实验室:SSRF通过有缺陷的请求解析
从业者
该实验室容易受到基于路由的影响SSRF由于其对请求的预期主机的解析有缺陷。您可以利用此功能来访问位于内部IP地址的不安全Intranet管理面板。
要解决实验室,请访问位于192.168.0.0/24
范围,然后删除卡洛斯。
笔记
为了防止用于攻击第三方的学院平台,我们的防火墙会阻止实验室和任意外部系统之间的交互。要求解实验室,您必须使用BURP合作者的默认公共服务器(burpcollaborator.net
)。
解决方案
- 发送
得到 /
要求收到200回应Burp Repeater并研究实验室的行为。观察网站验证主机标头并阻止已修改其beplay体育能用吗的任何请求。
观察您还可以通过在请求行中提供绝对URL来访问主页:
获取https://your-lab-id.webeplay体育能用吗b-security-academy.net/
- 请注意,当您执行此操作时,修改主机标头不再导致您的请求被阻止。相反,您会收到超时错误。这表明绝对URL已被验证,而不是主机标头。
使用Burp Collaborator客户端确认您可以以这种方式向任意服务器提供网站的中间件请求。beplay体育能用吗例如,以下请求将触发HTTP请求到您的合作服务器:
获取https://your-lab-id.webeplay体育能用吗b-security-academy.net/主机:您的collaborator-id.burpcollaborator.net
- 将包含绝对URL的请求发送给BURP入侵者。使用主机标头扫描IP范围
192.168.0.0/24
确定管理接口的IP地址。将此请求发送给Burp Repeater。
- 在Burp Repeater中,附加
/行政
到请求行中的绝对URL并发送请求。观察您现在可以访问管理面板,包括用于删除用户的表格。
更改您的请求中的绝对URL/admin/delete
。复制CSRF令牌从显示的响应中,并将其作为查询参数添加到您的请求中。也添加一个用户名
包含参数卡洛斯
。请求行现在看起来像这样,但有所不同CSRF令牌:
获取https://your-lab-id.webeplay体育能用吗b-security-academy.net/admin/delete?csrf = qct5ompeaapnytkyett29lszlszllszllszll7cbpop&username = carlos
- 从
set-cookie
显示的响应中的标题并将其添加到您的请求中。
- 右键单击您的请求,然后选择“更改请求方法”。Burp会将其转换为
邮政
要求。
- 发送请求删除Carlos并解决实验室。
社区解决方案beplay维护得多久
迈克尔·索默(Michael Sommer)