SSRF

一、什么是SSRF?

SSRF(service side request forgery)服务器请求伪造,是一种由攻击者形成

服务端发起的安全漏洞,本质上是属于信息泄露漏洞

二、SSRF的攻击方式

攻击者借助主机A来发起SSRF攻击,通过主机A像主机B发起请求,从而获取主机B的一些信息。

image-20240123231839125

三、SSRF支持哪些协议?

Dict:// file:// sftp:// ldap:// gopher:// ftp:// http:// 等.

四、SSRF如何绕过?

  • ip限制绕过(十进制ip,八进制)
  • 协议限制绕过

五、SSRF如何防御?

  • 统一错误信息

  • 限制请求的端口

  • 过滤返回的信息

  • 黑名单内网ip

  • 禁用其他协议,允许http,https

靶场练习

Dnslog网站获取一段地址贴上去

image-20240123235600658

image-20240123235609777

image-20240123235659456

查到有访问纪录,初步猜测存在SSRF漏洞

bp抓包爆破端口

image-20240124111754150

image-20240124111842321

扫到这几个端口,奇怪题目不是说有惊喜吗

image-20240124111933785

flag{ssrf_good_hacking}

验证码绕过

验证码绕过漏洞的挖掘方式

  • 前端校验验证码
  • 验证码重复利用, 后端不更新验证码
  • 验证码可识别
  • 空验证码绕过
  • 错误超过一定次数之后才出现验证码

靶场练习

进入后天

image-20240124175458942

bp抓包,放到repeater模块,重复放包和抓包

image-20240124175530019

发现验证码可以重复利用,去放到intruder模块爆破密码

image-20240124175732790

爆出密码

在对CMS源码进行审计时,发现file_put_contents()这一危险函数,并且参数都可控

image-20240124180818816

构造数据包

image-20240124181423430

访问

1
http://p4hwq5odv8.lab.aqlab.cn/1.php

image-20240124181430234

连接

image-20240124191442237

越权漏洞

一、什么是越权

简单来说就是,以普通用户的身份,完成管理员能做的事情

  • 你通过漏洞获取到了管理员的权限
  • 你可以获得文章作者的权限 (也是一种越权)

二、越权的分类

  • 垂直越权:从普通用户变成管理员
  • 水平越权:从普通用户变成其他普通用户
  • 交叉越权:既有垂直,又有水平、

三、服务器是如何鉴权的?

  • 发起请求,请求包里面会包好身份权限相关的内容
    • cookie-session 身份相关联的信息会保存在cookie => 找到相关的session => 通过session中的信息进行权限校验
  • 服务器根据数包校验完权限,确认数据包具有访问这个功能接口的权限时

靶场练习

进去是一个网上报修系统,可以进行注册

注册一个新用户

image-20240124192850224

在cookie中发现shenfen=2

image-20240124193254120

尝试修改shenfen=1,身份变成管理人员

image-20240124193327282

进入后台管理系统,提示非管理员

image-20240124193403577

将admin=2修改为admin=1

image-20240124193437224

成功登入后台

image-20240124193525099

用户页找到flag

image-20240124193544387

支付漏洞

一、什么是支付漏洞?

支付漏洞属于逻辑漏洞的一种,是和支付的业务有关,支付业务中出现的逻辑漏洞全部属于支付漏洞。

二、常见的支付漏洞

  • 修改支付的价格
    • 支付三步曲——订购、订单、付款
    • 三个步骤当中的随便一个步骤进行修改价格测试,如果前面两步有验证机制,那么你可在最后一步付款时进行抓包尝试修改金额,如果没有在最后一步做好检验,那么问题就会存在,其修改的金额值你可以尝试小数目或者尝试负数。
  • 修改支付状态
    • 订单完成——未完成(傻傻分不清)
  • 修改订单数量
    • 一支笔1块,买0支,或者买-1支(不久等于免费了么?
  • 修改附属值
    • 修改优惠劵信息
  • 越权支付
  • 无限制试用
    • 比如试用的参数为2,正常购买的参数为1
    • 那么我们购买参数2(试用),会发生什么呢?

靶场练习

靶场是一个购物商城,注册账号,进行下单

用bp抓包,讲所购买物品数量改为负数

image-20240124210140792

交易被拦

image-20240124210251921

将商品数量设置为0时

image-20240124210444576

无法提交订单。

利用加入购物车功能,将数量设置为-1

image-20240124210837738

成功添加

image-20240124211756167

结算时被拦截,推测可能是看商品数量来进行拦截的

image-20240124210916667

凑出零元单

image-20240124211551161

image-20240124211603091

image-20240124211656970

flag{abc_zfld}