挖到这个高危SSRF漏洞,我和我的小伙伴们都惊呆了!

最新推荐文章于 2024-05-17 18:57:51 发布
最新推荐文章于 2024-05-17 18:57:51 发布
阅读量578 收藏 1
点赞数
分类专栏: 实纪实战
原文链接:https://www.freebuf.com/vuls/265163.html
版权

更多黑客技能 公众号:暗网黑客

作者:Aedoo_
原文地址:https://www.freebuf.com/vuls/265163.html

前言

在某次金融类众测项目中,笔者发现了一个几乎无从下手的系统,直接访问系统无任何功能,几乎相当于404 Not Found,甚至连JavaScript文件一个都不存在,最终通过渗透经验和一定的运气,拿下了这个高危SSRF漏洞,获得高额漏洞奖金,在此分享一下漏洞挖掘过程,带给大家渗透测试中的一点另类思路~

404 Not Found?

首先,给定的系统地址为:http://xxx-desktop.xxx.com/

直接访问一下目录看一看:

图片

打开发现一片空白,但是页面空白并不代表是真的空白,HTML源码中可能会加载一些JavaScript文件,渗透测试时,往往会通过页面中直接泄露加载的JavaScript文件,进行审计JavaScript源码,从而挖掘出更多有用的信息。

对如何挖掘JavaScript文件中漏洞,可移步笔者之前发布的真实漏洞案例文章:https://www.freebuf.com/vuls/255640.html

回归正题,下一步找寻HTML源码中可能存在的泄露点,直接查看网页源码:

图片

仔细阅读源码,不知道细心的同学有没有发现,其中有3个线索可以延伸利用。

libs/plugins/jquery.js
./html/apply.html?data=
cxx/token/decrypt

第1点:libs/plugins/jquery.js,加载了JavaScript文件,

其路径是:http://xxx-desktop.xxx.com/libs/plugins/jquery.js

不过,此处jquery.js完全为前端文件,无任何可利用的信息,于是略过。

图片

第2点:html/apply.html?data=,加载了当前目录下一个html文件,

路径为:http://xxx-desktop.xxx.com/html/apply.html?data=

结果也是一无所获,经典Nginx的404 NOT Found。

图片

第3点:cxx/token/decrypt,猜测为接口路径。

访问发现也是404,大概是还存在一层接口目录。

图片

一番信息收集后无果后,接下来就是展现真正的技术了!

403 Forbidden?

虽然上面的3个可用信息都Pass掉了,不过我们还是猜测,在两个路径之前,可能还存在一层Web应用目录亦或是接口目录,随后展开对Web目录的尝试性爆破,选用一些常见的一级目录。

最终获取到3个403禁止访问的目录:

图片

http://xxx-desktop.xxx.com/html/
http://xxx-desktop.xxx.com/css/
http://xxx-desktop.xxx.com/js/

看来第一次发现得/html/目录确实存在,不过可能是apply.html不存在导致页面的404 Not Found。

一级目录爆破,未发现可用一级目录,仅仅发现了3个静态文件目录。

渗透测试的思路到这也即将中断了,不过此时突然萌生出一个想法:既然不存在能够正常使用的文件,那么我就继续去挖掘403目录下的文件,至少403比404要好多了,至少它是真实存在的目录!

SSRF漏洞

继续对/html/目录、/css/目录尝试进行敏感文件扫描,未果。

使用Burpsuite的Intruder模块对/js/目录进行JavaScript文件爆破,终于获取到了可用信息!

图片

天哪,终于是获取到了3个JavaScript文件,是什么时候变成了连发现JavaScript文件都无比激动?

