【技术分享】靶场--SSRF打内网服务

已于 2024-01-16 21:47:09 修改
阅读量164 收藏 1
点赞数 1
文章标签: 智能手机 服务器 网络 安全
于 2023-11-21 12:53:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53058639/article/details/134529216
版权

**01 ** 判断SSRF是否存在

1. 访问http://www.badu.com网站。

2. dnslog平台收到回显,存在ssrf。

3. 尝试读取文件/etc/passwd,并返回内容,可以判断出是回显型ssrf。

4. 读取/etc/hosts文件,当前机器ip是172.72.23.21。

5. 尝试读取/etc/shadow 和/root/.bash_histor,发现无权限。

**02 ** 探测内网存活主机服务

使用dict协议对内网主机进行存活探测。

**03 ** 172.72.23.22—代码注入

1. 利用ssrf访问内网http://172.72.23.22,提示CodeExec。

2. 使用burp的Intruder模块对网站进行目录爆破,存在phpinfo.php和shell.php。注意:此处需要去除特殊字符编码。

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

3. 查看shell.php,可以直接穿参执行系统命令查看flag。

**04 ** 172.72.23.23—sql注入

访问http://172.72.23.23,提示是get型sql注入。

**05 ** 172.72.23.24—命令执行

1.
访问http://172.72.23.24,网站是一个网络测试功能接口。一般来说,这种会存在命令执行漏洞。但是系统也可能会过滤一些特殊字符,需要我们进行绕过。

2. 这里是post请求,需要利用gopher协议发送post请求。此处要求必须有4个参数为必要参数,用于传递Content-Type,Content-
Length,host,post的参数。如果有多个参数,则参数之间的&也需要进行URL编码。

3. 将数据包进行两次url编码。

4. 利用gopher协议发送post请求,成功执行命令。

5. 执行命令查看flag,这里提示flag在/tmp目录,但是查看后发现flag并不存在此处。

**06 ** 172.72.23.25—xml

1. 访问http://172.72.23.24,跳转一个登录界面。

2. 成功读取文件。

3. 此处测试命令执行,结果显示无法执行。

**07 ** 172.72.23.26—Tomcat

1. 访问http://172.72.23.26:8080,地址是一个Tomcatyang li界面。构造PUT请求包,将数据包进行二次url编码。

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

2. 使用gopher协议发送请求,响应包返回201说明写入成功。

3. 利用ssrf,直接访问shell文件执行命令即可。

**08 ** 172.72.23.27—Redis

1. 172.72.23.27机器开放了6379端口,测试存在未授权,redis版本为5.0.5。

2.
redis的shell一般可以用写入计划任务(Centos)、写入公钥、写webshell(知道网站物理路径)。因为这台机器没有开放web服务,可以先尝试写入计划任务。

3. 使用脚本。

4. 成功反弹shell。

5. 或者手工输入。

**09 ** 172.72.23.28—Redis

1. 前面通过探测服务,得知这台机器已开放80和6379端口。

2.
使用dict协议访问6379端口的服务,redis需要验证密码。如果在内网redis需要认证的情况下,我们可以使用dict或gopher协议对密码进行爆破。

3. 访问80端口存在文件包含,这里可以尝试读取redis的配置文件来获取密码。


4. 成功读取redis的密码。

5. 使用dict协议进行认证,可以确定读取的密码是正确的。

6. 使用Gopherus生成payload。

7. 将gopher://127.0.0.1:6379/_后面的payload进行url解码后,在上方添加验证密码并增加换行,然后进行两次url编码。

8. 发送数据包。

9.访问 http://172.72.23.28/shell.php, 成功执行命令。

10. 此外,大家也可以写入计划任务,方法和写shell一样——利用gophers生成脚本,进行url解码,并添加auth后,再进行两次url编码即可。

网络安全工程师(白帽子)企业级学习路线

第一阶段:安全基础(入门)

img

第二阶段:Web渗透(初级网安工程师)

img

第三阶段:进阶部分(中级网络安全工程师)

img

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

学习资源分享

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

]

第三阶段:进阶部分(中级网络安全工程师)

[外链图片转存中…(img-GNltaeF5-1700542371837)]

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

学习资源分享

[外链图片转存中…(img-HIMS9ZRq-1700542371838)]

