实战篇——SSRF漏洞RCE实战

合集 - Web渗透(20)

1.基础篇——VMware与提权初见2024-06-152.基础篇——Kali渗透工具初见2024-06-163.基础篇——MySQL基础操作2024-06-274.基础篇——Session状态维持2024-06-265.基础篇——php与sql联动2024-06-256.基础篇——html与php联动2024-06-247.实战篇——XSS漏洞xss-labs-master靶场实战2024-07-088.实战篇——文件包含漏洞2024-07-079.实战篇——文件上传漏洞upload-labs-master靶场实战二2024-07-0610.实战篇——文件上传漏洞upload-labs-master靶场实战一2024-07-0511.实战篇——SQL注入sqli-labs-master靶场实战三2024-07-0312.实战篇——SQL注入sqli-labs-master靶场实战二2024-07-0213.实战篇——SQL注入sqli-labs-master靶场实战一2024-07-0114.实战篇——Burpsuite工具BruteForc靶场实战2024-06-2815.实战篇——支付逻辑漏洞portswigger靶场实战2024-07-2116.实战篇——XXE漏洞pikachu靶场实战2024-07-1117.实战篇——SSRF漏洞Redis反弹shell实战2024-07-10

18.实战篇——SSRF漏洞RCE实战2024-07-10

19.实战篇——CSRF漏洞pikachu靶场实战2024-07-1020.实战篇——XSS漏洞dedecms渗透实战2024-07-09

收起

实战篇——SSRF漏洞RCE实战

SSRF的原理

攻击者利用外部服务器对请求资源未作限制的缺陷，构造特定的请求实现内网渗透。

SSRF之RCE实战

代码审计：

此处未对url作任何的过滤或验证，因此存在SSRF漏洞。

利用file伪协议读取文件，实现内网主机探测：

利用dict伪协议探测192.168.118.150的端口：

可见开放了80等端口。

访问192.168.118.150的80端口，发现存在两处命令执行漏洞：

利用http伪协议实现GET请求：

需要特别注意的是，由于SSRF请求的参数会依次经过外部服务器和内部服务器，因此必须对参数中的' ','&'等特殊字符进行两次url编码：

利用gopher伪协议实现POST请求，同样需要对POST请求包中的特殊字符进行两次url编码：

当然最简单的方法是对整个POST请求包进行两次url编码：