安鸾靶场之SSRF漏洞实操

SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。
攻击的目标是从外网无法访问的内部系统 ( 正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内部系统 )
SSRF 成因是由于服务端提供了从其他服务器应用获取数据的功能，且没有对目标地址做过滤与限制 (没有做合法性验证)。
出现场景
能够对外发起网络请求的地方，就可能存在 SSRF 漏洞。
在线识图，在线文档翻译，分享，订阅等，这些有的都会发起网络请求。
从指定URL地址获取网页文本内容，加载指定地址的图片，下载等等。

安鸾靶场实操

1、SSRF01

漏洞URL:http://47.103.94.191:8012/bug/ssrf/ssrf.php
提示：内网存在主机 dagebiedawo

首先访问漏洞url

输入http://www.baidu.com，发现能正常访问百度

现在我们再来访问dagebiedawo

在红框中提示了答案在这，点击跳转不能访问，所以我们在漏洞处来访问

2、SSRF02

题目URL:http://47.103.94.191:8090/
和上题一样，首先我们先来访问百度http://www.baidu.com

![在这里插入图片描述](https://img-blog.csdnimg.cn/60b8e80afa564b278ce26701600ed4e9.png

能够正常访问，再来访问一下本地http://127.0.0.1,并不能成功访问

这里我们转变一下思路，可以对端口进行爆破，看看哪些端口被开放，使用burp suite抓包

爆破出7002端口，在漏洞处提交http://127.0.0.1:7002,能成功跳转，但是并未得到有用信息
接下来我们对目录进行扫描

发现网站存在robots.txt，访问一下

看到了好几个flag文件，我们再一个个访问之后，可以得到答案

http://127.0.0.1:7002/flag.txt
http://127.0.0.1:7002/status
http://127.0.0.1:7002/flag
http://127.0.0.1:7002/hack

3、SSRF03

题目URL：http://47.103.94.191:2000/

首先访问一下百度http://www.baidu.com，可以正常访问。
访问本地http://127.0.0.1，可以正常访问，但并不能得到有用信息

再来访问一下网站的robots.txt，出现404错误，网站并不存在robots.txt文件

接下来只能对端口进行扫描了

爆破出1998端口，在漏洞处访问一下http://127.0.0.1:1998

在红框中有提示，要使用此 API，请将X_SECRET_AUTH_KEY的值作为名为"auth"的GET参数传递。
接下来我们要想的是怎么能够获取到X_SECRET_AUTH_KEY的值。

在我们的vps上使用nc监听一个端口，然后让靶场服务器来访问，可以监听到请求头

最后我们将这个值作为auth的参数传递，http://127.0.0.1:1998?auth=f5ddb063e92808b472c31d82c887d791，成功获取到flag