记一次从盲SSRF到RCE

最新推荐文章于 2025-06-18 10:43:05 发布
原创 最新推荐文章于 2025-06-18 10:43:05 发布 · 2k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #渗透测试 #信息安全

本文详细记录了一位安全研究员如何利用一个 Blind SSRF 漏洞,通过 Gopher 协议和重定向,最终实现 RCE,从而获得15000美元赏金的过程。研究人员首先发现了一个允许外部URL信息检索的系统,接着利用重定向和 Gopher 协议绕过过滤,访问了内部 IP 并找到一个开放的 Redis 服务端口,通过构造 Redis 反向 shell 负载,成功获得了远程执行代码的权限。

公粽号:黒掌
一个专注于分享网络安全、黑客圈热点、黑客工具技术区博主!

一 前言

发现此漏洞的漏洞赏金计划不允许公开披露,因此我不会直接使用涉及的系统名称。该项目是发布在Hackerone时间最长漏洞奖金最大的项目之一, Hackerone上有很多关于该项目的黑客事件。这是一家很强大的公司,拥有世界一流的安全团队并且多年来有大量安全专家对这家公司进行测试,这使该漏洞的存在更加令人惊讶。

二 侦查

一般来说,对于一个大范围的漏洞赏金项目,我会进行子域名枚举来增加攻击面,但在本例中,我专注于单一的web目标系统。因为我只关注一个web应用程序,所以我首先使用GAU(https://github.com/lc/gau) 工具获取url和参数列表。我还查看了各种javascript文件中隐藏的参数,并使用Ffuf(https://github.com/ffuf/ffuf) 工具进行了一些目录模糊处理。通过这些方法,我发现了一些有趣的参数,但没有发现什么脆弱点。

由于第一种侦查方法没有发现任何问题,因此我尝试了另一种方法。在后台运行Burp代理测试Web应用程序的各种功能,发出的所有请求都存储在Burp中,这使我可以轻松查看所有请求中是否有有趣或潜在的漏洞。在测试了Web应用程序的功能之后,我开始浏览存储在代理日志中的请求,并遇到了类似于以下的请求

GET /xxx/logoGrabber?url=http://example.com
Host: site.example.com
...

带有url参数的GET请求。此请求的响应如下所示,其中包含有关URL的标题和徽标的信息:

{
   
   "responseTime":"99999ms","grabbedUrl":"http://example.com","urlInfo":{
   
   "pageTitle":"Example Title","pageLogo":"pagelogourl"}}

该请求立即引起了我的兴趣,因为它正在返回有关URL的一些数据。每当您遇到从URL返回信息的请求时,最好测试一下SSRF。

三 发现SSRF

我第一次尝试SSRF失败,我能够与服务器进行外部交互,但由于受到了适当的保护,因此无法访问任何内部IP地址。
在无法访问任何内部IP地址之后,我决定查看是否可以访问该公司的任何公众已知的公司子域。我为目标做了一些子域枚举,然后对所有枚举的子域名进行尝试。最终,我很幸运,发现一些无法公开访问的站点返回了标题数据等信息。
举一个子域名(somecorpsite.example.com)的例子:当我尝试http://somecorpsite.example.com 在浏览器中访问时,该请求超时。但当我提交请求时:

GET /xxx/logoGrabber?url=http://somecorpsite.example.com
Host: site.example.com
...

响应包含内部标题和徽标信息:

{
   
   "responseTime":"9ms","grabbedUrl":"http://somecorpsite.example.com","urlInfo":{
   
   "pageTitle":"INTERNAL PAGE TITLE","pageLogo":"http://somecorpsite.example.com/logos/logo.png"}
最低0.47元/天 解锁文章

