翻译文章 | Just gopher it!无回显SSRF升级为RCE

最新推荐文章于 2024-03-30 00:00:17 发布
最新推荐文章于 2024-03-30 00:00:17 发布
阅读量527 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40418457/article/details/117450667
版权

前言:

发现此漏洞的bug bounty团队不允许公开披露,因此我不会直接命名所涉及的程序。

我能说的是,这是在Hackerone运行时间最长、规模最大的bug赏金活动中发现的。多个Hackerone的现场黑客活动已经包括这个活动。

毋庸置疑,这是一家拥有世界级安全团队的公司,多年来一直有大量专门针对它的黑客专家——这使得这个漏洞的存在更加令人惊讶。

第1部分:侦察

通常对于一个大范围的bug赏金程序,我会从子域枚举开始,以增加我的攻击面,但在这种情况下,我只针对我的目标上的一个web应用程序。

因为我只专注于一个web应用,所以我开始使用GAU工具获取url和路径列表。我还查看了各种javascript文件以寻找隐藏的路径,并使用ffuf工具进行了一些目录模糊爆破。我通过这些方法找到了一些有趣的路径,但没有发现任何可攻击的。

由于第一种侦查方法没有导致任何发现,我尝试了另一种方法-测试web应用程序的各种功能,同时运行Burp代理在后台。所有发出的请求都存储在Burp中的一个有组织的列表中,这样就可以很容易地查看所有请求,以寻找任何有趣的或可能存在漏洞的内容。

在测试web应用程序的功能后,我开始查看存储在代理日志中的请求,并遇到类似的请求:

GET /xxx/logoGrabber?url= [http://example.com][0]

Host: site.example.com

一个接受url参数的GET请求。这个请求的响应看起来是这样的,包含了关于url的标题和logo的信息:

{"responseTime":"99999ms","grabbedUrl":" [http://example.com][0] ","urlInfo":{"pageTitle":"Example Title","pageLogo":"pagelogourl"}}

