实验室:基于路由的SSRF
从业者
此实验室很容易受到路由的攻击SSRF.通过主机标题。您可以利用此项来访问位于内部IP地址的Insecure Intranet管理面板。
要解决实验室,请访问位于内部管理面板中192.168.0.0/24
范围,然后删除卡洛斯。
笔记
为防止学院平台用于攻击第三方,我们的防火墙会阻止实验室和任意外部系统之间的交互。要解决实验室,必须使用Burp Collaborator的默认公共服务器(Burpcollaborator.net.
)。
解决方案
- 发送
得到 /
请求收到Burp Reveater 200响应。
- 从Burp菜单中,打开Burp Collaborator客户端。在对话框中,单击“复制到剪贴板”以复制Burp Collaborator域名。立即打开对话框。
- 在Burp Repeater中,使用Collaborator域名替换主机标题值并发送请求。
- 返回“协作者客户端”对话框,然后单击“立即轮询”。您应该在表中看到几个网络交互,包括HTTP请求。这确实证实您能够将本网站的中间件发出请求向任意服务器提供。beplay体育能用吗您现在可以关闭协作者客户端。
发送得到 /
请求Burp入侵者。在Burp Intruder中,转到“位置”选项卡并清除默认有效负载位置。删除主机标头的值并用以下IP地址替换它,将有效负载位置添加到最终八位字节:
主持人:192.168.0.§0§
在“有效载荷”选项卡上,选择“有效载荷类型”数字“。在“有效载荷选项”下,输入以下值:
从:0到:255步:1
- 单击“开始攻击”。警告将通知您主机标头与指定的目标主机不匹配。正如我们故意这样做的那样,您可以忽略此消息。
- 当攻击完成后,单击“状态”列以对结果进行排序。请注意,单个请求已收到一个将您重定向的302响应
/行政
。将此请求发送到Burp Repeater。
- 在Burp Repeater中,将请求行更改为
获取/管理员
并发送请求。在响应中,观察您已成功访问管理面板。
- 研究删除用户的表格。请注意,它会产生一个
邮政
请求/ admin / delete
两者兼而有之CSRF令牌和用户名
范围。您需要手动制作等效请求删除Carlos。
更改您请求中的路径/ admin / delete
。复制CSRF令牌从显示的响应中并将其添加为您的请求的查询参数。还添加了一个用户名
参数包含卡洛斯
。请求行现在应该如此如此如此如此如此如此如此如此如此:
get / admin / delete?csrf = qct5ompeaapnytkyett29lszll7cbpop&username = carlos
- 从中复制会话cookie
set-cookie.
标题在显示的响应中并将其添加到您的请求中。
- 右键单击您的请求,然后选择“更改请求方法”。Burp会将它转换为
邮政
要求。
- 发送请求删除Carlos并解决实验室。