SSRF漏洞】7个实验-万文详细步骤
如何使用SSRF-King在BurpSuite实现自动化SSRF检测
yggcwhat
01-07 1018
如何使用SSRF-King在BurpSuite实现自动化SSRF检测 Alpha_h4ck2021-02-03 12:37:352037643 SSRF-King SSRF-King是一款针对BurpSuiteSSRF插件,在该工具的帮助下,广大研究人员能够针对所有的请求实现自动化的SSRF检测。 SSRF,即Server-side Request Forge服务端请求伪造,指的是由攻击者构造的攻击链接传给服务端执行造成的漏洞,一般用来在外网探测或攻击内网服务。 功能介绍 测试所...
BurpSuite】插件开发学习之active-scan-plus-plus
HWHXY的博客
08-22 594
插件学习第三套。
burpsuite靶场——SSRF
qq_61768489的博客
12-26 1386
即使有一些HTTP流量会被拦截,也会因为不怎么拦截DNS流量而获取我们想要的结果。从名字就能看出来这个插件可以对每一个点都进行collaborator测试以发现可以使用带外技术发送请求的点,为了方便插件进行测试,我们将靶场地址添加到目标中。有的后端系统用户是无法直接访问的,但是服务器可以成功向其发送请求,所以如果利用ssrf同样可以向这些本不对用户开放的后端系统发出恶意请求。有的情况还可以利用SSRF盲打对目标后端系统进行探测,比如探测目标网络中开放的主机及端口之类的,这些同样也可以通过带外通道接收到。
burp靶场--ssrf
qq_33168924的博客
01-17 1248
服务器端请求伪造是一种 Web 安全漏洞,允许攻击者导致服务器端应用程序向非预期位置发出请求。在典型的 SSRF 攻击中,攻击者可能会导致服务器连接到组织基础设施内的仅供内部使用的服务。在其他情况下,他们可能能够强制服务器连接到任意外部系统。这可能会泄露敏感数据,例如授权凭据,或者代码执行。
SQL/SSRFBurp被动代理扫描插件
潇湘信安的博客
06-22 720
这是一款Burpsuite被动代理扫描插件,可支持检测SQL注入、SSRF漏洞。
【CSRF,SSRF,XXE,PHP反序列化,Burpsuite
一纸荒芜的博客
07-31 1245
本期主要介绍了CSRF,SSRF,XXE,PHP反序列化等漏洞,和bp常用模块。
BurpSuite+实战指南++
07-27
BurpSuite初学者必备书籍。。。。推荐下载。。。。。。。
Burpsuite插件之logger++使用方法1
08-03
Burpsuite 插件-logger++使用方法By:裁决目录跟 http history 差不过,记录的更加全面了,字段也多了几个正常开代理就行,不用管,跟
Burpsuite+1.7.26+Unlimited.rar
08-13
Burpsuite+1.7.26+Unlimited.rarBurpsuite+1.7.26+Unlimited.rar
操作介绍最详细的BurpSuite+实战指南
08-21
BurpSuite1.7版本,包括安装、各模块实战指南
Burpsuite+1.7.26+Unlimited抓包改包发包工具
07-16
二.burp suite使用(一) --- 抓包,截包,改包 https://blog.csdn.net/jinzhichaoshuiping/article/details/47324955 1.设置浏览器-代理 127.0.0.1 8080 2.配置burp监听端口,打开burp-》Proxy-》options-》add 三...