JavaScript文件如下:

http://xxx-desktop.xxx.com/js/apply.js

http://xxx-desktop.xxx.com/js/pagination.js

http://xxx-desktop.xxx.com/js/common.js

通过进一步的信息收集,在/js/common.js文件中发现发现了一级接口目录:/xxxapi/

一级接口目录都做的这么复杂,也难怪目录爆破的时候没有成果了。

图片

在/js/apply.js文件中发现了系统接口:file/pdf/view?file=

图片

将一级接口目录/xxxapi/与系统接口file/pdf/view?file=进行拼接,组成可用接口:

http://xxx-desktop.xxx.com/xxxapi/file/pdf/view?file=
并且发现JavaScript代码中的逻辑是:接口 + ecsUrl,因此猜测file参数为一个URL。

接下来尝试调用接口进行SSRF利用。

首先,使用VPS监听端口,尝试直接利用SSRF访问我们的端口,发现成功接收到了Java语言进行的HTTP请求!

图片

至此证明了漏洞是存在的,接下来利用SSRF进行内网资源的请求尝试,由于在之前的测试中,已经收集到了一部分内网资产,所以直接拿过来测试访问即可。

测试访问内网Elasticsearch服务:http://10.x.x.191:9200

GET /xxxapi/file/pdf/view?file=http://10.x.x.191:9200/ HTTP/1.1 Host:
xxx-desktop.xxx.com Upgrade-Insecure-Requests: 1 User-Agent:
Mozilla/5.0 (Windows NT 10.0; Win64; x64) Accept:
text/html,application/xhtml+xml,application/xml;q=0.9 Accept-Encoding:
gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close

图片

测试访问内网Web应用服务:http://10.x.x.65:8081/

GET /xxxhapi/file/pdf/view?file=http://10.x.x.65:8081 HTTP/1.1 Host:
xxx-desktop.xxx.com Upgrade-Insecure-Requests: 1 User-Agent:
Mozilla/5.0 (Windows NT 10.0; Win64; x64) Accept:
text/html,application/xhtml+xml,application/xml;q=0.9 Accept-Encoding:
gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close

图片

至此,捕获了一枚相当于搭建了一条内网HTTP隧道的高危SSRF漏洞。

结语

此次漏洞挖掘中总结到如下几点:

  1. 系统无功能、无JavaScript文件、访问空白,尝试在HTML源码中获取一些信息;

  2. 尽可能的在有用的信息中发掘更多的利用点,拓展思路;

  3. “404”确实是“404”,而“403”有时候并不是“403”。

从开始的 “404” Not Found,

到中间的 “403” Forbidden,

再到最后的高危SSRF漏洞;

