一个优秀的白帽子靠挖漏洞赚了137万年终奖

Hyper-V的漏洞,由于漏洞危险级别高,影响范围广,SSRF漏洞挖掘的思路与技巧,希望对大家有所帮助,年底赚些钱就当给自己发年终奖了,哈哈。什么是SSRF1、为什么要请求127.0.0.1、10.0.0.1、192.168.1.1呢?有什么区别呢?答:127.0.0.1只是代表你的本机地址,如果该网站只有一个服务器的情况下,是可以访问127.0.0.1来判断的,但要明确一点,127.0.0.1其实并不是内网地址,内网地址是有严格的地址段的,这是ipv4地址协议中预留的,分别是2、如果请求地址会返回状态码,那请求地址+端口会不会返回状态码呢?答:提出这个问题的同学应该是相当clever的,答案是肯定的,当然会返回状态码。只是探测内网地址的话属实不够看的,所以如果一个点存在SSRF,那势必要尝试一下能不能探测内网端口,比如,假设10.0.0.1这个地址存在,那我们可以尝试请求10.0.0.1:21、10.0.0.1:3306、10.0.0.1:6379等内网的常用端口,如果探测结果有收获的话,那就可以为其他工作节省很多力气了。基础的SSRF漏洞利用SSRF的简单绕过挖洞案例

提起Weblogic,相信很多人都熟悉,所以关于Weblogic的其他漏洞笔者就不献丑了,就只在这个地方聊一下Weblogic的SSRF漏洞。

WebLogic的SSRF漏洞算是一个比较知名的SSRF漏洞,具体原理可以自行谷歌。本篇主要是通过复现该漏洞来加深对SSRF漏洞的理解。Weblogic的SSRF漏洞的存在页面笔者就不说了,百度都可以找到的,页面的样子是这个样子的:


当初在学习这块的时候,以为只要存在这个页面就必有SSRF,结果当然是否定的,在借鉴了大佬的PPT之后,发现一共有如图四种回显状态:


那么可以通过构造http://xxx.com/uddiexplorer/SearchPublicRegistries.jsp?operator=http://(要探测的内网地址)&rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search对其进行探测,观察其回显状态,判断是否存在目标网段,这个地方最主要的就是operator这个参数,主要思路就是通过修改这个参数,来探测内网地址和内网端口,不过问题来了,上面刚才说内网地址那么多,我们要怎么才能知道呢,且慢,在Weblogicssrf的漏洞页面点击这里:


就会来到这里,有时候由于配置不当的关系,这个地方会直接给出内网地址的网段:


有网段了,就可以一点一点的探测了,探测内网的telnet,ssh,redis,以及各个数据库,为以后的内网漫游做好信息收集。还有在Weblogic的SSRF中,有一个比较大的特点,就是虽然它是一个“GET”请求,但是我们可以通过传入%0a%0d来注入换行符,而某些服务(如redis)是通过换行符来分隔每条命令,也就说我们可以通过该SSRF攻击内网中的redis服务器。手动反弹shell,就是常规的发送redis命令,然后把弹shell脚本写入crontab中,最后用get发送命令,不过别忘了,get发送命令的时候要进行url编码,最后在服务器上进行监听就OK了。

当然,作为一名脚本小子,手动探测以及反弹shell太累了,好在网上的探测脚本很多,不过试了很多,感觉还是下面这个很顺手,在此贴上一个大牛的脚本,可以很方便的探测SSRF的网段以及每个网段的端口,甚至还有反弹shell的功能,地址:

https://github.com/NoneNotNull/SSRFX

SSRF这个漏洞虽然在各大src上都被评为低危,但是这是因为它本身的危害有限,不可否认,若是与其他漏洞,其他思路结合起来会对你的渗透过程方便很多,它的强大之处是在于探测到一些信息之后从而进一步的利用,比如获取内网的开放端口信息,主机的信息收集和服务banner信息,攻击内网和本地的应用程序及服务,还有就是利用file协议读取本地文件,就好像上面的那个文件读取漏洞。

好了,以上就是我要分享的内容,大家有什么建议欢迎在文末留言,互相学习交流,共同进步。

© 版权声明
THE END
喜欢就支持以下吧
点赞0
分享