记一次ssrf的利用
这次的目标是个购物站点,希望发现更多的漏洞,最好是能拿到shell。
一些常见的漏洞都存在,比如任意修改他人密码、修改商品金额等逻辑漏洞都是存在的。但这里就不提这些逻辑漏洞了,这里说一说ssrf。
注册会员后,前台很多上传点,但是均无法上传shell。
通过nmap扫描端口发现对外开放了3306端口,也就是mysql数据库端口。
然后在一处下载文件的地方,看到了个可疑的url。
通过dnslog测试,发现是个ssrf漏洞。
尝试访问百度,得到出是完全回显的ssrf漏洞。
尝试这个ssrf是否支持其他协议,发现支持file协议,完全回显,又可以读文件,真舒服。
那么现在只需要让网站报错 爆出绝对路径,或者尝试去读取一些配置文件看看能否找到网站的绝对路径,最终读取到网站数据库的配置文件,那么就可以连接上数据库就可以拿到管理员账号密码了。
读取到 /etc/httpd/conf/httpd.conf 这个文件,发现网站路径为 /var/www/html 。
于是准备尝试去读取index.php发现居然没有内容,最后各种测试,各种组合,都没任何关于网站的回显,自闭了。
没办法,那就只有想办法让网站报错,看看路径对不对。
终于找到了个点让网站报错,发现之前的路径不对。
最终经过翻代码,找到了数据库配置文件,成功的找到了数据库账号密码。
成功连上了数据库。
最终成功进了后台。
后台还有个这个功能…… 嗯…… 非常好 over……