每一步都仿佛是被上天安排好的剧本那样,

像是一次运气游戏,

又像是一场美丽的相遇。

也许挖洞一直都是这样,简单的漏洞随手可得,艰难的挖掘过程才会让人回味无穷~

希望能给大家带来一些简单的挖洞思路~

在这里插入图片描述

zkzq
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Chamilo 学习管理软件存在命令执行漏洞(CVE-2023-34960)
nnn2188185的博客
04-09 1011
Chamilo是一款可供用户免费下载的学习管理软件,其目的是提高来自弱势背景的用户对在线课程的可及性。Chamilo由一个名为Chamilo协会的非营利组织运行和管理。Chamilo存在命令执行漏洞,恶意攻击者可以通过构造的xml文件任意命令,进而控制服务器。
服务端请求伪造
guishengyx的博客
10-10 595
SSRF成因 SSRF的成因大都是由于服务端提供了从其他服务器或应用中获取数据的功能,但没有对目标地址做出有效的过滤而造成的。 比如: A网站是所有人都可以访问的外网网站 B网站是内部访问的网站 用A网站访问B网站请求资源,而且A网站没有检测用户的访问是否合法,以A网站的身份去访问B网站,从而有攻击B网站的机会。 防护绕过 一般都是用正则匹配来对请求地址进行过滤 限制请求特定域名 禁止请求内网IP 绕过: 1、使用http://xxxx.com@www.baidu.com 2、IP转换为
网络安全-kkFileViews任意文件读取漏洞原理解析
weixin_39445116的博客
02-04 2021
在学习的过程中,了解到kkFileView存在任意文件读取、SSRF、文件上传漏洞。为了更深刻的理解其原理,我从git拉取了项目,由于该漏洞在最新版本已经修复,所以这只是历史版本中存在的。写这篇文章来提醒自己代码中容易出问题的地方。
漏洞分析 | kkFileView远程代码执行漏洞
WangsuSecurity的博客
05-17 1119
网宿安全演武实验室监测到kkFileView存在远程代码执行漏洞(网宿评分:危急,CVSS3.1评分:9.8)
kkFileview存在任意文件读取漏洞
nnn2188185的博客
04-26 7652
Keking kkFileview 存在安全漏洞,该漏洞源于存在通过目录遍历漏洞读取任意文件,可能导致相关主机上的敏感文件泄漏。
kkfileview介绍安装及使用
java全栈工程师
06-08 2501
kkFileView为文件文档在线预览解决方案,该项目使用流行的spring boot搭建,易上手和部署,基本支持主流办公文档的在线预览,如doc,docx,xls,xlsx,ppt,pptx,pdf,txt,zip,rar,图片,视频,音频等等。项目作者也列出了支持预览的20多种大种类的文件。官方支持的预览文件。
WebLogic SSRF 及漏洞修复
11-25
WebLogic SSRF 及漏洞修复方法 CVE-2014-4210 10.0.2,10.3.6
Build Your SSRF Exploit Framework SSRF-一个只影响有钱人的漏洞-猪猪侠.pdf
09-17
SSRF(Server-Side Request Forgery)是一种网络安全漏洞,它允许攻击者通过利用服务器的网络权限发起请求。...通过构建SSRF利用框架,安全研究人员和渗透测试人员可以更有效地识别和测试这类漏洞
SSRF_ex:SSRF漏洞测试、利用 SSRF vulnerability testing and utilization
05-08
SSRF_exSSRF漏洞测试、利用 SSRF vulnerability testing and utilizationSSRF[+] 服务端请求伪造,当作跳板攻击内网服务[+] 扫描内部网络、服务[+] 访问本机敏感文件[+] 向特定端口发送数据包、payload.├── ...
python实现程序设计检测一个网址是否存在SSRF漏洞漏洞检测
最新发布
06-13
python代码的实现过程
SSRF(Server Side Request Forgery,SSRF)漏洞.pdf
07-05
讲述服务端请求伪造(Server Side Request Forgery,SSRF)攻防
网络安全-SSRF漏洞原理、攻击与防御
关注网络安全、云原生安全
09-05 2万+
概述 SSRF(Server-Side Request Forgery,服务器端请求伪造) 是一种由攻击者构造请求,由服务端发起请求的一个安全漏洞。一般情况下,SSRF是要目标网站的内部系统(因为他是从内部系统访问的,所以它能够请求到与它相连而与外网隔离的内部系统。)。 原理 SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,文档等等。SSRF漏洞通过篡改获取资源的请求发送给服务器(服...
SSRF详解(包含多种SSRF攻击)
Zyu0
11-28 5170
