記一次SSRF攻擊內網的實戰案例 - 網安 - 專業的網絡安全產業、社區、知識平臺

0x01 苦逼的測試任務

某一天，我照常在學校的CTF群和學長吹水，突然管事的學長在群里發了一張圖，這個月輪到我們學校對省內的某旅游相關企業進行漏洞測試。上面的老師自然而然把這個任務分配給我們CTF戰隊，要求是找到漏洞，能Getshell的點證明能Getshell即可，不要深入利用。

說是測試，其實以往基本都是用漏洞掃描器來回掃一下就完事了，不過我還是有自己的小九九的，作為隊里少數實戰經驗比較豐富的成員，這個時候就可以試著在學長面前留下好印象了。二話不說直接開干！

0x02 嚴防死守的主站

雖說是個旅游相關的企業，但是他們的門戶網站非常的簡單，先注冊個用戶試試。

非常的離譜，主頁的用戶注冊功能還壞了，手機直接收不到驗證碼，不過幸好網站提示“test1”已經存在。既然是測試賬號，想必密碼不會太復雜，于是果斷扔burp上爆破

進來是進來了，不過我突然發現，這個站好像是靜態的，在測試了諸如XSS和CSRF均無果之后，我果斷放棄了這個目標。

0x03 小毛病一堆的旁站

主站沒有洞也不要氣餒，很少聽到有人從主站打成功的。于是我果斷將目標轉移到旁站。很輕松的找到了一個管理系統。

本來想試試識別驗證碼爆破賬號密碼的，結果發現這個驗證碼壓根就是壞掉了，怎么刷都刷不出完整的驗證碼，但是發現這個單點登錄似乎是能用的，點擊它就會跳轉到sso.abcd.com.cn，或許后面能用到？

對這個門戶網站進行指紋識別，發現使用了ThinkCMF，測試歷史漏洞無果，不過這里開啟了Debug模式泄露了絕對路徑，這也是個重要信息，后續寫shell應該能用上。

這個目標大量使用了ThinkCMF，不過我從一處子域名找到了不是使用ThinkCMF的系統，掃不到指紋，看上去可能是他們自研或者外包的。

對于這種自研系統，當然是分析JS文件+測試邏輯漏洞最有效了。不過很可惜，修改返回包、禁用活動腳本等常用方法均無法進入后臺。從JS文件中也并沒有找到任何有用的鏈接。那就沒辦法了，上目錄掃描，自研系統后臺的接口大都有鑒權問題，如果能找到這些接口，就還有機會。

太幸運了，確實找到了后臺的一些功能點。不過也很可惜，把SQL注入等常見漏洞測試了一遍之后，并沒有發現任何能深入挖掘的東西。好吧，未鑒權就未鑒權了，至少也算一個漏洞不是嗎。

0x04 峰回路轉之瞬間打穿

第一個晚上的戰果并不是那么好，只找到了一些配置問題和一些不算太嚴重的后臺接口未鑒權，只是這樣肯定不能讓學長眼前一亮的，反思了一下之前的問題，我感覺自己的信息工作還是沒做好，上文提到的目標的自研站點，我用的字典主要是用于FUZZ參數和目錄的，試試掛上別的字典會不會有所發現。

發現了一個用于連接數據庫的文件，那你最好不要被我找到源碼泄露或者任意文件下載之類的漏洞。看到這玩意之后，我工作的重心馬上轉向查找源碼泄露、任意文件下載和讀取漏洞。很快我就有了令人驚喜的發現

這不.git泄露嗎，這下好辦了。

一口氣直接泄露了127MB的源碼，后臺功能一覽無余，這下算是挖到大的了。不過這并不是我們的目標，我下載到源碼的第一件事就是馬上去翻它的dbconfig.php，果不其然，數據庫源碼直接到手。

但其實翻到源碼的一瞬間我是懊悔的，因為這是一個非常常見的弱口令規則，企業名拼音縮寫@年份。開始我試了2022、2021、2020三個年份，唯獨沒試2019，這個小插曲告訴我如果要玩弱口令爆破，那就千萬要有十足的耐心。

