标签 - SSRF

? SSRF ?    2020-01-10 17:23:28    1033    2    0

SSRF的利用不难,但是我个人感觉它很少见。在乌云看了结界师的SSRF记录,看到他各种内网漫游各大互联网公司内网,真的很羡慕。

也看了一些 lijiejie 大神的。后面根据结界师的思路,找wap这种存在转码的网站,找了一圈,但是基本没找到。又找存在 url 跳转或者 redirect 的地方,其中最像的就是这个网站:https://illinois.edu/?url= ,但是我用 Burp Collaborator client 试了又试,就是没记录啊.....
于是继续找,一次又一次被谷歌判定为机器人,中间尝试了无数网站,直到页面开的太多失去响应。但是在这个时候,我无意中查看了一下 Burp Collaborator client 的记录,居然看到了结果!

title

于是又回去在浏览器历史纪录里面根据 Collaborator Server 的域名查找,终于找到了那个存在 SSRF 的网站!

在当时,我没有特别注意这个网站,因为它的页面回显是:
title

漏洞证明

该漏洞点是这样的:
title

把furl后面的 url 换成我的 Burp Collaborator client,可以收到回显:
title

或者使用 nc 进行验证:
title

顺便得知了对面的机器是Windows。

有人说我这不是 SSRF,下图是存在此SSRF漏洞的网站IP和访问Burp Colleborator Server的IP的对比,完全可以说明的确是从该网站服务器发出的请求。

title

漏洞分析

我也很想内网漫游,但是做不到。因为这个洞真的非常鸡肋。

本来我以为它很有用,因为这个ssrf最开始的漏洞点,也就是这个:
title

后面的url是不能直接进入的,即这个资源不能直接获取,因为那是一个学校的系统,需要登陆VPN才能进入系统。看起来,这个ssrf可以帮助我们绕过身份验证通往第三方系统。

但是其实这个洞用处不大,因为尝试对127.0.0.1进行端口探测,过程中发现返回的数据包都是一样的,就是“系统出错,请稍后重试”这一句话。所以从返回包的长度是无法判断出端口是否开启的。另外响应码也一直是200。响应码也无法看出来什么。

注: file协议是搞不出东西的,因为根本没回显,