记一次SSRF的实战利用

wangqiang

​ 记一次SSRF的实战利用
HACK之道 2022-11-24 09:10 发表于重庆
转载自：记一次SSRF的实战利用

这次的目标是个购物站点，希望发现更多的漏洞，最好是能拿到shell。

一些常见的漏洞都存在，比如任意修改他人密码、修改商品金额等逻辑漏洞都是存在的。但这里就不提这些逻辑漏洞了，这里说一说ssrf。

---

注册会员后，前台很多上传点，但是均无法上传shell。
通过nmap扫描端口发现对外开放了3306端口，也就是mysql数据库端口。

​

然后在一处下载文件的地方，看到了个可疑的url。

​

​

通过dnslog测试，发现是个ssrf漏洞。
尝试访问百度，得到出是完全回显的ssrf漏洞。

​

尝试这个ssrf是否支持其他协议，发现支持file协议，完全回显，又可以读文件，真舒服。

​

那么现在只需要让网站报错 爆出绝对路径，或者尝试去读取一些配置文件看看能否找到网站的绝对路径，最终读取到网站数据库的配置文件，
那么就可以连接上数据库就可以拿到管理员账号密码了。

​

读取到 /etc/httpd/conf/httpd.conf 这个文件，发现网站路径为 /var/www/html 。
于是准备尝试去读取index.php发现居然没有内容，最后各种测试，各种组合，都没任何关于网站的回显，自闭了。
没办法，那就只有想办法让网站报错，看看路径对不对。
终于找到了个点让网站报错，发现之前的路径不对。

​

最终经过翻代码，找到了数据库配置文件，成功的找到了数据库账号密码。

​

成功连上了数据库。

​

最终成功进了后台。

​

后台还有个这个功能…… 嗯…… 非常好 over……

​

作者：算命縖子，文章来源于http://www.nmd5.com/
​