SSRF漏洞实现
文章目录
- SSRF题1
- SSRF题2
- fastcgi方法
- 入侵网站收集资产方法
- SSRF反弹
SSRF题1
漏洞复现平台
代码:
首先,可以用dict探测一下内网开放的端口
可以检测是否有fastcgi或者是redis,如果有fastcgi,那么就有RCE漏洞破解,如果是redis那么有以下3种:
首先90%不会设置redis未授权访问
那么:1.写入webshell 物理路径
2.写入任务计划 反弹shell 获得权限
3.写入公钥 直接登录服务器
用 file 查看文件
用gopher配合redis完成这三个模块
看代码,可见他过滤了dict和file,还是有点棘手的,那么我们可以试试http
代码:url=http://172.21.0.3:80
发现他又打印了一次
那么我们就可以用后面的80修改为别的端口,来实现探测端口的目的
我们可以利用抓包工具来探测:
探测10000以内的端口:
发现只开放了一个80端口:
那我们可以看看在80端口下面,还有哪些网页
先看看172.21.0.1:80
发现有页面
再看看172.21.0.2:80
也有页面
但是172.21.0.4:80就没有了,那么我们可以猜测,只有前3个有页面,后面都不显示了
我的直觉告诉我一个在172.21.0.2:80上做文章(开玩笑,嘻嘻),因为172.21.0.1:80明显是一个html页面,而172.21.0.2:80的页面有一个 Go away1 的输出,明显172.21.0.2:80有搞头。
那我们就在172.21.0.2这个IP地址上继续抓包,看看他开放了哪些端口:
非常明显地看到,6379端口开放了:
那么接下来就传webshell就可以了,在172.21.0.2的物理路径下传webshell,那么他的物理路径是啥,说实话,不知道,只能猜或者测试
一般情况下,都是放在/var/www/html下面,但不保证他会不会改,一般都是怕麻烦不会改的
接下来就可以用gopher工具了:
选择默认的路径“/var/www/html”,输入PHP Shell ,随便输个一句话木马<?php phpinfo('id');查看一下ID,能植入成功那么就代表能够入侵——入侵成功
把上面生成的那一大串代码复制到网页看看(记住改IP地址):
我们可以对这个代码解码看看:
发现是写入一个shell.php文件,那么我们在页面中按回车运行试试
但是结果不尽人意,页面没有如何变化,或许shell.php根本没有写入,也许是我们猜错了或者没有权限(权限太低了),不管怎样,都是没有成功
我们可以自己建一个字典或者用百度的字典来扫
然后我们再改一下路径,继续:
还是不行,那么我们再编码一次,进行二次编码
注意,我们这里要改一下shell.php的内容,改为查看flag ; <?php system("cat /flag")
然后我们再查看一下flag
?url=http://172.21.0.2:80/upload/shell.php
成功!!!
SSRF题2
fastcgi方法
看代码和题1还是差不多的
但是测试他fastcgi的9000端口的时候检测不出来,但是通过看http的response返回值可以知道,就是9000端口,知道是fpm,因为fpm基本上90%都监听在9000端口上
http的返回值
同样的步骤,随便输个ID:
再进行二次编码,然后输入到页面运行看看
成功!!!
入侵网站收集资产方法
1、百度,谷歌:但是都不可靠,最低级的手法(形容词,没有贬低人的意思)
2、查看他的备案,一般注册公司的时候都有备案
3、查看他的相关证书
4、去天眼查看
5、搜索引擎:fofa等等
6、利用子域名查询:例如OneForAll
SSRF反弹
还是先探测一下端口,我探测了一下6379:
运用一下他环境自带的工具:
先写反弹:
然后在页面中执行之前生成的编码(如下图生成的一大长串编码):
注意:这个IP需要写自己的IP别照我的IP写
一分钟后反弹成功!
