※ 引述《hpyhacking (骇人听闻)》之铭言： : 大家好~ : 最近在玩Burp学院里的一些题目~ : 其中有一题的解payload看不太懂 : 想请教大家~ : 题目网址: : https://portswigger.net/web-security/ssrf/lab-ssrf-with-whitelist-filter : 里头有个有SSRF漏洞的地方， : 他会过滤参数stockApi值网址不为stock.weliketoshop.net的 : 他的payload如下: : http://localhost:80%[email protected]/admin/delete?username=carlos : 其中 我的做法会是： 已经知道需要打 API 到 http://stock.weliketoshop.net:8080 题目又是 SSRF 相关的 看起来就是之前橘子那篇文章提到的一个 URI 各自解释的问题 而 URI 部分又分为 SCHEMA :// USERNAME : PASSWORD @ HOSTNAME : PORT / PATH ? QUERY # NOSE 既然已经使用了 SCHEMA、HOSTNAME、PORT 的部分 看来可以控制的部分就是 USERNAME 跟 PASSWORD 尝试了一下用 localhost:[email protected]:8080 是可行的 所以开始针对可用字元开始尝试 快速用 Python 跑了一下 单纯 X@stock.weliketoshop.net X 从 0x00 ~ 0xFF 跑了一次 除了 a-zA-Z0-9 之外 可行的符号包含 !"$%&'()*+,-.[\]^_`{|}~ 接下来替换成 localhostX@stock.weliketoshop.net:8080 会发现除了正常的 a-zA-Z0-9 之外 替换 #/? 都会出现 Not Found 的错误资讯 听起来跟一开始的 URI 会用到的 PATH QUERY 跟 NOSE 有关了 因为他说要进入 http://localhost/admin 做存取 所以就试试看 http://localhost/admin#@stock.weliketoshop.net:8080 http://localhost%2fadmin%[email protected]:8080 然後得到一个长得很像原本网页的 HTML 内容 (?) 里面有提到 <a href="/login">Account login</a><p> 跟 <a href="/admin">Admin panel</a><p> 感觉已经进入到 admin panel 了 (?) 所以试了一下 localhost/admin/delete?username=carlos 的方式替换 / => %2f ? => %3f 结果还是刚刚的那个 HTML 页面 (?) ~只能继续猜测 他的 PATH 可能是原本的逻辑~ [EDIT] 只能继续猜测 他的 PATH 可能是原本正常的逻辑做判断 所以改成 http://localhost#@stock.weliketoshop.net:8080/admin/delete?username=carlos 也就是 http://localhost%[email protected]:8080/admin/delete?username=carlos ---- 给 END 的人 不懂为什麽解答说需要 double URL encode --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 106.1.229.246 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1591802307.A.F57.html ※ 编辑: CMJ0121 (106.1.229.246 台湾), 06/10/2020 23:28:26