SSRF题1

漏洞复现平台

代码：


首先，可以用dict探测一下内网开放的端口
可以检测是否有fastcgi或者是redis，如果有fastcgi，那么就有RCE漏洞破解，如果是redis那么有以下3种：
首先90%不会设置redis未授权访问
那么：1.写入webshell 物理路径
2.写入任务计划 反弹shell 获得权限
3.写入公钥 直接登录服务器
用 file 查看文件
用gopher配合redis完成这三个模块

看代码，可见他过滤了dict和file，还是有点棘手的，那么我们可以试试http
代码：url=http://172.21.0.3:80
发现他又打印了一次

那么我们就可以用后面的80修改为别的端口，来实现探测端口的目的
我们可以利用抓包工具来探测：

探测10000以内的端口：

发现只开放了一个80端口：

那我们可以看看在80端口下面，还有哪些网页
先看看172.21.0.1:80
发现有页面

再看看172.21.0.2:80
也有页面

但是172.21.0.4:80就没有了，那么我们可以猜测，只有前3个有页面，后面都不显示了
我的直觉告诉我一个在172.21.0.2:80上做文章（开玩笑，嘻嘻），因为172.21.0.1:80明显是一个html页面，而172.21.0.2:80的页面有一个 Go away1 的输出，明显172.21.0.2:80有搞头。
那我们就在172.21.0.2这个IP地址上继续抓包，看看他开放了哪些端口：



非常明显地看到，6379端口开放了:

那么接下来就传webshell就可以了，在172.21.0.2的物理路径下传webshell，那么他的物理路径是啥，说实话，不知道，只能猜或者测试
一般情况下，都是放在/var/www/html下面，但不保证他会不会改，一般都是怕麻烦不会改的
接下来就可以用gopher工具了：

选择默认的路径“/var/www/html”，输入PHP Shell ，随便输个一句话木马<?php phpinfo('id');查看一下ID，能植入成功那么就代表能够入侵——入侵成功
把上面生成的那一大串代码复制到网页看看（记住改IP地址）：

我们可以对这个代码解码看看：

发现是写入一个shell.php文件，那么我们在页面中按回车运行试试
但是结果不尽人意，页面没有如何变化，或许shell.php根本没有写入，也许是我们猜错了或者没有权限（权限太低了），不管怎样，都是没有成功
我们可以自己建一个字典或者用百度的字典来扫

然后我们再改一下路径，继续：

还是不行，那么我们再编码一次，进行二次编码

注意，我们这里要改一下shell.php的内容，改为查看flag ； <?php system("cat /flag")
然后我们再查看一下flag

?url=http://172.21.0.2:80/upload/shell.php

成功！！！

SSRF题2

fastcgi方法

看代码和题1还是差不多的
但是测试他fastcgi的9000端口的时候检测不出来，但是通过看http的response返回值可以知道，就是9000端口，知道是fpm，因为fpm基本上90%都监听在9000端口上
http的返回值

同样的步骤，随便输个ID：

再进行二次编码，然后输入到页面运行看看

成功！！！

入侵网站收集资产方法

1、百度，谷歌：但是都不可靠，最低级的手法（形容词，没有贬低人的意思）
2、查看他的备案，一般注册公司的时候都有备案
3、查看他的相关证书
4、去天眼查看
5、搜索引擎：fofa等等
6、利用子域名查询：例如OneForAll

SSRF反弹

还是先探测一下端口，我探测了一下6379：

运用一下他环境自带的工具：


先写反弹：

然后在页面中执行之前生成的编码（如下图生成的一大长串编码）：
注意：这个IP需要写自己的IP别照我的IP写


一分钟后反弹成功！