记一次从盲SSRF到RCE

最新推荐文章于 2025-06-18 10:43:05 发布
最新推荐文章于 2025-06-18 10:43:05 发布
阅读量2k 收藏 5
点赞数
CC 4.0 BY-SA版权
分类专栏: 信息安全 文章标签: 网络安全 渗透测试 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44420143/article/details/118568749
本文详细记录了一位安全研究员如何利用一个 Blind SSRF 漏洞,通过 Gopher 协议和重定向,最终实现 RCE,从而获得15000美元赏金的过程。研究人员首先发现了一个允许外部URL信息检索的系统,接着利用重定向和 Gopher 协议绕过过滤,访问了内部 IP 并找到一个开放的 Redis 服务端口,通过构造 Redis 反向 shell 负载,成功获得了远程执行代码的权限。

公粽号:黒掌
一个专注于分享网络安全、黑客圈热点、黑客工具技术区博主!

一 前言

发现此漏洞的漏洞赏金计划不允许公开披露,因此我不会直接使用涉及的系统名称。该项目是发布在Hackerone时间最长漏洞奖金最大的项目之一, Hackerone上有很多关于该项目的黑客事件。这是一家很强大的公司,拥有世界一流的安全团队并且多年来有大量安全专家对这家公司进行测试,这使该漏洞的存在更加令人惊讶。

二 侦查

一般来说,对于一个大范围的漏洞赏金项目,我会进行子域名枚举来增加攻击面,但在本例中,我专注于单一的web目标系统。因为我只关注一个web应用程序,所以我首先使用GAU(https://github.com/lc/gau) 工具获取url和参数列表。我还查看了各种javascript文件中隐藏的参数,并使用Ffuf(https://github.com/ffuf/ffuf) 工具进行了一些目录模糊处理。通过这些方法,我发现了一些有趣的参数,但没有发现什么脆弱点。

由于第一种侦查方法没有发现任何问题,因此我尝试了另一种方法。在后台运行Burp代理测试Web应用程序的各种功能,发出的所有请求都存储在Burp中,这使我可以轻松查看所有请求中是否有有趣或潜在的漏洞。在测试了Web应用程序的功能之后,我开始浏览存储在代理日志中的请求,并遇到了类似于以下的请求

GET /xxx/logoGrabber?url=http://example.com
Host: site.example.com
...

带有url参数的GET请求。此请求的响应如下所示,其中包含有关URL的标题和徽标的信息:

{
   
   "responseTime":"99999ms","grabbedUrl":"http://example.com","urlInfo":{
   
   "pageTitle":"Example Title","pageLogo":"pagelogourl"}}

该请求立即引起了我的兴趣,因为它正在返回有关URL的一些数据。每当您遇到从URL返回信息的请求时,最好测试一下SSRF。

三 发现SSRF

我第一次尝试SSRF失败,我能够与服务器进行外部交互,但由于受到了适当的保护,因此无法访问任何内部IP地址。
在无法访问任何内部IP地址之后,我决定查看是否可以访问该公司的任何公众已知的公司子域。我为目标做了一些子域枚举,然后对所有枚举的子域名进行尝试。最终,我很幸运,发现一些无法公开访问的站点返回了标题数据等信息。
举一个子域名(somecorpsite.example.com)的例子:当我尝试http://somecorpsite.example.com 在浏览器中访问时,该请求超时。但当我提交请求时:

GET /xxx/logoGrabber?url=http://somecorpsite.example.com
Host: site.example.com
...

响应包含内部标题和徽标信息:

{
   
   "responseTime":"9ms","grabbedUrl":"http://somecorpsite.example.com","urlInfo":{
   
   "pageTitle":"INTERNAL PAGE TITLE","pageLogo":"http://somecorpsite.example.com/logos/logo.png"}
最低0.47元/天 解锁文章