總之，拿到了這個密碼，登陸進phpmyadmin，大概率就能得到一個getshell點了。

不錯，成功拿下phpmyadmin，并且最舒服的是，前文的debug模式泄露的絕對路徑在這里馬上就用上了，直接試試全局日志寫shell。

悲傷，居然沒權限寫進去，不過這種情況似乎是目錄沒權限寫文件，結合上面泄露的源碼中的目錄結構，我嘗試了好幾個目錄，最終還是成功寫入了，這個getshell點直接拿下

0x05 后臺XSS以及SSRF

拿下phpmyadmin的好處可不只有getshell，數據庫的信息一覽無余意味著大量員工的密碼盡在掌握，我們直接挑一個弱口令來下手吧。

連后臺系統都敢直接用123456，那么我猜測這位員工在SSO系統的密碼八九不離十也是123456，事實證明我想對了，并且得益于他們的所有系統都和這個SSO系統掛鉤，我可以借助這位員工的賬號直接輕松訪問所有的系統。

進了后臺，工作才剛剛開始，我首先就發現了一個接口，它會把傳入的內容直接輸出在標簽中，這個XSS漏洞非常好拿。<img class="rich_pages wxw-img" data-ratio="0.1048284625158831" data-type="png" data-w="1574" src="https://mmbiz.qpic.cn/mmbiz_png/Uq8Qfeuvouibia9pNLRN0D1ELMTn5gRU1RFV18OEAvSycsdXVkAxy6U34unZHBjuB0qnjibXX6SMctTWj92sxX7dQ/640?wx_fmt=png" style="outline: 0px;box-sizing: border-box !important;overflow-wrap: break-word !important;width: 556px !important;visibility: visible !important;"><img class="rich_pages wxw-img" data-ratio="0.14502164502164502" data-type="png" data-w="924" src="https://mmbiz.qpic.cn/mmbiz_png/Uq8Qfeuvouibia9pNLRN0D1ELMTn5gRU1Rb3VDAy7or9EAH5nCgmfqQ6xgcicvVlVI6g4d3ZEROdmvZUS8iaKPiaguQ/640?wx_fmt=png" style="outline: 0px;box-sizing: border-box !important;overflow-wrap: break-word !important;width: 556px !important;visibility: visible !important;">并且后續測試發現，這個接口是后臺少數未鑒權的接口，即使沒登陸后臺也可以使用這個接口，不僅可以用它釣魚管理員，還可以釣魚普通用戶，危害性一下就上升了。 很快我又發現了一個令人驚喜的點，在測試后臺功能的時候我發現一個導出數據的功能，這個功能點會向內網的一臺機器請求數據，并且將這些數據導出。開發者可能認為這樣的功能非常便捷，殊不知這也便利了攻擊者。<img class="rich_pages wxw-img" data-ratio="0.3816105769230769" data-type="png" data-w="1664" src="https://mmbiz.qpic.cn/mmbiz_png/Uq8Qfeuvouibia9pNLRN0D1ELMTn5gRU1RHMdJMGn30DElEN3ytHVRlYrPCFhFm9T5A5wGrYicFibuyOmnicLBh5MLQ/640?wx_fmt=png" style="outline: 0px;box-sizing: border-box !important;overflow-wrap: break-word !important;width: 556px !important;visibility: visible !important;"> 看到這樣的功能，無非就SSRF、URL重定向之類的漏洞，并且考慮到它請求內網數據并且返回數據的特性，我猜測這個SSRF必然是能回顯的。<img class="rich_pages wxw-img" data-ratio="0.506993006993007" data-type="png" data-w="1430" src="https://mmbiz.qpic.cn/mmbiz_png/Uq8Qfeuvouibia9pNLRN0D1ELMTn5gRU1RY7LNXyunypaZMycTXcibbEMvT2ic2h89rQmsTYq30XicfvPDlCk4AkOmw/640?wx_fmt=png" style="outline: 0px;box-sizing: border-box !important;overflow-wrap: break-word !important;width: 556px !important;visibility: visible !important;"> 事實證明，它確實能<img class="rich_pages wxw-img" data-ratio="0.2246031746031746" data-type="png" data-w="1260" src="https://mmbiz.qpic.cn/mmbiz_png/Uq8Qfeuvouibia9pNLRN0D1ELMTn5gRU1Ry4ChP6NMYfuIjiaczdzCyxCJOby3TJOdp6EWIxQEWwE9zBHk17yQQRw/640?wx_fmt=png" style="outline: 0px;box-sizing: border-box !important;overflow-wrap: break-word !important;width: 556px !important;visibility: visible !important;"> 既然是有redis服務，加上SSRF，自然而然就想到利用gopher協議進行寫shell，這個getshell點也直接拿下。好嘛，有這個可回顯SSRF點，總算能做些有趣的事了，老師說不能getshell打內網，但是沒說不能SSRF打內網啊。 0x06 SSRF攻擊內網 打內網要從哪開始呢？當然是搜集網段，得益于file協議，我可以讀/etc/hosts文件從而判斷當前機器所處的網段。