服务器端请求伪造(也称为 SSRF)是一种 Web 安全漏洞,允许攻击者诱导服务器端应用程序向非预期位置发出请求。在典型的 SSRF 攻击中,攻击者可能会导致服务器连接到组织基础设施内的仅供内部使用的服务。在其他情况下,他们可能会强制服务器连接到任意外部系统,从而可能泄露授权凭证等敏感数据。如果攻击者能够将url参数更改为localhost,这可能允许他们查看服务器上托管的本地资源,从而使其容易受到服务器端请求伪造的攻击。滥用易受攻击的服务器与其他系统之间的信任关系绕过 IP 白名单。
SSRF漏洞原理解析
未完成的歌~的博客
02-03 6593
文章目录0x01 基础知识1、SSRF漏洞简介:2、主要攻击方式:3、漏洞形成原理:4、漏洞的危害:0x02 漏洞检测1、漏洞验证:2、漏洞的可能出现点:0x03 绕过方法:1、绕过限制为某种域名:2、绕过限制请求IP不为内网地址:3、限制请求只为http协议:0x04 漏洞利用1、产生漏洞的函数:2、漏洞靶场:0x05 如何防御SSRF 0x01 基础知识 1、SSRF漏洞简介: SSRF全称:Server-Side Request Forgery,即 服务器端请求伪造,是一个由攻击者构造请求 在目标服务
SSRF漏洞,绕过,实战化演示
m_de_g的博客
08-13 988
SSRF 漏洞 1.介绍ssrf漏洞 SSRF(Server-Side Request Forgery,服务度器端请求伪造)是一种由攻击者构造请求,由服务端发起请求的安全漏洞。一般情况下,SSRF攻击的目标是外网无法访问的内部系统(正因为请求是由服务端发起的,所以服务端能请求到与自身相连而与外网隔离的内部系统)。 2.SSRF漏洞原理 SSRF的形成大多是由于服务端提供了从其他服务器应用数据的功能且没有对目标地址做过过滤与限制。例如,黑客操作服务器端从URL地址获取网页文本内容,加载指定地址的图片等,利用的
kkFileView--一款文件文档在线预览解决方案
淡定波的博客
04-05 5660
概述 kkFileView为文件文档在线预览解决方案,该项目使用流行的spring boot搭建,易上手和部署,基本支持主流办公文档的在线预览,如doc,docx,xls,xlsx,ppt,pptx,pdf,txt,zip,rar,图片,视频,音频等等。 一、项目特性 支持word excel ppt,pdf等办公文档 支持txt,java,php,py,md,js,css等所有纯文本 支持zip,rar,jar,tar,gzip等压缩包 支持jpg,jpeg,png,gif等图片预览(翻转,缩放,镜像)
SSRF漏洞深入学习
weixin_52125240的博客
02-21 689
SSRF全称:Server-Side Request Forgery,即 服务器端请求伪造。是一个由攻击者构造请求,在目标服务端执行的一个安全漏洞。攻击者可以利用该漏洞使服务器端向攻击者构造的任意域发出请求,目标通常是从外网无法访问的内部系统。简单来说就是利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在内网进行攻击。
SSRF漏洞
Jim的博客
09-07 1110
SSRF漏洞的寻找(漏洞常见出没位置): 1)分享:通过URL地址分享网页内容 2)转码服务 3)在线翻译 4)图片加载与下载:通过URL地址加载或下载图片 5)图片、文章收藏功能 6)未公开的api实现以及其他调用URL的功能 7)从URL关键字中寻找    share wap url link src sour
Web安全之SSRF漏洞
热门推荐
我不是大牛
07-04 2万+
内容 SSRF漏洞的危害 SSRF漏洞的挖掘 SSRF漏洞的防御 SSRF漏洞原理概述 背景 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。 概述 很多Web应用都提供了从其他服务器上获取数据的功能。使用用户指定的URL,Web应用可以获取图片...
ssrf漏洞内网渗透_ssrf漏洞分析
06-06
SSRF (Server-Side Request Forgery) 漏洞是一种常见的 Web 安全漏洞,攻击者通过构造恶意的请求,从而使服务器发起非预期的请求,可能导致敏感信息泄露、服务器受到攻击等后果。 在内网渗透中,SSRF 漏洞可以用来发起内网扫描、访问内部系统等攻击。通常情况下,攻击者会构造恶意请求,将目标网站的请求地址改为内部 IP 或者域名,从而让服务器发起请求,从而得到内部系统的信息。 下面是一个简单的 SSRF 漏洞利用的步骤: 1. 扫描目标网站:使用端口扫描工具扫描目标网站开放的端口,确定是否存在可利用的服务。 2. 构造恶意请求:构造一个包含内网地址的恶意请求,将请求地址改为内网地址。 3. 触发漏洞:将恶意请求发送给目标网站,从而触发 SSRF 漏洞。 4. 收集信息:利用 SSRF 漏洞,收集内部系统的信息,如端口、服务、操作系统等。 5. 利用漏洞:根据收集到的信息,选择合适的漏洞利用方式,从而取得系统权限。 在实际攻击中,攻击者还可能会采用其他方式来利用 SSRF 漏洞,如访问内部 Web 应用、获取敏感文件等。因此,网站开发人员需要注意防范 SSRF 漏洞,如过滤用户输入、限制请求地址等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值