200万优质内容无限畅学
ssrf漏洞修复(ssrf漏洞修复方式)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-09 4449
区块链去中介化、共识机制、不可篡改的特点,增加数据流转效率,减少成本,实时监控资产的真实情况,保证交易链条各方机构对底层资产的信任问题。在区块链行业,地址追溯是一个相对敏感的话题。当然,地址追溯的方法并不限于以上提到的几点,而能够突破交易所的黑客也必然会使用各种反追溯的手段来应对,包括利用去中心化交易所套现,利用混币/搅拌机等技术手段阻碍追溯等。具体方法是通过区块链浏览器输入可疑地址,查询该地址的交易,从交易结果列表中寻找出大额的资金流向,按照新的流向打开每层地址,逐层深入查询,即可得出大额资金的流向图。
网络安全 | 漏洞挖掘】利用 Gopher 实现雅虎邮件 Blind SSRF 升级至 RCE远程命令执行
等风来
01-19 3827
在提交请求后,Burp Collaborator URL受到了访问,显然,重定向与gopher结合成功,则此时可以利用gopher协议访问内部IP。结果是:没有请求发送到 Burp Collaborator,推断目标服务器可能限制了 Gopher 协议,绕过方法之一是重定向。由于127.0.0.1在不使用 gopher 的情况下不可访问,且测试数据可控,故测试127.0.0.1。在提交请求后,重定向被跟随,导致 Burp Collaborator URL受到了访问。
ssrf漏洞复现分析(1)
huizhaohaha的博客
08-25 948
但是我们查看/etc/shadow就不可,因为我们的权限不够,那我们使用dict协议看看服务器本地开启了哪些端口,经过测试,发现没有明显的反馈,那我们可以看一下页面返回值,来猜测。在这个IP地址下只开放了80端口,那这个时候好像有些束手无策了,但是我们转换思想,为什么不能存在其他ip地址呢,这毕竟是内网,我们便可以探测该网段上存活的主机了,这里我手动探查。172.21.0.2,这个ip下重新打印了一次当前页面,仔细看后发现这个是我们当前主机ip,这就很正常了。
29 WEB漏洞-CSRF及SSRF漏洞案例讲解-附件资源
03-02
29 WEB漏洞-CSRF及SSRF漏洞案例讲解-附件资源
Blind SSRF vulnerabilities:SSRF漏洞实例
Zeker62的博客
08-16 1971
What is blind SSRF? Blind SSRF vulnerabilities arise when an application can be induced to issue a back-end HTTP request to a supplied URL, but the response from the back-end request is not returned in the application’s front-end response. 不能看见返回给客户端的内容 Wh
PDFReacter:从SSRFRCE
NOSEC2019的博客
04-30 785
什么是PDFReacter?-它是一种解析软件,可以把HTML文件转换为PDF文件。 在某次渗透测试时,我发现目标应用使用了PDFReacter进行文件转换。 于是我想到,也许这个软件在处理某些危险的HTML代码时存在缺陷。我尝试往一个正常的HTML页面插入一个单独的<img>标签,然后将其转换PDF,响应如下: 这貌似是一个好的开始,目标应用和PDFReacter并不会对某些HT...
【Burp入门第二十篇】使用BurpSuite实现SSRF+实战案例
等风来
04-07 2533
允许用户输入一个URL,然后在服务器端通过发起HTTP请求来获取该URL的内容并显示给用户。如果网站没有对URL进行验证,通过输入。SSRF漏洞:向服务器发送伪造请求即可访问或操作服务器上的资源。,即可获取到内部系统的敏感信息,如管理员页面的内容。故我们可以尝试找到该服务器上存在的路径。以下步骤可证明某站点是否存在SSRF。故可证明该站点存在SSRF。【案例2】外带SSRF
从低危Blind SSRF到严重漏洞
2401_89294392的博客
01-20 1051
SSRF简介服务器端请求伪造(SSRF)是一种Web安全漏洞,它允许攻击者使服务器端应用程序向非预期的位置发送请求。这可能导致攻击者迫使服务器连接到组织内部基础设施中仅限内部访问的服务。在其他情况下,他们可能强迫服务器连接到任意的外部系统。这可能泄露敏感数据,例如授权凭据。BlindSSRF简介BlindSSRF漏洞的出现是由于应用程序被诱导向提供的URL发出后端HTTP请求,但后端请求的响应不会在应用程序的前端响应中返回。
TryHackMe 第7天 | Web Fundamentals (二)
weixin_43831376的博客
10-07 1416
继续介绍一些 Web hacking 相关的漏洞。
红队专题-漏洞挖掘-代码审计
aming小老弟
03-11 1334
其中 Web A 为存在 CSRF 漏洞的网站,Web B 为攻击者构建的恶意网站,User C 为 Web A 网站的合法用户。用户 C 打开浏览器,访问受信任网站 A,输入用户名和密码请求登录网站A在用户信息通过验证后,网站 A 产生 Cookie 信息并返回给浏览器,此时用户登录网站 A 成功,可以正常发送请求到网站A用户未退出网站 A 之前,在同一浏览器中,打开一个 TAB 页访问网站 B网站 B 接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点 A。
国光师傅的SSRF靶场docker环境.zip
01-14
