回归最本质的信息安全

如何用SSRF探测内部网络?

2016年9月2日发布

3,644
0
0

导语:这是一个比较私人的网站测试,所以作者把所有敏感部分都做了掩盖,也许我们可以借鉴下原作者的思路。

这是一个比较私人的网站测试,所以作者把所有敏感部分都做了掩盖,也许我们可以借鉴下原作者的思路。

在翻遍了几个站点之后,我在一个站点中发现,js.example.com站点会从help.example.com中加载一些外部的json文件。

http请求大概是如下:

http://js.example.com/redacted/proxy?redacted=subdomain1&r=/jsonpfile.jsonp?token=undefined

然后,把参数”r”换成其他的,比如:http://google.com 就会出现以下这个错误页面

从返回的错误页面可以知道,这个页面加载了:“http://subdomain1.——private.comhttp://google.com”,并且导致了错误页面。这个时候,我开玩笑的把参数“c”的值“subdomain1”变成“www”就有了下图。事实上我后来发现,我们把这个地方改成private.com的任意不存在的子域名都是可以的。

现在,我们把这个值改成更有趣的东西,比如说:用file://替换http://

我们在回过头来看第一个报错,网站会试图从—–private.com子域加载文本。我就开始在这里做文章。

我猜想这里如果填写其他的内网站点的话,也许会有些收获。这里,我下了些子域名列表,并且把这些用burpsuit爆破这个子域名,如下:

然后我们可以有权进入到一个数据库存储的子域名:

http://js.example.com/redacted/proxy?redacted=www&r=http://subdomain2.----private.com/

​本文翻译于seanmelia,如若转载,请注明来源于嘶吼: http://www.4hou.com/technology/2323.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

Hans

Hans

嘶吼编辑

发私信

发表评论