【网络安全 | 漏洞挖掘】利用 Gopher 实现雅虎邮件 Blind SSRF 升级至 RCE远程命令执行

秋说

已于 2024-10-31 09:13:04 修改

阅读量3.8k

点赞数 34

CC 4.0 BY-SA版权

分类专栏：网络安全新手快速入门(附漏洞挖掘案例) 文章标签： web安全漏洞挖掘

于 2024-01-19 09:46:41 首次发布

原创文章，禁止转载，否则保留追究法律责任的权利。

本文链接：https://blog.youkuaiyun.com/2301_77485708/article/details/135689780

297 篇文章 ¥49.90 ¥99.00

订阅专栏

ssrf常与URL挂钩，通过 gopher 协议可扩大漏洞危害，实现远程RCE等。

当仅关注单一Web程序时，一种常用的方法是使用工具如GAU、Ffuf等获取信息或渗透测试。

而 mail.yahoo.com 适用于第二种情况：开启Burp并不断访问功能点，最后分析请求包。

应厂商要求，本文不配图。

对 mail.yahoo.com 的请求包进行分析，存在一请求如下：

GET /xxx/logoGrabber?url=http://example.com
Host: mail.yahoo.com
...

其响应内容如下：

{"responseTime":"99999ms","grabbedUrl":"http://example.com","urlInfo":{"pageTitle":"Example Title","pageLogo":"pagelogourl"}}

可知该网站存在 SSRF 的可能，故开始验证。

构造请求包如下：

GET /xxx/logoGrabber?url=http://127.0.0.1/ice/ice.txt
Host: mail.yahoo.com
...

发现其能够出网进行交互，而不能访问雅虎内部的某一IP及本机127.0.0.1，可能 IP 被列入黑名单。

推测 SSRF攻击内部 IP 的概率仍然存在，故枚举子域名并进行类似的请求喷射，得到结果如下：

了解本专栏