200万优质内容无限畅学
网络安全 | 漏洞挖掘】利用 Gopher 实现雅虎邮件 Blind SSRF 升级至 RCE远程命令执行
等风来
01-19 3827
在提交请求后,Burp Collaborator URL受到了访问,显然,重定向与gopher结合成功,则此时可以利用gopher协议访问内部IP。结果是:没有请求发送到 Burp Collaborator,推断目标服务器可能限制了 Gopher 协议,绕过方法之一是重定向。由于127.0.0.1在不使用 gopher 的情况下不可访问,且测试数据可控,故测试127.0.0.1。在提交请求后,重定向被跟随,导致 Burp Collaborator URL受到了访问。
【Burp入门第二十篇】使用BurpSuite实现SSRF+实战案例
等风来
04-07 2532
允许用户输入一个URL,然后在服务器端通过发起HTTP请求来获取该URL的内容并显示给用户。如果网站没有对URL进行验证,通过输入。SSRF漏洞:向服务器发送伪造请求即可访问或操作服务器上的资源。,即可获取到内部系统的敏感信息,如管理员页面的内容。故我们可以尝试找到该服务器上存在的路径。以下步骤可证明某站点是否存在SSRF。故可证明该站点存在SSRF。【案例2】外带SSRF
ssrf漏洞复现分析(1)
huizhaohaha的博客
08-25 947
但是我们查看/etc/shadow就不可,因为我们的权限不够,那我们使用dict协议看看服务器本地开启了哪些端口,经过测试,发现没有明显的反馈,那我们可以看一下页面返回值,来猜测。在这个IP地址下只开放了80端口,那这个时候好像有些束手无策了,但是我们转换思想,为什么不能存在其他ip地址呢,这毕竟是内网,我们便可以探测该网段上存活的主机了,这里我手动探查。172.21.0.2,这个ip下重新打印了一次当前页面,仔细看后发现这个是我们当前主机ip,这就很正常了。
SSRF6 利用ssrf漏洞结合RCE远程命令执行漏洞打组合拳
最新发布
2401_89464052的博客
06-18 674
RCE漏洞通过命令执行函数(如system())在目标服务器执行任意命令,利用特殊符号(; & |等)拼接恶意代码。实验演示了利用pikachu靶场和gopher协议构造恶意请求,通过SSRF漏洞触发RCE,成功获取反弹shell。关键步骤包括监听端设置、命令编码和请求构造,最终实现远程服务器控制。该漏洞危害严重,需严格过滤用户输入。
PDFReacter:从SSRFRCE
NOSEC2019的博客
04-30 784
什么是PDFReacter?-它是一种解析软件,可以把HTML文件转换为PDF文件。 在某次渗透测试时,我发现目标应用使用了PDFReacter进行文件转换。 于是我想到,也许这个软件在处理某些危险的HTML代码时存在缺陷。我尝试往一个正常的HTML页面插入一个单独的<img>标签,然后将其转换PDF,响应如下: 这貌似是一个好的开始,目标应用和PDFReacter并不会对某些HT...
SSRFRCE:微软不打算修复Office Online Server 中的这个漏洞
smellycat000的专栏
10-21 683
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士安全研究员表示,运行Microsoft Offine Online Server 的Windows 服务器可被用于实现服务器端请求伪造 (SSRF),并在主机上实现远程代码执行后果。MDSec 公司的安全研究员表示,已将自己的研究成果通知给微软安全响应中心,但被告知该行为并非漏洞,而是Office Online Server的一个特性,因此将不会...
CSRF SSRF RCE
qq_41701460的博客
03-22 1193
RCE:远程命令/代码执行(remote command/code execute),可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。RCE分为远程命令执行ping和远程代码执行evel。在 Web 应用中有时候程序员为了考虑灵活性、简洁性,会在代码调用代码或命令执行函数去处理。比 如当应用在调用一些能将字符串转化成代码的函数时,没有考虑用户是否能控制这个字符串,将造成代 码执行漏洞。同样调用系统命令处理,将造成命令执行漏洞。
从低危Blind SSRF到严重漏洞
2401_89294392的博客
01-20 1051
SSRF简介服务器端请求伪造(SSRF)是一种Web安全漏洞,它允许攻击者使服务器端应用程序向非预期的位置发送请求。这可能导致攻击者迫使服务器连接到组织内部基础设施中仅限内部访问的服务。在其他情况下,他们可能强迫服务器连接到任意的外部系统。这可能泄露敏感数据,例如授权凭据。BlindSSRF简介BlindSSRF漏洞的出现是由于应用程序被诱导向提供的URL发出后端HTTP请求,但后端请求的响应不会在应用程序的前端响应中返回。
TryHackMe 第7天 | Web Fundamentals (二)
weixin_43831376的博客
10-07 1414
继续介绍一些 Web hacking 相关的漏洞。
红队专题-漏洞挖掘-代码审计
aming小老弟
03-11 1332
其中 Web A 为存在 CSRF 漏洞的网站,Web B 为攻击者构建的恶意网站,User C 为 Web A 网站的合法用户。用户 C 打开浏览器,访问受信任网站 A,输入用户名和密码请求登录网站A在用户信息通过验证后,网站 A 产生 Cookie 信息并返回给浏览器,此时用户登录网站 A 成功,可以正常发送请求到网站A用户未退出网站 A 之前,在同一浏览器中,打开一个 TAB 页访问网站 B网站 B 接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点 A。