26. 基于视觉的道路识别技术的智能小车导航源代码.zip
06-02
1.智能循迹寻光小车(原埋图+PCB+程序).zip 2.智能循迹小车程序.zip 3.智能寻迹小车c程序和驱动.zip 4. 智能小车寻迹(含霍尔测連)c程序,zip 5.智能小车完整控制程序,zip 6.智能小车黑线循迹、避障、遥控实验综合程序,zip 7.智能小车测速+12864显示 C程序,zip 8. 智能小车(循迹、避障、遥控、测距、电压检测)原理图及源代码,zip 9.智能灭火小车,zip 10,智能搬运机器人程序.zip 11.智能arduino小车源程序,z1p 12.-种基于STM32的语音蓝牙智能小车,zip 13.循迹小车决赛程序,zip 14.循迹小车51程序(超声波 颜色识别 舵机 步进电机 1602).zip 15.寻光小车,zip 16.小车测速程序,zip 17.五路循迹智能小车c源码.zip 18.无线小车原理图和程序,zip 19.四驱智能小车资料包(源程序+原理图+芯片手册+各模块产品手册).zip 20.4WD小车安装教程及程序,z1p 21.四路红外循迹小车决赛程序,zip 22,适合初学者借鉴的arduino智能小车代码集合,zip 23.脑电波控制小车,zip 24.蓝牙智能避障小车,zip 25.基于树莓派监控小车源码.zip 26.基于视觉的道路识别技术的智能小车导航源代码,zip 27.基于STM32F407的超声波智能跟随小车,zip 28.基于arduino的蓝牙智能小车,zip.zip 29.基于51的蓝牙智能小车,zip 30.基于51单片机的红外遥控控制小车程序,zip
295_驾校预约管理系统的设计与实现-源码.zip
06-02
提供的源码资源涵盖了安卓应用、小程序、Python应用和Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
price2016.csv
最新发布
06-02
price2016.csv
三层复式别墅-别墅结构.dwg
06-02
三层复式别墅—别墅结构.dwg
13. 循迹小车决赛程序.zip
06-02
1.智能循迹寻光小车(原埋图+PCB+程序).zip 2.智能循迹小车程序.zip 3.智能寻迹小车c程序和驱动.zip 4. 智能小车寻迹(含霍尔测連)c程序,zip 5.智能小车完整控制程序,zip 6.智能小车黑线循迹、避障、遥控实验综合程序,zip 7.智能小车测速+12864显示 C程序,zip 8. 智能小车(循迹、避障、遥控、测距、电压检测)原理图及源代码,zip 9.智能灭火小车,zip 10,智能搬运机器人程序.zip 11.智能arduino小车源程序,z1p 12.-种基于STM32的语音蓝牙智能小车,zip 13.循迹小车决赛程序,zip 14.循迹小车51程序(超声波 颜色识别 舵机 步进电机 1602).zip 15.寻光小车,zip 16.小车测速程序,zip 17.五路循迹智能小车c源码.zip 18.无线小车原理图和程序,zip 19.四驱智能小车资料包(源程序+原理图+芯片手册+各模块产品手册).zip 20.4WD小车安装教程及程序,z1p 21.四路红外循迹小车决赛程序,zip 22,适合初学者借鉴的arduino智能小车代码集合,zip 23.脑电波控制小车,zip 24.蓝牙智能避障小车,zip 25.基于树莓派监控小车源码.zip 26.基于视觉的道路识别技术的智能小车导航源代码,zip 27.基于STM32F407的超声波智能跟随小车,zip 28.基于arduino的蓝牙智能小车,zip.zip 29.基于51的蓝牙智能小车,zip 30.基于51单片机的红外遥控控制小车程序,zip
ssrf漏洞内网渗透_ssrf漏洞分析
06-06
SSRF (Server-Side Request Forgery) 漏洞是一种常见的 Web 安全漏洞,攻击者通过构造恶意的请求,从而使服务器发起非预期的请求,可能导致敏感信息泄露、服务器受到攻击等后果。 在内网渗透中,SSRF 漏洞可以用来发起内网扫描、访问内部系统等攻击。通常情况下,攻击者会构造恶意请求,将目标网站的请求地址改为内部 IP 或者域名,从而让服务器发起请求,从而得到内部系统的信息。 下面是一个简单的 SSRF 漏洞利用的步骤: 1. 扫描目标网站:使用端口扫描工具扫描目标网站开放的端口,确定是否存在可利用的服务。 2. 构造恶意请求:构造一个包含内网地址的恶意请求,将请求地址改为内网地址。 3. 触发漏洞:将恶意请求发送给目标网站,从而触发 SSRF 漏洞。 4. 收集信息:利用 SSRF 漏洞,收集内部系统的信息,如端口、服务、操作系统等。 5. 利用漏洞:根据收集到的信息,选择合适的漏洞利用方式,从而取得系统权限。 在实际攻击中,攻击者还可能会采用其他方式来利用 SSRF 漏洞,如访问内部 Web 应用、获取敏感文件等。因此,网站开发人员需要注意防范 SSRF 漏洞,如过滤用户输入、限制请求地址等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏,祝你平安喜乐。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值