记一次SSRF漏洞的学习和利用

这篇具有很好参考价值的文章主要介绍了记一次SSRF漏洞的学习和利用。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

导语:本文主要记录一次我们在复盘嘶吼网站渗透报告时遇到的一个SSRF漏洞。

1.前言

本文主要记录一次我们在复盘嘶吼网站渗透报告时遇到的一个SSRF漏洞。此漏洞并结合腾讯云的API接口,可以获取大量嘶吼服务器的敏感信息。利用这些敏感信息,又可以进行更为深入的渗透。

这篇文章将会发表在嘶吼网站上,渗透测试也是经过了嘶吼的官方授权,各位读者可以放心食用。这里由衷感谢漏洞的提交者。本篇中提到的漏洞已于2019年修复完毕,大家就不要再尝试了,此外,温馨提示:未授权的渗透行为是非法的。�

2.漏洞介绍

SSRF(Server-Side Request Forgery, 服务器端请求伪造) 是一种由攻击者利用服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问,仅能通过内网访问的资源。SSRF 形成的原因可以概述为:服务端提供了从其他服务器获取数据的功能,但没有对目标服务器做任何限制。上述概念听起来有点难度,我们举个例子就能让问题更为清晰:部署在腾讯云的服务器,是可以访问腾讯提供的一个API接口,获取该服务器的内网地址。 我们自己的计算机不在腾讯云的内网中,自然是无法访问这个地址的。老版的嘶吼服务器存在一个SSRF漏洞,我们可以构造特殊的HTTP请求包,使老版嘶吼服务器访问腾讯云的API接口获得内网地址,并把这个地址返回给我们。这就造成了内网地址的泄露,当然利用此漏洞还可以泄露更多的东西。但作为一群爱国青年,我们不能做违法的事情。所以,例子就到此结束。

老版的嘶吼站点中引用了一个开源的编辑器项目laravel-u-editor (UEditor)。该编辑器是由百度web前端研发部开发的富文本web编辑器,拥有不小的使用量。

通过阅读UEditor的源代码,我们可以在LumenController.php发现,参数$sources完全可以自己控制。代码如下:
记一次SSRF漏洞的学习和利用

而且,在对$sources的值进行判断时,其代码也有些简单,可以在UploadCatch.php中找到关键点,如下图:
记一次SSRF漏洞的学习和利用

因此,可以通过“?.jpg”绕过这个判断,导致读取任何格式的内容。

3.漏洞利用

正如在我们在第一章中举的例子,这里我们就获取一下嘶吼服务器的内网地址试一试。其具体步骤如下:

A. 首先,我们要查看下腾讯云提供的API内容。链接如下:

https://cloud.tencent.com/document/product/213/4934

内容截图如下:
记一次SSRF漏洞的学习和利用

在图中,我们可以找到获取内网地址的腾讯云API接口,即图中红框部分。

B. 然后,我们需要构造请求利用该SSRF漏洞使嘶吼访问该 “图片”。链接

如下:

https://www.4hou.com/laravel-u-editor-server/server?action=catchimage&source[]=http://metadata.tencentyun.com/latest/meta-data/loacl-ipv4?.jpg

构造完毕之后,发送该请求,截图如下:
记一次SSRF漏洞的学习和利用

在请求发送之后,该内网的IPv4地址写入jpg文件,并将jpg文件的路径返回给浏览器。

C. 最后,访问返回给我们的jpg文件链接,截图如下:
记一次SSRF漏洞的学习和利用

上图中,我们就很顺利的拿到了老版嘶吼的一个内网地址。需要告诉大家的是,该地址已经更新了,不要总想着搞事情。

到此,我们就顺利地利用该SSRF漏洞拿到一些我们感兴趣的信息。当然此SSRF漏洞还有很多其他的利用方式,但受限于当地法律法规,这里只能以404方式展示了。

4.漏洞修复

截止到我们整理这篇文章时,貌似UEditor并没有修复这个漏洞。我们在这里只给出一些临时的解决方案,一个简单有效的临时修复方法就是设置URL白名单以及更为严格的文件类型过滤措施。相信看到这里的各位读者都能够理解这个临时解决方案的含义,这里就不再详细解释了。

5.结语

本次复盘到这里就算是结束了,相信认真读到这里的各位应该会有一些收获。在后续的文章中,我们也会陆陆续续地拿出其他的案例以及其他的漏洞分享给大家,希望各位读者能有所收获。文章来源地址https://www.toymoban.com/news/detail-463069.html

到了这里,关于记一次SSRF漏洞的学习和利用的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 记一次挖edusrc漏洞挖掘(sql注入)

