SSRF——服務(wù)端請(qǐng)求偽造，上一篇，我談到了CSRF客戶端請(qǐng)求偽造，這個(gè)是我們通過攻擊用戶，引誘客戶點(diǎn)擊我們偽造好的表單，從而達(dá)到我們攻擊的目的，是從客戶端發(fā)起的，那么SSRF服務(wù)端請(qǐng)求偽造當(dāng)然是通過我們的目標(biāo)網(wǎng)站也就是我們的服務(wù)端而發(fā)起我們滲透攻擊的目的。

再說一下，平常在做滲透測(cè)試工作的過程中哪些地方容易產(chǎn)生SSRF漏洞，可以看到大部分相關(guān)資料都會(huì)顯示，容易產(chǎn)生SSRF的地方在社交分享、圖片加載、郵件系統(tǒng)、數(shù)據(jù)庫等。為什么這些地方會(huì)出現(xiàn)呢，社交分享可能會(huì)分享到其他網(wǎng)址對(duì)吧，如果我們替換其網(wǎng)址為我們的本地地址呢，會(huì)出現(xiàn)什么樣得情況？同一個(gè)地址更換不同的端口又會(huì)有什么不同，加載圖片請(qǐng)求的服務(wù)器可能和你所訪問的網(wǎng)站不是同一個(gè)服務(wù)器，這樣是不是能探測(cè)內(nèi)網(wǎng)的同一局域網(wǎng)段的情況呢，郵件系統(tǒng)也是同一道理，這些都是探測(cè)SSRF漏洞的手段。

所以本質(zhì)上就是因?yàn)槟阆蚱渌胤秸?qǐng)求的資源和你本身的網(wǎng)站資源不在同一個(gè)地方，因此，平常在做滲透測(cè)試過程中，只要參數(shù)帶有URL的或者IP地址的就都有可能會(huì)產(chǎn)生SSRF漏洞，檢查方法：改端口，探測(cè)哪些端口開啟，換網(wǎng)址，局域網(wǎng)內(nèi)不同的主機(jī)是否開啟。這就和盲注的情況一樣，存在和不存在會(huì)出現(xiàn)不同的情況。

接下來就讓我們來看下Weblogic服務(wù)的SSRF漏洞是怎么體現(xiàn)的，通過這樣的漏洞我們能獲的什么樣的信息。

本次復(fù)現(xiàn)的SSRF漏洞是Weblogic應(yīng)用服務(wù)，版本號(hào)是10.3.6，漏洞編號(hào)為CVE-2014-4210，為了更好的讓人理解，我將本次漏洞的展示與說明寫的簡(jiǎn)潔明了，安裝跳過，漏洞出現(xiàn)的頁面位于 http://IP:7001/uddiexplorer/SearchPublicRegistries.jsp，這個(gè)是屬于weblogic的一個(gè)組件，是不需要登錄就能直接訪問的網(wǎng)頁，我們看下這個(gè)漏洞傳輸?shù)臄?shù)據(jù)包的展示，選擇第一個(gè)Search PublicRegistries選項(xiàng)，我這里任意輸入一個(gè)值text，點(diǎn)擊Search按鈕發(fā)送數(shù)據(jù)包。

這里我們知道請(qǐng)求并不是向某一網(wǎng)址發(fā)起請(qǐng)求，而是向本地發(fā)送一個(gè)test的表單數(shù)據(jù)，但這里我們可以看到表單數(shù)據(jù)其中的一個(gè)參數(shù)operator，它有一個(gè)網(wǎng)址值域名為http://www-3.ibm.com，這里是weblogic請(qǐng)求自帶的一個(gè)參數(shù)，而這里就是產(chǎn)生SSRF漏洞的所在，和我們自己輸入的參數(shù)值text卻沒有關(guān)系，我們只是為了發(fā)送這樣一個(gè)請(qǐng)求才添加個(gè)test值。

為什么說在這里會(huì)產(chǎn)生SSRF漏洞呢，因?yàn)樵谶@里我們通過變更這個(gè)URL的參數(shù)，根據(jù)響應(yīng)包返回的數(shù)據(jù)獲得服務(wù)器內(nèi)部的相關(guān)信息。

這里我們既然開啟了weblogic服務(wù)，那么，在沒改默認(rèn)端口的情況下，服務(wù)器的7001端口必然開啟，為了方便，我直接將7001端口用來測(cè)試展示，發(fā)起請(qǐng)求，抓包將我們的operator參數(shù)后面的網(wǎng)址改為http://127.0.0.1:7001傳給服務(wù)器，這里是要加上http協(xié)議的，此時(shí)我們可以看到頁面響應(yīng)的內(nèi)容報(bào)出異常提示返回404錯(cuò)誤碼。

我知道我自己的服務(wù)器上7002端口是關(guān)閉沒有服務(wù)的，這里將我的operator參數(shù)更換為http://127.0.0.1:7002來發(fā)包，這個(gè)時(shí)候我們可以看到網(wǎng)頁上面的內(nèi)容顯示和端口為7001的不一樣，現(xiàn)在報(bào)的異常是不能鏈接本地7002端口，而不是7001這樣的返回404錯(cuò)誤碼。

也就是說，服務(wù)端口開啟與未開啟會(huì)給你返回兩種不同的網(wǎng)頁狀態(tài)，通過這種不同的情況，我們能夠探測(cè)該weblogic所在服務(wù)器哪些危險(xiǎn)端口開啟和未開啟，這就和盲注判斷數(shù)據(jù)的性質(zhì)一樣，通過這種朝向服務(wù)端自己的請(qǐng)求讓我們能夠了解內(nèi)網(wǎng)信息的漏洞，我們將它歸類為SSRF漏洞。

本次漏洞復(fù)現(xiàn)資源，微信公眾號(hào)：滲透之師，回復(fù)005，另外附贈(zèng)wooyun大佬-豬豬俠的ssrf滲透框架的ppt內(nèi)容哦！下期內(nèi)容XXE，敬請(qǐng)期待！

總結(jié)

以上是生活随笔為你收集整理的ssrf漏洞内网渗透_渗透技巧之SSRF的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。