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,靶场为安全从业者提供了一个模拟真实网络环境的平台。通过构建类似实际网络的拓扑结构、部署各种安全设备和应用,靶场可以模拟出多样化的网络攻防场景。这使得安全人员能够在安全的环境中进行实际操作,全面提升其实战能力。 其次,靶场是渗透测试和漏洞攻防演练的理想场所。在靶场中,安全专业人员可以模拟攻击者的行为,发现系统和应用的漏洞,并进行渗透测试,从而及时修复和改进防御机制。同时,这也为防御方提供了锻炼机会,通过对抗攻击提高防御能力。 靶场的搭建还促进了团队协作与沟通。在攻防对抗中,往往需要多人协同作战,团队成员之间需要密切配合,共同制定攻击和防御策略。这有助于培养团队合作意识,提高协同作战的效率。 此外,靶场为学习者提供了一个安全的学习环境。在靶场中,学生可以通过实际操作掌握安全知识,了解攻击技术和防御策略。这样的学习方式比传统的理论课程更加生动直观,有助于深化对安全领域的理解。 最后,靶场也是安全社区交流的平台。在靶场中,安全从业者可以分享攻防经验,交流最新的安全威胁情报,共同探讨解决方案。这有助于建立更广泛的安全社区,推动整个行业的发展。 总体而言,靶场在信息安全领域具有重要地位,为安全专业人员提供了实战演练的机会,促进了团队协作与沟通,为学习者提供了安全的学习环境,同时也是安全社区交流的重要平台。通过靶场的实践操作,安全从业者能够更好地应对不断演变的网络威胁,提高整体的安全水平。
SSRFRCE:微软不打算修复Office Online Server 中的这个漏洞
smellycat000的专栏
10-21 684
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士安全研究员表示,运行Microsoft Offine Online Server 的Windows 服务器可被用于实现服务器端请求伪造 (SSRF),并在主机上实现远程代码执行后果。MDSec 公司的安全研究员表示,已将自己的研究成果通知给微软安全响应中心,但被告知该行为并非漏洞,而是Office Online Server的一个特性,因此将不会...
SSRF6 利用ssrf漏洞结合RCE远程命令执行漏洞打组合拳
最新发布
2401_89464052的博客
06-18 676
RCE漏洞通过命令执行函数(如system())在目标服务器执行任意命令,利用特殊符号(; & |等)拼接恶意代码。实验演示了利用pikachu靶场和gopher协议构造恶意请求,通过SSRF漏洞触发RCE,成功获取反弹shell。关键步骤包括监听端设置、命令编码和请求构造,最终实现远程服务器控制。该漏洞危害严重,需严格过滤用户输入。
CSRF SSRF RCE
qq_41701460的博客
03-22 1195
RCE:远程命令/代码执行(remote command/code execute),可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。RCE分为远程命令执行ping和远程代码执行evel。在 Web 应用中有时候程序员为了考虑灵活性、简洁性,会在代码调用代码或命令执行函数去处理。比 如当应用在调用一些能将字符串转化成代码的函数时,没有考虑用户是否能控制这个字符串,将造成代 码执行漏洞。同样调用系统命令处理,将造成命令执行漏洞。
SSRF利用HFS的远程命令执行漏洞(RCE
qq_45884775的博客
04-09 5385
0x00SSRF漏洞介绍: SSRF漏洞(服务器端请求伪造):是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)。 0x01SSRF漏洞原理: SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。利用的是服务端的请求伪造。SSRF是利用存在缺陷的we
Exchange漏洞分析:SSRF RCE
Galaxy_0的博客
01-10 673
Exchange漏洞分析:SSRF RCE
翻译文章 | Just gopher it!无回显SSRF升级为RCE
weixin_40418457的博客
06-01 712
前言: 发现此漏洞的bug bounty团队不允许公开披露,因此我不会直接命名所涉及的程序。 我能说的是,这是在Hackerone运行时间最长、规模最大的bug赏金活动中发现的。多个Hackerone的现场黑客活动已经包括这个活动。 毋庸置疑,这是一家拥有世界级安全团队的公司,多年来一直有大量专门针对它的黑客专家——这使得这个漏洞的存在更加令人惊讶。 第1部分:侦察 通常对于一个大范围的bug赏金程序,我会从子域枚举开始,以增加我的攻击面,但在这种情况下,我只针对我的目标上的一个web应用程序。 因为我只专
漏洞分析的目的是发现/漏洞分析报告-零基础攻防笔
程序员六七的博客
05-10 684
0x00 前言在今年3月份,微软公布了多个 的高危漏洞。是历史上最具影响力的漏洞之一,有上千台服务器被植入了后门。0x01 漏洞描述CVE-2021-
pikachu+RCE+SSRF
qq_54537919的博客
03-11 1006
pikachu+RCE+SSRF RCE 4.1 exec "ping" 4.2 exec "eval" SSRF 5.1 SSRF(curl) 5.2 SSRF(file_get_content)
ssrfrce的区别
12-28
### SSRFRCE的区别 #### 定义差异 SSRF(服务器端请求伪造)是指攻击者能够诱使服务器发起HTTP请求到另一个URL,这可能包括内部网络资源。而RCE(远程代码执行)则是指攻击者能够在目标系统的上下文中执行任意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值