观察到不可能使服务器直接将请求发布到其他主机
单击“Next product”,然后观察到path参数已放置在重定向响应的Location标头中,从而导致开放重定向
创建一个利用开放重定向漏洞的URL,并重定向到管理界面,并将其输入到stockApi参数
/product/nextProduct?path=http://192.168.0.12:8080/admin
库存检查器遵循重定向并显示了管理页面。下面,我们可以修改路径以删除目标用户
/product/nextProduct?path=http://192.168.0.12:8080/admin/delete?username=carlos
Blind SSRF漏洞 Blind SSRF简介
当应用程序被诱导向提供的URL发出后端HTTP请求,但后端请求的响应没有在应用程序的前端响应中返回时,就会出现Blind SSRF漏洞。
Blind SSRF通常更难利用,但有时会导致在服务器或其他后端组件上远程执行代码。
由于Blind SSRF漏洞的单向特性,其影响通常比常规的SSRF漏洞低。尽管在某些情况下可以利用它们来实现远程代码执行,但不能轻易利用它们从后端系统检索敏感数据
如何发现和利用Blind SSRF漏洞检测Blind SSRF漏洞的最可靠方法是使用带外(OAST)技术。这涉及尝试触发对您控制的外部系统的HTTP请求,并监视与该系统的网络交互。
使用带外技术的最简单,最有效的方法是使用Burp Collaborator。您可以使用Burp Collaborator客户端生成唯一的域名,将其作为payload发送给应用程序,并监视与这些域的任何交互。如果观察到来自应用程序的传入HTTP请求,那么它很有可能存在SSRF漏洞。
Lab: Blind SSRF with out-of-band detection地址:https://portswigger.net/web-security/ssrf/blind/lab-out-of-band-detection
靶场介绍:
该站点使用分析软件,该软件会在加载产品页面时获取Referer标头中指定的URL。
要通关此靶场,请使用此功能向公共Burp Collaborator服务器发出HTTP请求。
靶场通关:
点击Access the lab进入靶场
访问产品,在Burp Suite中拦截请求,然后将其发送给Burp Repeater
启动Burp Collaborator客户端
点击"Copy to clipboard",并使Burp Collaborator客户端窗口保持打开状态。
更改Referer标头,以使用生成的Burp Collaborator域代替原始域。发送请求。
返回到Burp Collaborator客户端窗口,然后单击“Poll now”。如果没有任何交互,请等待几秒钟,然后重试,因为服务器端命令是异步执行的。
Lab: Blind SSRF with Shellshock exploitation
地址:https://portswigger.net/web-security/ssrf/blind/lab-shellshock-exploitation
靶场介绍:
该站点使用分析软件,该软件会在加载产品页面时获取Referer标头中指定的URL。
要通关此靶场,请使用此功能对192.168.0.X内的内部服务器执行Blind SSRF攻击。在攻击中,对内部服务器使用Shellshock有效载荷,以通过公共Burp Collaborator服务器泄露OS用户的名称。
靶场通关:
Burp中安装”Collaborator Everywhere”扩展