    在利用fofa收集信息的时候发现的,我这里直接开始挖洞部分写了。 目标是一个中学的站点,在一次挖洞过程中遇到个sql注入,漏洞已报送平台进行了修复。该文章仅用于交流学习,切勿利用相关信息非法测试,我也是刚入门的小白,欢迎各位大佬指点。 访问url/gywm.asp?id=95

    2024年02月08日
    浏览(42)
  • 记一次内网渗透向日葵利用方式

    该脚本仅适用于老版向日葵。 使用该脚本前已用蚁剑连接成功。 利用 蚁剑插件 桌面截图发现目标系统存在向日葵软件    查找向日葵配置文件默认路径 向日葵默配置文件认文件路径:   使用验证解密脚本 地址: 输入识别码和验证码 利用向日葵进行远程连接,连接成功

    2024年02月05日
    浏览(52)
  • 记一次攻防演练之vcenter后渗透利用

    很早之前的一次攻防演练,主要是从 web 漏洞入手,逐渐学习 vcenter 后利用技术。过程由于太长,很多细节都省略了,中间踩坑、磕磕绊绊的地方太多了。。。 由于敏感性,很多地方都是打码或者是没有图,按照回忆整理的,见谅! 根据打点的记录,找到了一个 confluence 的界

    2024年02月09日
    浏览(49)
  • 记一次对某高校微信小程序的漏洞挖掘

    挖掘目标的部署在微信的资产(减少信息的收集,毕竟一般web站点没有账号密码不好进入后台,挖掘功能点少) 1.寻找目标的微信小程序(非原图) 2.招生小程序打不开,只能挖掘管理系统 进入后发现存在上报安全隐患功能,可以上传图片 3.准备上传shell 发现控制上传名字参数为

    2024年04月15日
    浏览(34)
  • 记一次修复漏洞(OpenSSH 安全漏洞(CVE-2023-28531))CentOS升级openssh

    1.查看当前openssl和openssh版本 2.安装并启用telnet服务(防止升级过程无法连接机器) 设置开机自启 启动服务 检查服务是否开启: 开启root用户在telnet登陆:   3.配置防火墙(关闭防火墙可不配置) 法一:直接对外开发23端口(高风险)  #--permanent 为永久开启,不加此参数重启

    2024年02月06日
    浏览(49)
  • 记一次PlanUML时序图学习

    最近因为工作需要学习了使用PlanUML画时序图,上一次学这个还是在大学的时候,以为这辈子再也不会遇到这个东西了,结果又遇到了,还是总结一下,下次再遇到就好看 PlantUML是一款开源的UML图绘制工具,支持通过文本来生成图形,使用起来非常高效。可以支持时序图、类图

    2024年02月11日
    浏览(32)
  • 记一次Eazfuscator.NET 2023.2加密使用学习尝试

    Eazfuscator.NET 是用于.NET平台的工业级混淆器。 Eazfuscator.NET 提供的混淆保护了软件中根深蒂固的知识产权,提高了商业盈利能力,并保持了竞争优势。 Eazfuscator.NET 很简单,就像 1-2-3 一样: 它可以保护您的代码, 而不会破坏它 -  即使在最复杂的情况下  - 我们已经处理了它

    2024年02月11日
    浏览(43)
  • 【Qt 学习之路】记一次安装 Qt5.12.12 安卓环境的失败案例

    安装的 Qt5.12.12 版本 Qt下载地址: https://download.qt.io/archive/qt/ 安装Qt,可能会碰到“qt.tool.perl”安装程序错误,可以看我的记录解决: Qt开发 之 安装程序错误–安装进程(qt.tool.perl)的解决办法 JDK NDK SDK openssl 注意组合套件的版本和Qt的版本要对应起来!同时,安装路径不可

    2024年02月19日
    浏览(34)
  • 漏洞原理——ssrf

    SSRF (Server-Side Request Forgery,服务器端请求伪造) 是一种由攻击者构造请求,由服务端发起请求的安全漏洞,一般情况下,SSRF攻击的目标是外网无法访问的内网系统,也正因为请求是由服务端发起的,所以服务端能请求到与自身相连而与外网隔绝的内部系统。也就是说可以利用

    2024年02月08日
    浏览(43)
  • SSRF漏洞拓展

    目录 SSRF漏洞拓展 curl_exec函数 一、ssrf配合gopher协议反弹shell 二、ssrf配合gopher协议写马 三、ssrf配合gopher协议ssh免密登录 四、ssrf配合dict协议反弹shell 实验环境: 1、利用定时任务构造反弹shell 2、进行URL编码 3、然后把%0a换成%0d%0a,最后再加上%0d%0a,再进行一次url编码 4、对参

    2024年02月09日
    浏览(39)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包