通过Portwigge的Web安全漏洞训练平台,学习SSRF (4)

 

通过Portwigge的Web安全漏洞训练平台,学习SSRF

观察到不可能使服务器直接将请求发布到其他主机

单击“Next product”,然后观察到path参数已放置在重定向响应的Location标头中,从而导致开放重定向

 

通过Portwigge的Web安全漏洞训练平台,学习SSRF

创建一个利用开放重定向漏洞的URL,并重定向到管理界面,并将其输入到stockApi参数

/product/nextProduct?path=http://192.168.0.12:8080/admin

 

通过Portwigge的Web安全漏洞训练平台,学习SSRF

库存检查器遵循重定向并显示了管理页面。下面,我们可以修改路径以删除目标用户

/product/nextProduct?path=http://192.168.0.12:8080/admin/delete?username=carlos

 

通过Portwigge的Web安全漏洞训练平台,学习SSRF

Blind SSRF漏洞 Blind SSRF简介

当应用程序被诱导向提供的URL发出后端HTTP请求,但后端请求的响应没有在应用程序的前端响应中返回时,就会出现Blind SSRF漏洞。

Blind SSRF通常更难利用,但有时会导致在服务器或其他后端组件上远程执行代码。

由于Blind SSRF漏洞的单向特性,其影响通常比常规的SSRF漏洞低。尽管在某些情况下可以利用它们来实现远程代码执行,但不能轻易利用它们从后端系统检索敏感数据

如何发现和利用Blind SSRF漏洞

检测Blind SSRF漏洞的最可靠方法是使用带外(OAST)技术。这涉及尝试触发对您控制的外部系统的HTTP请求,并监视与该系统的网络交互。

使用带外技术的最简单,最有效的方法是使用Burp Collaborator。您可以使用Burp Collaborator客户端生成唯一的域名,将其作为payload发送给应用程序,并监视与这些域的任何交互。如果观察到来自应用程序的传入HTTP请求,那么它很有可能存在SSRF漏洞。

Lab: Blind SSRF with out-of-band detection

地址:https://portswigger.net/web-security/ssrf/blind/lab-out-of-band-detection

靶场介绍:

该站点使用分析软件,该软件会在加载产品页面时获取Referer标头中指定的URL。

要通关此靶场,请使用此功能向公共Burp Collaborator服务器发出HTTP请求。

靶场通关:

点击Access the lab进入靶场

访问产品,在Burp Suite中拦截请求,然后将其发送给Burp Repeater

启动Burp Collaborator客户端

 

通过Portwigge的Web安全漏洞训练平台,学习SSRF

点击"Copy to clipboard",并使Burp Collaborator客户端窗口保持打开状态。

 

通过Portwigge的Web安全漏洞训练平台,学习SSRF

更改Referer标头,以使用生成的Burp Collaborator域代替原始域。发送请求。

 

通过Portwigge的Web安全漏洞训练平台,学习SSRF

返回到Burp Collaborator客户端窗口,然后单击“Poll now”。如果没有任何交互,请等待几秒钟,然后重试,因为服务器端命令是异步执行的。

 

通过Portwigge的Web安全漏洞训练平台,学习SSRF

Lab: Blind SSRF with Shellshock exploitation

地址:https://portswigger.net/web-security/ssrf/blind/lab-shellshock-exploitation

靶场介绍:

该站点使用分析软件,该软件会在加载产品页面时获取Referer标头中指定的URL。

要通关此靶场,请使用此功能对192.168.0.X内的内部服务器执行Blind SSRF攻击。在攻击中,对内部服务器使用Shellshock有效载荷,以通过公共Burp Collaborator服务器泄露OS用户的名称。

靶场通关:

Burp中安装”Collaborator Everywhere”扩展

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/zywxwy.html