SSRF攻击进入内网
本帖最后由 人=族 于 2016-11-10 18:18 编辑http://img.mottoin.com/wp-content/uploads/2016/11/SSRF.png
前言
在浏览一些网站后,我注意到js.example.com这个站点加载额外的json数据到help.example.com。
请求链接如下:
http://js.examplecom/redacted/proxy?redacted=subdomain1&r=/jsonpfile.jsonp?token=underfine
http://img.mottoin.com/wp-content/uploads/2016/11/1-7.png
我决定将r参数修改为外部链接:http://google.com
结果出现以下错误:
http://img.mottoin.com/wp-content/uploads/2016/11/2-2.png
网站尝试加载:“http://subdomain1.private.com http://google.com,但出现错误。我猜想大概可以C参数的”subdomain1″改为”www”来尝试一下(后来我发现,加载private.com的任意子域名都会出现跟同上面一样的错误)。
http://img.mottoin.com/wp-content/uploads/2016/11/3-2.png
使用菲律宾代理节点?当然可以。现在,我们尝试加载一些有趣的东西。这里使用的是“file://URL”而不是“http://URL”。
http://img.mottoin.com/wp-content/uploads/2016/11/4-1.png
加载成功,NB吧!
再看一下加载点什么捏?
http://img.mottoin.com/wp-content/uploads/2016/11/8-1.png
我注意到第一个错误,它尝试从xxxx.private.com中加载内容。我想尝试解决掉这个问题,很不幸,没有成功。
http://img.mottoin.com/wp-content/uploads/2016/11/9.png
我想必须是某一类型的网站才可以加载成功,我从网上下载了一个子域名列表(https://github.com/bitquark/dnspop/tree/master/results)尝试爆破,爆破成功,下面是爆破截图:
http://img.mottoin.com/wp-content/uploads/2016/11/6-1.png
成功连接到数据库:
http://js.example.com/redacted/proxy?redacted=www&r=http://subdomain2.private.com/
现在ssrf接触的不是很多…… 。。。转发的他,,, 遛遛遛,这里面有些有趣的
页:
[1]