程序员小肖
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python-ssrfssrf内网地址fuzzdns二次rebinding支持ipv4ipv6支持ip地址转码dns记录污染
08-10
ssrf、ssrf内网地址fuzz、dns二次rebinding、支持ipv4/ipv6、支持ip地址转码、dns记录污染
内网渗透-SSRF漏洞
小刚的博客
08-19 1019
作者:小刚 一位苦于信息安全的萌新小白帽,记得关注给个赞,谢谢 本实验仅用于信息防御教学,切勿用于其它用途 SSRF漏洞SSRF产生原因利用方式小案例1.请求内网资源2.端口扫描3.读取源文件4.Gopher://协议进行扩展攻击5.漏洞组合利用挖掘技巧1.传参方面2.web服务方面3.审计方面防御措施 SSRF SSRF服务器端请求伪造, 全英文Service_side Request Forgery 一般人也记不住 主要利用漏洞来伪造成服务器端发起请求,比如绕过防火墙,进行内网探测,能够突破客户端获.
2024年最全ssrf漏洞利用(内网探测、打redis)_ssrf内网探测,2024年最新大厂HarmonyOS鸿蒙开发面试解答
最新发布
2401_84851314的博客
05-14 273
只要知道内网有开启6379的redis服务(或许是其他端口开放的此服务),那么就可以利用目标机进行攻击redis了。第一步探测Redis我们已经完成了,那么第二步就是发送redis命令,将反弹shell脚本写入/etc/crontab中,crontab就是linux下的一个定时执行事件的一个程序。还有两个定时服务文件是 /var/spool/cron/root 和 /var/spool/cron/crontabs/root。针对这三个路径的不同,如下会进行讲解。
ssrf漏洞利用(内网探测、打redis)
Javachichi的博客
02-06 1572
声明该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。滑至文末,获取“searchall”下载链接!
SSRF综合靶场
hot_milk1的博客
02-20 984
常见的SSRF的一些利用。
SSRF与靶场(史上最详细)
qq_34598847的博客
10-17 719
SSRF漏洞介绍:SSRF漏洞(服务器端请求伪造):是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)。SSRF漏洞原理:SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。利用的是服务端的请求伪造。
SSRF-Testing:SSRF(服务器端请求伪造)测试资源
04-23
SSRF(服务器端请求伪造)测试资源 基于快速URL的绕过: http://google.com:80+&@127.88.23.245:22/#+@google.com:80/ http://127.88.23.245:22/+&@google.com:80#+@google.com:80/ ...
开发技术-硬件-SSRF前端挡光元件设计中的若干力学问.zip
04-09
开发技术-硬件
开发技术-硬件-SSRF前端挡光元件设计中的若干力学问题研究.zip
04-09
开发技术-硬件
Python-GitLab1147SSRF配合redis远程执行代码
08-10
GitLab 11.4.7 SSRF配合redis远程执行代码
国光的手把手带你用 SSRF 打穿内网靶场源码.zip
01-16
靶场中,安全从业者可以分享攻防经验,交流最新的安全威胁情报,共同探讨解决方案。这有助于建立更广泛的安全社区,推动整个行业的发展。 总体而言,靶场在信息安全领域具有重要地位,为安全专业人员提供了实战...
burp靶场--ssrf
qq_33168924的博客
01-17 1302
服务器端请求伪造是一种 Web 安全漏洞,允许攻击者导致服务器端应用程序向非预期位置发出请求。在典型的 SSRF 攻击中,攻击者可能会导致服务器连接到组织基础设施内的仅供内部使用的服务。在其他情况下,他们可能能够强制服务器连接到任意外部系统。这可能会泄露敏感数据,例如授权凭据,或者代码执行。
手把手带你用 SSRF 打穿内网
weixin_50464560的博客
05-13 2641
靶场拓扑设计首先来看下本次靶场的设计拓扑图: 先理清一下攻击流程,172.72.23.21 这个服务器的 Web 80 端口存在 SSRF 漏洞,并且 80 端口映射到了公网的 8080,此时攻击者通过这个 8080 端口可以借助 SSRF 漏洞发起对 172 目标内网探测和攻击。 本场景基本上覆盖了 SSRF 常见的攻击场景,实际上 SSRF 还可以攻击 FTP、Zabbix、Memcached 等应用,由于时间和精力有限,先挖个坑,以后有机会的话再补充完善这套 SSRF 攻击场景的。 x.x.x.x
记一次SSRF靶场内网打穿
君逍遥o
09-08 485
记一次SSRF靶场内网打穿
ssrf漏洞利用(内网探测、打redis)_ssrf内网探测
2401_84182793的博客
04-12 850
适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上HarmonyOS鸿蒙开发知识点,真正体系化!**
ssrf+redis未授权靶场
actistsec的博客
10-25 1845
自己搭建不太合理的ssrf联动redis未授权
PortSwigger靶场(三)SSRF服务端请求伪造
weixin_52835927的博客
10-19 266
简单的来说就是有时候我们对网站进行黑盒测试,由于在我们攻击后,网站的安全设置让我们看不到回显,也就有漏洞也不知到在哪里,此时我们使用oast,将受攻击影响的地方通过请求回应时经过另外一个服务器的信息表现出来,这样我们就知道我们的攻击造成了什么效果在这里我们只需要在referer头中换成collaborator中的url地址,然后发送过去,等待一段时间之后就可以在collaborator中发现dns和http类型的改动,这时试验结束,这个实验其实是想教大家基本的带外注入方法,以便在接下来的实验使用。
实战 | SSRF攻击内网的实战案例
weixin_43167326的博客
02-03 870
推荐查看: 实战 | 记一次SSRF攻击内网的实战案例 实战 | 记两次应急响应小记 干货 | Wordpress网站渗透方法指南 实战 | 记一次CTF题引发的0day挖掘 2023年零基础+进阶系统化白帽黑客学习 实战 | 记一次邮件系统C段引发的SQL手注和内网渗透
CTFhub_SSRF靶场教程
weixin_58954236的博客
09-09 809
请求的URL中必须包含,来尝试利用URL的一些特殊地方绕过这个限制吧访问题目所给的链接,使用bp抓包此flag看长度可知是假的在浏览器中输入构造的payload得到flag:ctfhub{eecad35d4ef30dfb74eaabe4}提交flag。
利用ssrf在pikachu靶场攻击内网程序造成溢出
05-23
在Pikachu靶场中,你可以尝试通过SSRF攻击来攻击内网程序。 1. 首先,你需要找到一个存在SSRF漏洞的目标网站。可以使用Burp Suite等工具进行扫描,找到存在漏洞的网站。 2. 接下来,你需要构造一个恶意的URL,利用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值