记一次SSRF的实战利用

这次的目标是个购物站点，希望发现更多的漏洞，最好是能拿到shell。一些常见的漏洞都存在，比如任意修改他人密码、修改商品金额等逻辑漏洞都是存在的。但这里就不提这些逻辑漏洞了，这里说一说ssrf。 注册会员后，前台很多上传点，但是均无法上传shell。 通过nmap扫描端口发现对外开放了3306端口，也就是mysql数据库端口。 然后在一处下载文件的地方，看到了个可疑的url。 通过dnslog测试，发现是个ssrf漏洞。 尝试访问百度，得到出是完全回显的ssrf漏洞。 尝试这个ssrf是否支持其他协议，发现支持file协议，完全回显，又可以读文件，真舒服。 那么现在只需要让网站报错 爆出绝对路径，或者尝试去读取一些配置文件看看能否找到网站的绝对路径，最终读取到网站数据库的配置文件，那么就可以连接上数据库就可以拿到管理员账号密码了。 读取到 /etc/httpd/conf/httpd.conf 这个文件，发现网站路径为 /var/www/html 。 于是准备尝试去读取index.php发现居然没有内容，最后各种测试，各种组合，都没任何关于网站的回显，自闭了。 没办法，那就只有想办法让网站报错，看看路径对不对。 终于找到了个点让网站报错，发现之前的路径不对。 最终经过翻代码，找到了数据库配置文件，成功的找到了数据库账号密码。 成功连上了数据库。 最终成功进了后台。 后台还有个这个功能…… 嗯…… 非常好 over…… 作者：算命縖子，文章来源于http://www.nmd5.com/ 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！ 如侵权请私聊我们删文 END