SSRF利用HFS的远程命令执行漏洞(RCE
qq_45884775的博客
04-09 5385
0x00SSRF漏洞介绍: SSRF漏洞(服务器端请求伪造):是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)。 0x01SSRF漏洞原理: SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。利用的是服务端的请求伪造。SSRF是利用存在缺陷的we
Exchange漏洞分析:SSRF RCE
Galaxy_0的博客
01-10 672
Exchange漏洞分析:SSRF RCE
翻译文章 | Just gopher it!无回显SSRF升级为RCE
weixin_40418457的博客
06-01 710
前言: 发现此漏洞的bug bounty团队不允许公开披露,因此我不会直接命名所涉及的程序。 我能说的是,这是在Hackerone运行时间最长、规模最大的bug赏金活动中发现的。多个Hackerone的现场黑客活动已经包括这个活动。 毋庸置疑,这是一家拥有世界级安全团队的公司,多年来一直有大量专门针对它的黑客专家——这使得这个漏洞的存在更加令人惊讶。 第1部分:侦察 通常对于一个大范围的bug赏金程序,我会从子域枚举开始,以增加我的攻击面,但在这种情况下,我只针对我的目标上的一个web应用程序。 因为我只专
漏洞分析的目的是发现/漏洞分析报告-零基础攻防笔
程序员六七的博客
05-10 683
0x00 前言在今年3月份,微软公布了多个 的高危漏洞。是历史上最具影响力的漏洞之一,有上千台服务器被植入了后门。0x01 漏洞描述CVE-2021-
pikachu+RCE+SSRF
qq_54537919的博客
03-11 1005
pikachu+RCE+SSRF RCE 4.1 exec "ping" 4.2 exec "eval" SSRF 5.1 SSRF(curl) 5.2 SSRF(file_get_content)
CSRF&SSRF&RCE漏洞学习笔
Tonight_Fantasy的博客
04-01 930
用户在网站A上登录并且网站A也信任用户,此时用户在登录网站A的条件下又去访问网站B,然后网站B向用户发出请求去访问网站A执行脚本,网站A就会认为这个请求是用户发出的,进而执行其恶意脚本。网站给用户提供一个执行命令的入口(比如说一些路由器和防火墙的ping测试框),如果网站没有对用户的输入做限制的话,用户就可以利用其执行一些其它恶意命令达成攻击。服务器禁止一般流量访问,只接收部署的网站来的请求,并且对网站的请求或原ip没有做过滤,黑客就可以通过当前网站。去访问服务器,去请求服务器上的资源,进而达成了攻击。
XSS,CSRF,SSRF,RCE
qq_41672971的博客
12-10 606
1111111
csrf,ssrf,rce,文件包含漏洞,文件上传漏洞
nightswatch1的博客
04-21 3567
21 CSRF与SSRF漏洞 21.1课程大纲 参考链接: 【小迪安全】Day29web漏洞-CSRF及SSRF漏洞案例讲解-哔哩哔哩(bilibili.com) 正在上传…重新上传取消 参考①:cnblogs.com/dogecheng/p/11583412.thml 21.2CSRF...
ssrfrce的区别
12-28
### SSRFRCE的区别 #### 定义差异 SSRF(服务器端请求伪造)是指攻击者能够诱使服务器发起HTTP请求到另一个URL,这可能包括内部网络资源。而RCE(远程代码执行)则是指攻击者能够在目标系统的上下文中执行任意命令或代码[^1]。 #### 影响范围不同 对于SSRF而言,主要影响在于可以让攻击者以内网中的服务器身份去访问那些对外部不可达的服务接口或者获取某些敏感信息;而对于RCE来说,则可以直接控制整个机器,在最坏情况下甚至可以获得管理员级别的权限[^4]。 #### 攻击方式的不同 当存在SSRF漏洞时,攻击手段通常是构造特定形式的数据提交给应用程序处理,使得其按照指定路径发出额外的Web请求。相比之下,RCE往往涉及到更复杂的操作,比如上传恶意脚本文件、利用已知的安全缺陷注入Shellcode等复杂技术实现对远程主机的操作系统层面指令调用[^2]。 ```python # 这是一个简单的Python代码片段用于展示如何检测是否存在基本类型的SSRF风险 import requests def check_ssr vulnerability(url): try: response = requests.get(url) if "Internal IP Address" in response.text or "Private Network Information" in response.text: print("可能存在SSRF漏洞") else: print("未发现明显的SSRF迹象") except Exception as e: print(f"发生错误: {e}") check_ssrf_vulnerability('http://example.com/api/fetch?url=http://internal-service') ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值