🏘️个人主页: 点燃银河尽头的篝火(●’◡’●)
如果文章有帮到你的话记得点赞👍+收藏💗支持一下哦
【BurpSuite】SSRF | Server-side request forgery (1-5)
实验一 Lab: Basic SSRF against the local server
要求:
本实验室具有从内部系统获取数据的库存检查功能。
要解决这个问题,请将库存检查URL更改为访问管理界面http://localhost/admin
并删除用户carlos
。
进入靶场My account
发现是一个登录页面
用admin试试发现登录失败
按靶场提示去检查商品库存并抓包找到url
将URL更改为访问管理界面http://localhost/admin
更改url后将抓包发送到Repeater
在Response中找到delete
部分
将delete语句放到url中再放行
回到靶场,下图右上角变为Solved
即为成功
实验二 Lab: Basic SSRF against another back-end system
要求:
本实验室具有从内部系统获取数据的库存检查功能。
为了解决实验室问题,使用库存检查功能扫描内部192.168.0.x
范围用于端口8080
上的管理界面,然后使用它来删除用户carlos
。
访问一个产品,点击“检查库存”,在Burp Suite中拦截请求,并发送给Burp Intruder
清除§ Clear §
将将 stockApi 更改为http://192.168.0.1:8080/admin
给数字1增加§:点击Add§
对ip进行爆破:Payloads设置,将有效负载类型更改为Numbers,并在"From"、“To"和"Step"框中分别输入1、255和1
单击"开始攻击”
按状态代码升序对其进行排序,看到一个状态为200的条目,其中显示了一个管理界面
更改url后将抓包发送到Repeater
在Response中找到delete
部分
将delete语句放到url中再放行
实验三 Lab: Blind SSRF with out-of-band detection
要求:
这个网站使用分析软件,当一个产品页面被加载时,获取在Referer标题中指定的URL
。
要解决这个问题,请使用此功能向公共Burp Collaborator服务器发出HTTP请求
。
访问一个产品,在Burp Suite中拦截请求
查看商品功能,发现referer有url,发送给repeater
从Collaborator生成域名
粘贴到Referer
实验四 Lab: SSRF with blacklist-based input filter
要求:
本实验室具有从内部系统获取数据的库存检查功能。
要解决该实验室,更改库存检查URL以访问管理界面http://localhost/admin
并删除用户
carlos
。开发者已经部署了两个弱的反ssrf防御,你需要绕过它们。
访问一个产品,点击“检查库存”,在Burp Suite中拦截请求,并发送给Burp Repeater
将参数中的URL修改stockApi为http://127.0.0.1/,观察请求被阻止
将 URL 更改为http://127.1/
来绕过阻止
将 URL 更改为http://127.1/admin,观察该 URL 再次被阻止
过将“a”双 URL 编码为 %2561 来混淆“a”,以访问管理界面
http://124.1/%2561dmin
删除目标用户carlos
http://124.1/%2561dmin/delete?username=carlos
刷新页面
实验五 Lab: SSRF with filter bypass via open redirection vulnerability
要求:
本实验室具有从内部系统获取数据的库存检查功能。
要解决该实验室,更改库存检查URL
以访问管理界面http://192.168.0.12:8080/admin
并删除用户carlos
。库存检查器已经被限制只能访问本地应用程序,所以你需要先找到一个影响应用程序的开放重定向。
访问一个产品,点击“检查库存”,在Burp Suite中拦截请求,并发送给Burp Repeater
尝试篡改参数stockApi并观察到无法绕过
单击"next product"并观察到path参数被放置到重定向响应的Location头中,从而导致打开重定向
创建一个利用开放重定向漏洞的 URL,并重定向到管理界面,并将其输入stockApi股票检查器的参数中:
/product/nextProduct?path=http://192.168.0.12:8080/admin
修改删除目标用户的路径:
/product/nextProduct?path=http://192.168.0.12:8080/admin/delete?username=carlos
刷新页面