这个请求立即引起了我的兴趣,因为它返回了一些关于URL的数据。当遇到从URL返回信息的请求时,测试SSRF是一个好主意。

第2部分:发现SSRF

我在SSRF的第一次尝试失败了。我能够得到外部与我的服务器的交互,但没有获得任何内部IP地址,因为他们有适当的保护。

在未能命中任何内部IP地址后,我决定看看能否命中该公司的任何公开的子域名。我为我的目标做了一些子域枚举,然后开始在请求时覆盖所有枚举域。

最后,我很幸运地发现了一些请求,这些请求返回了来自非公开访问站点的标题数据。

子域名somecorpsite.example.com就是一个很好的例子。当我试图在浏览器中访问

最低0.47元/天 解锁文章
火线安全
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Exchange漏洞分析:SSRF RCE
Galaxy_0的博客
01-10 377
Exchange漏洞分析:SSRF RCE
回显漏洞测试及SSRF辅助平台提供DNSLOG,HTTPLOG等功能
01-20
平台使用Java编写,提供DNSLOG,HTTPLOG等功能,辅助渗透测试过程中无回显漏洞及SSRF等漏洞的验证和利用。 主要功能 DNSLOG HTTPLOG 自定义DNS解析 DNS Rebinding 自定义HTTP Response(Response内容、状态码、Header) 数据查询API
Day57:WEB攻防-SSRF服务端请求&Gopher伪协议&无回显利用&黑白盒挖掘&业务功能点
最新发布
qq_61553520的博客
03-30 1522
小迪安全-Day57:WEB攻防-SSRF服务端请求&Gopher伪协议&无回显利用&黑白盒挖掘&业务功能点
SSRF在有无回显方面的利用及其思考与总结
weixin_50464560的博客
05-16 5273
​ 对于SSRF的利用、危害及绕过[MisakiKata ]师傅先知上的的一文介绍的非常详细,看了这篇文章也学到了很多。由于在实际场景中还遇到很多类似SSRF的点,所以还想深入探讨一下其他利用方式以及无回显情况下的SSRF。 1.一般层面(有回显SSRF及bypass利用技巧 可能存在SSRF的URL: http://www.xxx.com/vul.php?url=http://www.xxc.com/xxx.jpg http://share.xxx.com/index.php?url=htt
WEB攻防-SSRF服务端请求&Gopher伪协议&无回显利用&黑白盒挖掘&业务功能点
siu~
09-18 1496
1、SSRF-原理-外部资源加载 2、SSRF-利用-伪协议&无回显 3、SSRF-挖掘-业务功能&URL参数
SSRF漏洞
qq_61553520的博客
05-16 383
SSRF:Server-Side Request Forgery,即服务器端请求伪造,就是让服务器替攻击者发请求。SSRF的目标往往是从外网无法访问的内部系统。SSRF 形成原因:大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。存在SSRF漏洞的服务器可以作为我们攻击的跳板,直接攻击内网系统,因为内网普遍安全性较为薄弱,就极有可能导致内网沦陷。
渗透无回显,放弃 or 看这篇文章
大河之犬的博客
05-15 742
通俗的说就是我有个已注册的域名a.com,我在域名代理商那里将域名设置对应的ip 1.1.1.1 上,这样当我向dns服务器发起a.com的解析请求时,DNSlog中会记录下他给a.com解析,解析值为1.1.1.1,而我们这个解析的记录的值就是我们要利用的地方。DNSlog就是存储在DNS服务器上的域名信息,它记录着用户对域名www.baidu.com等的访问信息,类似日志文件。打开新网页并粘贴在url上,访问这个三级域名。ceye使用方法类似。
Python库 | git_gopher-0.4.5.tar.gz
03-07
python库。 资源全名:git_gopher-0.4.5.tar.gz
gopher-lua-libs:gopher lua的库
02-03
gopher-lua-libs 软件包包含一个用于的库。执照开发版本在github上可用,在BSD 3条款下发布。安装go get github.com/vadv/gopher-lua-libs指数 aws cloudwatch日志访问监视ssl证书厨师客户api cmd端口计算md5,字符...
GopherServer-master_C#_Gopher_
09-29
Implementation of Gopher in C#
unnamed-gopher-client:2020年的现代Gopher客户
05-02
未命名的Gopher客户 二十世纪二十年代的现代桌面客户端。 用Electron,TypeScript和React编写。 项目目标 该项目的目标是创建一个吸引人们加入Gopher社区的客户,并诱使他们留下来兜风: 推荐最活跃的Gopher社区...
flask-gopher:Flask扩展,支持Gopher协议
02-05
在以下URL的gopherspace中提供了Flask-Gopher服务器的实时演示: gopher://mozz.us:7005 关于 什么是地鼠? Gopher是万维网的替代方案,后者在90年代初达到顶峰。 狂热者仍然维护着少数的地鼠站点。 您可以在...
dnslog mysql注入_DNSlog实现无回显注入
weixin_30877741的博客
01-31 399
背景在某些不能直接通过漏洞获得回显信息的情况下,我们可以利用DNSlog来进行突破,在发起DNS请求的时候,会把我们想要得到的数据一同外带出来。在SQL盲注中,最常用的就是二分法了,这种方法不仅麻烦,而且经常的发送请求,还容易被waf探测到,这时利用DNS解析时产生的日志来查看我们想要的数据就方便得多了。可使用场景:SQL注入中的盲注XSS绕过CSP无回显的命令执行无回显SSRF原理基本原理从下...
一文搞懂SSRF漏洞
大河之犬的博客
04-04 1120
攻击者可以任意修改获取数据的地址,向指定的URL地址发起请求,获取网页文本内容,加载指定地址的图片等,利用的是服务端的请求伪造。一般情况下,我们服务端请求的目标都是与该请求服务器处于同一内网的资源服务,但是如果没有对这个请求的目标地址、文件等做充足的过滤和限制,攻击者可通过篡改这个请求的目标地址来进行伪造请求。简而言之:当我们发起域名解析请求的时候,第一次访问会返回一个ip地址A,但是当我们发起第二次域名解析请求的时候,修改DNS的A记录,却会返回一个不同于A的ip地址B。
ssrf原理与实践
lonmar的博客
07-19 1981
原理 SSRF简介 ​ SSRF(Server-Side Request Forgery,服务端请求伪造),是攻击者让服务端发起构造的指定请求链接造成的漏洞。 ​ ​ 由于存在防火墙的防护,导致攻击者无法直接入侵内网;这时攻击者可以以服务器为跳板发起一些网络请求,从而攻击内网的应用及获取内网数据。 SSRF形成原因 ​ 大都是由于服务端提供了从其它服务器获取数据的功能,比如使用户从指定的URL web应用获取图片、下载文件、读取文件内容等。但又没有对目标地址做严格过滤与限制,
SSRF漏洞深入学习
weixin_52125240的博客
02-21 657
SSRF全称:Server-Side Request Forgery,即 服务器端请求伪造。是一个由攻击者构造请求,在目标服务端执行的一个安全漏洞。攻击者可以利用该漏洞使服务器端向攻击者构造的任意域发出请求,目标通常是从外网无法访问的内部系统。简单来说就是利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在内网进行攻击。
pikachu靶场 URL重定向、SSRF
Al_1的博客
10-06 479
URL重定向,服务端请求伪造
ssrf学习笔记
qq_46804551的博客
10-12 596
什么地方最容易出现ssrf 云服务器商.(各种网站数据库操作) 有远程图片加载的地方。(编辑器之类的有远程图片加载) 网站采集、网页抓取的地方.(很多网站会有新闻采集输入url然后一键采集) 头像的地方。(某易就是喜欢远程加载头像,例如:http://xx.com/image?url=http://1.jpg) 最后一个切要输入网址的地方和可以输入IP的地方,都是ssrf的天下。 ...
alert http any any -> any any (msg:"疑似SSRF攻击"; http.uri; content: "="; pcre:"/=file|=http|=https|=dict|=gopher|=phar/i"; classtype: web-ssrf-attack; sid: 561006; rev: 1;)这里面的pcre是什么意思
05-24
pcre是PCRE(Perl Compatible Regular Expressions)的缩写,是一种支持正则表达式的模式匹配库。在这个规则中,pcre:"/=file|=http|=https|=dict|=gopher|=phar/i...如果匹配成功,则触发规则,认定为疑似SSRF攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值