【漏洞挖掘】SSRF漏洞挖掘实战，从零基础到精通，收藏这篇就够了！

本文链接：https://blog.youkuaiyun.com/logic1001/article/details/146185512

声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。

请大家关注公众号支持，不定期有宠粉福利

Part-01-背景

实战源于作者针对某src发布的系统的安全评估，目标系统为一个ocr识别系统，用于识别常见的图片，文本，语音识别等，最终统一转换为文字。在此处实战中，发现了未授权漏洞及ssrf漏洞，简单讲下相关漏洞概念。

未授权漏洞：指攻击者能够在没有经过适当授权的情况下访问系统的资源、功能或数据。这些资源可能包括文件、数据库记录、应用程序的特定功能模块，甚至是整个系统的管理权限。这种漏洞的存在通常是由于系统在设计或实现过程中，对访问控制的机制不完善或存在缺陷。

ssrf漏洞：它是一种由攻击者构造形成的安全漏洞。攻击者可以利用目标服务器作为代理，向其他服务器发起请求。通常情况下，服务器应用程序会从用户那里接收一个 URL，然后服务器去获取这个 URL 对应的资源内容。如果这个获取过程没有被合理地验证和限制，攻击者就可以通过操纵这个 URL 来让服务器访问非预期的内部网络资源或者外部恶意资源。

Part-02-实战

漏洞一：敏感信息未授权下载

在身份证识别功能处，上传伪造的身份证，如下图，识别结果是明文传输的。个人信息三要素均从后端明文返回，传输过程中未进行加密。



从下图中可以看到，请求头未使用身份凭证，如cookie、authrization等，在burp中直接重放既可以查询到敏感数据。

burp重放即可请求到数据。理论上来说，涉及的其他人上传的身份证敏感信息都可以获取到，因为查询的requestSN字段是从前端生成，可以通过查阅js进行构造这个值去请求获取数据，由于时间关系，未开展进一步测试,仅证明该系统存在未授权访问敏感信息泄露风险。

漏洞二:SSRF漏洞

在另外一处图片文字识别处，通过观察系统的发包，发现传参值包含了相关协议传输文件，用于告诉后端通过ftp的方式获取后端某服务器上已存放的文件，如下图。

上序请求包的回包，返回了文件。其中发包处244为ip。

枚举上图244对应的ip地址端最后一段，发现遍历到247时，返回了文件，至此挖掘到ssrf漏洞一枚。

除此之外，还存在使用http协议的情况，也可以通过枚举ip的最后一段值，发现ssrf漏洞。

          Part-03-总结



此次实战，利用难度不高，漏洞产生的根本原因还是开发系统的人员功能设计开发不合理。

关于漏洞一，通过常规的未授权可以挖掘到，只要在日常测试过程中，开启xia\_yue即可，详情可以查阅作者的文章“【渗透测试】未授权漏洞挖掘技巧”，专治各种未授权。关于漏洞二，与平时的ssrf稍有不同，使用的ftp及http的协议来进行枚举，挖掘并无其他技巧，如果要提升效率，还是可以配置hae的正则去匹配，解放双手。