<img class="rich_pages wxw-img" data-ratio="0.3830903790087464" data-type="png" data-w="1715" src="https://mmbiz.qpic.cn/mmbiz_png/Uq8Qfeuvouibia9pNLRN0D1ELMTn5gRU1REYdMXxjBwzQnasZ2oY0YCiakx2Tg0vDCalT2KSAvW6V4c09wMmmd6Jw/640?wx_fmt=png" style="outline: 0px;box-sizing: border-box !important;overflow-wrap: break-word !important;width: 556px !important;visibility: visible !important;"> 這里發現了92這個段，加上一開始這臺機器是從93段請求的資源，目前我們以及找到了兩個網段。我突然又想到，剛剛的數據庫記錄用戶信息的時候似乎順便記錄了IP，本來想著能不能通過分析用戶登陸IP從而找到不同網段，不過這一找又有驚喜發現<img class="rich_pages wxw-img" data-ratio="0.6252268602540835" data-type="png" data-w="2204" src="https://mmbiz.qpic.cn/mmbiz_png/Uq8Qfeuvouibia9pNLRN0D1ELMTn5gRU1RmylCGaibYth5Zzn0l7wvwAkSK94FShOCiaAMdAdBiaF5jic4jZBdXS88fQ/640?wx_fmt=png" style="outline: 0px;box-sizing: border-box !important;overflow-wrap: break-word !important;width: 556px !important;visibility: visible !important;"> 不知道是哪個系統要用到這些數據，暴露了大量內網資產，這就大大方便了我們攻擊內網的效率了，但是為了防止遺漏，我還是用Burp嘗試爆破了這些網段。<img class="rich_pages wxw-img" data-ratio="1.0706766917293233" data-type="png" data-w="665" src="https://mmbiz.qpic.cn/mmbiz_png/Uq8Qfeuvouibia9pNLRN0D1ELMTn5gRU1R00ibewlvwANKg77dA5DIj44WJJMvwpa9LnAoKv4Tt2UvS4vSVoRpfaw/640?wx_fmt=png" style="outline: 0px;box-sizing: border-box !important;overflow-wrap: break-word !important;width: 556px !important;visibility: visible !important;"> 隨便看幾個，發現了大量的資產和漏洞，redis、mysql未授權，phpinfo等文件隨處可見<img class="rich_pages wxw-img" data-ratio="0.3404255319148936" data-type="png" data-w="1645" src="https://mmbiz.qpic.cn/mmbiz_png/Uq8Qfeuvouibia9pNLRN0D1ELMTn5gRU1R0PdBXx8pByQ9B2bAH8gdAXibS8ynNwPdFeUbN050cj8QU3UuHsSNsLA/640?wx_fmt=png" style="outline: 0px;box-sizing: border-box !important;overflow-wrap: break-word !important;width: 556px !important;visibility: visible !important;"> 當然，要說最有意思的發現還是這個，目標出于景點運營的需要，大量布置Zabbix進行各種監控，既然有Zabbix就不得不測Zabbix未授權訪問了。<img class="rich_pages wxw-img" data-ratio="0.2296340023612751" data-type="png" data-w="1694" src="https://mmbiz.qpic.cn/mmbiz_png/Uq8Qfeuvouibia9pNLRN0D1ELMTn5gRU1RWcKK8Iiaa0zWP1nC04oFwGITnD0S6urIOia5XGOGE3Uu0hJUUL5NibApA/640?wx_fmt=png" style="outline: 0px;box-sizing: border-box !important;overflow-wrap: break-word !important;width: 556px !important;visibility: visible !important;"> 然而老師很快就知道我在用SSRF打內網，馬上叫停了我后續測試的行為。這個好玩的SSRF點的利用就到此為止了。 0x07 結語 這次測試總的來說還是很有趣的，各種信息相互關聯、相互利用，最終衍生出了非常多的攻擊點，無疑再次印證了“滲透測試的核心是信息搜集”這句話<br style="outline: 0px;max-width: 100%;color: rgb(34, 34, 34);font-family: -apple-system, BlinkMacSystemFont, "Helvetica Neue", "PingFang SC", "Hiragino Sans GB", "Microsoft YaHei UI", "Microsoft YaHei", Arial, sans-serif;letter-spacing: 0.544px;background-color: rgb(255, 255, 255);box-sizing: border-box !important;overflow-wrap: break-word !important;"><section style="white-space: normal;outline: 0px;max-width: 100%;font-family: -apple-system, BlinkMacSystemFont, "Helvetica Neue", "PingFang SC", "Hiragino Sans GB", "Microsoft YaHei UI", "Microsoft YaHei", Arial, sans-serif;letter-spacing: 0.544px;background-color: rgb(255, 255, 255);box-sizing: border-box !important;overflow-wrap: break-word !important;"><blockquote style="color: rgba(0, 0, 0, 0.5);outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;">文章來源：HACK學習呀</blockquote></section><p