Burpsuite---SSRF专题

服务端请求伪造

Lab: Basic SSRF against the local server

在这个实验,我们不能直接访问/admin的页面,但是我们可以找到stockApi发起的请求,于是我们就可以对其进行修改,伪造成由我们本地发起的请求

达到删除用户的目的

Lab: Basic SSRF against another back-end system

针对后端的系统用户无法去直接访问,但是服务器可以发起请求,于是我们依然可以利用ssrf打

用intruder模块爆破1-255网段

Lab: SSRF with blacklist-based input filter

若是有黑名单过滤,一些应用程序会阻止包含诸如127.0.0.1之类的主机名localhost或诸如/admin,我们可以考虑以下一些方法进行绕过

  • 将127.0.0.1用2130706433, 017700000001, or 127.1来代替
  • 使用双url编码或者大小写混写绕过
  • 可以用spoofed.burpcollaborator.net来解析成127.0.0.1

Lab: SSRF with whitelist-based input filter

基于白名单的绕过

先用一个@字符来判断url是否支持嵌入解析

http://baidu.com@emion.fun
例如这样,就会解析@后面的网站

然后用#号去指定url片段

http://127.0.0.1%2523@stock.weliketoshop.net/admin/delete?username=carlos

注意要进行双url编码

达到bypass白名单的过程

Lab: SSRF with filter bypass via open redirection vulnerability

如果程序中包含了重定向的漏洞,就可以绕过基于SSRF的过滤,直接将请求重定向到后端目标上

盲打的SSRF

同sql注入一样,也可以采用OAST技术将数据外带出来

这个实验还要配合一个shellshock的漏洞CVE-2014-6271

(这里貌似只能执行woami这个命令,其他的带不出来。。。

作者

秋秋晚

发布于

2022-03-12

更新于

2022-05-09

许可协议

评论

:D 一言句子获取中...