style="white-space: normal;caret-color: rgba(0, 0, 0, 0);outline: 0px;max-width: 100%;font-family: -apple-system, BlinkMacSystemFont, "Helvetica Neue", "PingFang SC", "Hiragino Sans GB", "Microsoft YaHei UI", "Microsoft YaHei", Arial, sans-serif;letter-spacing: 0.544px;background-color: rgb(255, 255, 255);text-align: right;box-sizing: border-box !important;overflow-wrap: break-word !important;"> <section style="white-space: normal;outline: 0px;max-width: 100%;box-sizing: border-box;color: rgb(34, 34, 34);font-family: -apple-system, BlinkMacSystemFont, "Helvetica Neue", "PingFang SC", "Hiragino Sans GB", "Microsoft YaHei UI", "Microsoft YaHei", Arial, sans-serif;background-color: rgb(255, 255, 255);letter-spacing: 0.544px;font-size: 16px;overflow-wrap: break-word !important;"><section powered-by="xiumi.us" style="outline: 0px;max-width: 100%;box-sizing: border-box;overflow-wrap: break-word !important;"><section style="margin-top: 10px;margin-bottom: 10px;outline: 0px;max-width: 100%;box-sizing: border-box;text-align: left;justify-content: flex-start;display: flex;flex-flow: row nowrap;overflow-wrap: break-word !important;"><section style="outline: 0px;max-width: 100%;box-sizing: border-box;display: inline-block;width: 677px;vertical-align: top;background-color: rgba(244, 244, 244, 0.49);align-self: flex-start;flex: 0 0 auto;overflow-wrap: break-word !important;"><section powered-by="xiumi.us" style="outline: 0px;max-width: 100%;box-sizing: border-box;text-align: center;justify-content: center;overflow-wrap: break-word !important;"><section style="padding-right: 20px;padding-left: 20px;outline: 0px;max-width: 100%;box-sizing: border-box;text-align: justify;overflow-wrap: break-word !important;">黑白之道發布、轉載的文章中所涉及的技術、思路和工具僅供以安全為目的的學習交流使用，任何人不得將其用于非法用途及盈利等目的，否則后果自行承擔！</section></section></section></section></section></section><p style="white-space: normal;outline: 0px;max-width: 100%;box-sizing: border-box;color: rgb(34, 34, 34);font-family: -apple-system, BlinkMacSystemFont, "Helvetica Neue", "PingFang SC", "Hiragino Sans GB", "Microsoft YaHei UI", "Microsoft YaHei", Arial, sans-serif;font-size: 15px;letter-spacing: 2px;background-color: rgb(255, 255, 255);text-align: right;overflow-wrap: break-word !important;"><span style="outline: 0px;max-width: 100%;font-family: -apple-system-font, BlinkMacSystemFont, "Helvetica Neue", "PingFang SC", "Hiragino Sans GB", "Microsoft YaHei UI", "Microsoft YaHei", Arial, sans-serif;font-size: 16px;font-weight: 700;letter-spacing: 0.544px;caret-color: rgb(34, 34, 34);box-sizing: border-box !important;overflow-wrap: break-word !important;">如侵權請私聊我們刪文 <section style="white-space: normal;outline: 0px;max-width: 100%;box-sizing: border-box;color: rgb(34, 34, 34);font-family: -apple-system, BlinkMacSystemFont, "Helvetica Neue", "PingFang SC", "Hiragino Sans GB", "Microsoft YaHei UI", "Microsoft YaHei", Arial, sans-serif;background-color: rgb(255, 255, 255);letter-spacing: 0.544px;font-size: 16px;overflow-wrap: break-word !important;"><section powered-by="xiumi.us" style="margin-top: 10px;margin-bottom: 10px;outline: 0px;max-width: 100%;box-sizing: border-box;text-align: center;justify-content: center;overflow-wrap: break-word !important;"><section style="outline: 0px;max-width: 100%;box-sizing: border-box;display: inline-block;width: auto;vertical-align: top;min-width: 10%;height: auto;border-bottom: 17px solid rgb(240, 244, 255);border-bottom-right-radius: 0px;overflow-wrap: break-word !important;"><section powered-by="xiumi.us" style="margin-bottom: -8px;outline: 0px;max-width: 100%;box-sizing: border-box;overflow-wrap: break-word !important;"><section style="padding-right: 5px;padding-left: 5px;outline: 0px;max-width: 100%;box-sizing: border-box;letter-spacing: 0px;line-height: 1;font-size: 18px;color: rgb(49, 94, 163);overflow-wrap: break-word !important;">END</section></section></section></section></section><p style="margin-bottom: 0em;white-space: normal;outline: 0px;max-width: 100%;color: rgb(34, 34, 34);font-family: -apple-system, BlinkMacSystemFont, "Helvetica Neue", "PingFang SC", "Hiragino Sans GB", "Microsoft YaHei UI", "Microsoft YaHei", Arial, sans-serif;font-size: 15px;background-color: rgb(255, 255, 255);letter-spacing: 0.544px;text-align: center;box-sizing: border-box !important;overflow-wrap: break-word !important;"><img class="rich_pages wxw-img" data-galleryid="" data-ratio="0.4" data-s="300,640" src="https://mmbiz.qpic.cn/mmbiz_jpg/3xxicXNlTXL8fHInwic65QarBzLTDecgAlRicyRRNJu5ItVq0eGBmhibeaUEib2sMnAsOTOHicWtz7P2iaAeftdlNQGCg/640?wx_fmt=jpeg" data-type="jpeg" data-w="1080" style="outline: 0px;box-sizing: border-box !important;overflow-wrap: break-word !important;visibility: visible !important;width: 556px !important;"><p style="margin-bottom: 0em;white-space: normal;outline: 0px;max-width: 100%;color: rgb(34, 34, 34);font-family: -apple-system, BlinkMacSystemFont, "Helvetica Neue", "PingFang SC", "Hiragino Sans GB", "Microsoft YaHei UI", "Microsoft YaHei", Arial, sans-serif;font-size: 15px;background-color: rgb(255, 255, 255);letter-spacing: 0.544px;text-align: center;visibility: visible;box-sizing: border-box !important;overflow-wrap: break-word !important;"><span style="outline: 0px;max-width: 100%;font-family: -apple-system-font, BlinkMacSystemFont, "Helvetica Neue", "PingFang SC", "Hiragino Sans GB", "Microsoft YaHei UI", "Microsoft YaHei", Arial, sans-serif;font-size: 16px;font-weight: bold;letter-spacing: 0.544px;visibility: visible;box-sizing: border-box !important;overflow-wrap: break-word !important;">多一個點在看<img class="__bg_gif rich_pages wxw-img" data-fileid="503042576" data-ratio="1" src="https://mmbiz.qpic.cn/mmbiz_gif/zYdFdnRZ0h95ZAL5c8h6iaMiaqbgljvZ80YraNgwWAtyyZRGT8INEgx8qWKgf9wXribCDNibDvDa2R1EQB4grqAKDg/640?wx_fmt=gif" data-type="gif" data-w="123" style="outline: 0px;font-size: 16px;letter-spacing: 0.544px;box-sizing: border-box !important;overflow-wrap: break-word !important;visibility: visible !important;width: 42px !important;">多一條小魚干