一个优秀的白帽子靠挖漏洞赚了137万年终奖i春秋

奖金总额高达20万美元约合人民币137万,这也是微软史上送出的最高一笔漏洞挖掘奖励。

什么是SSRF

SSRF(Server-SideRequestForgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。

通俗的说,比如这样一个url:,如果我们将换为与该服务器相连的内网服务器地址会产生什么效果呢?比如127.0.0.1、10.0.0.1、192.168.1.1等等,如果存在该内网地址就会返回1xx2xx之类的状态码,不存在就会返回其他的状态码,所以如果应用程序对用户提供的URL和远端服务器返回的信息没有进行合适的验证和过滤,就可能存在这种服务端请求伪造的缺陷。

说到这里,先提两个问题:

1、为什么要请求127.0.0.1、10.0.0.1、192.168.1.1呢?有什么区别呢?

答:127.0.0.1只是代表你的本机地址,如果该网站只有一个服务器的情况下,是可以访问127.0.0.1来判断的,但要明确一点,127.0.0.1其实并不是内网地址,内网地址是有严格的地址段的,这是ipv4地址协议中预留的,分别是

10.0.0.0--10.255.255.255、

172.16.0.0--172.31.255.255、

192.168.0.0--192.168.255.255。

2、如果请求地址会返回状态码,那请求地址+端口会不会返回状态码呢

答:提出这个问题的同学应该是相当clever的,答案是肯定的,当然会返回状态码。只是探测内网地址的话属实不够看的,所以如果一个点存在SSRF,那势必要尝试一下能不能探测内网端口,比如,假设10.0.0.1这个地址存在,那我们可以尝试请求10.0.0.1:21、10.0.0.1:3306、10.0.0.1:6379等内网的常用端口,如果探测结果有收获的话,那就可以为其他工作节省很多力气了。

基础的SSRF漏洞利用

随便找了个输入点,假设这个图中的点就是漏洞点吧,因为真正的漏洞点不好放出来,也不好打码。

不过可能有人会问,那我怎么知道这个点是否是漏洞点呢,其实这个东西不好回答,因为没有成文的规定,经验成分居多吧,如果看到让用户输入url,导入外部链接的这些点,就可以去尝试一下。

言归正传,如果这是一个漏洞点,那我们怎么用呢,最简单的方法,CEYE.IO。CEYE是一个用来检测带外流量的监控平台,如DNS查询和HTTP请求。一些漏洞类型没有直接表明攻击是成功的,就如同此处的SSRF,Payload触发了却不在前端页面显示。这时候使用CEYE平台,通过使用诸如DNS和HTTP之类的带外信道,便可以得到回显信息。

当然我们也可以通过抓包,在包里修改url的信息构造不同的请求,然后观察返回的状态码来探测信息。

所以通过上述两种方法,那我就可以确定这个地方确实是有SSRF漏洞的。不过仅仅到这是不够的,这样的操作提到补天或者盒子都是不收的,除非有进一步的操作证明危害,所以接下来会演示探测端口。

SSRF的简单绕过

有其他限制的话都是一个道理,也可以在burp里截包改包达到此效果。

挖洞案例

weblogic的SSRF漏洞

提起Weblogic,相信很多人都熟悉,所以关于Weblogic的其他漏洞笔者就不献丑了,就只在这个地方聊一下Weblogic的SSRF漏洞。

WebLogic的SSRF漏洞算是一个比较知名的SSRF漏洞,具体原理可以自行谷歌。本篇主要是通过复现该漏洞来加深对SSRF漏洞的理解。Weblogic的SSRF漏洞的存在页面笔者就不说了,百度都可以找到的,页面的样子是这个样子的:

当初在学习这块的时候,以为只要存在这个页面就必有SSRF,结果当然是否定的,在借鉴了大佬的PPT之后,发现一共有如图四种回显状态:

就会来到这里,有时候由于配置不当的关系,这个地方会直接给出内网地址的网段:

有网段了,就可以一点一点的探测了,探测内网的telnet,ssh,redis,以及各个数据库,为以后的内网漫游做好信息收集。还有在Weblogic的SSRF中,有一个比较大的特点,就是虽然它是一个“GET”请求,但是我们可以通过传入%0a%0d来注入换行符,而某些服务(如redis)是通过换行符来分隔每条命令,也就说我们可以通过该SSRF攻击内网中的redis服务器。手动反弹shell,就是常规的发送redis命令,然后把弹shell脚本写入crontab中,最后用get发送命令,不过别忘了,get发送命令的时候要进行url编码,最后在服务器上进行监听就OK了。

SSRF这个漏洞虽然在各大src上都被评为低危,但是这是因为它本身的危害有限,不可否认,若是与其他漏洞,其他思路结合起来会对你的渗透过程方便很多,它的强大之处是在于探测到一些信息之后从而进一步的利用,比如获取内网的开放端口信息,主机的信息收集和服务banner信息,攻击内网和本地的应用程序及服务,还有就是利用file协议读取本地文件,就好像上面的那个文件读取漏洞。

THE END
1.一个月能拿多少钱?想不到吧!挖漏洞平均一天收入多少学会网安技术后去挖漏洞一个月能搞多少外快? 现在很多白帽子都是白天上班晚上挖洞,甚至有的人连班都不想上,纯靠挖漏洞来收入,比如说补天上面的这些人,每个月收入较高的都是他们,八成都是在家全职挖洞了。 毕竟他们只是少数,那么大多数白帽子靠挖漏洞,能有多少收入呢? https://blog.csdn.net/lvaolan/article/details/136283179
2.武汉漏洞挖掘工程师工资待遇(招聘要求)¥18-60W 100%的岗位拿 ¥28.8K 月平均工资 ¥34.5W 年薪统计 说明:武汉漏洞挖掘工程师一个月年薪多少钱?数据统计依赖于各平台发布的公开薪酬,仅供参考。 招聘要求分析:学历本科最多 本科 100% 1-3年 50% 招聘行业分布:WEB应用防火墙最多 WEB应用防火墙 50% Web安全 *** 信息安全 *** 你https://www.jobui.com/salary/wuhan-loudongwajuegongchengshi/
3.“漏洞之王”一年可以赚多少外快?不过,一个牛X的白帽子,实际收入往往会高于这个数值,因为他们有很多途径可以获得“外快”。因为他们在做安全研究的时候,会发掘出诸多的“宝藏”——漏洞,而漏洞是“值钱”的。 “漏洞之王”到底能赚多少外快? 凡是有价值的东西,都可以进行交换。而白帽子发现的漏洞显然非常有价值,所以漏洞平台往往会以各种形式鼓励白https://www.sohu.com/a/68499751_114877
4.网络安全新手必看,你挖洞究竟可以赚多少米?漏洞的价格对于企业来说是成本;对于网络犯罪组织和黑灰产来说,漏洞的价值是潜在收益;而对于白帽黑客来说,漏洞的价值介于两者之间。 那么,你挖洞究竟能赚多少钱? 目前来看,漏洞定价的两个关键因素是漏洞质量和市场竞争。 1. 漏洞质量是漏洞价格的下限。严重/高危漏洞在任何环境下都具有相当可观的赏金,而低质量的漏洞http://wanganjidi.cn/xinwenzixun/696.html
5.程序员“搞钱”的野路子,真的有好多!晒一下某位小伙伴一个大单挖漏洞兼职赚钱的收益吧!涉及到企业敏感信息,这里就不详细展示了。 由于互联网企业开启了裁员潮,加重了很多小伙伴的职业发展危机意识,兼职副业是个不错的补充。 网安接私活的渠道 晒了这么多兼职副业,想必大家都比较关心副业收入来源,其实网安接私活的渠道可以常去的有四个。 https://www.yunweipai.com/44912.html
6.实战记录某一天安服仔的漏洞挖掘过程作为一个拿着几 K 工资的安服仔,某一天上级给了一个网站需要挖挖洞。客户不愿意提供测试账号,通过其他位置拿到账号规则,然后进行爆破的时候把账号都锁了,因此还被投诉了。记录一下一天的漏洞挖掘过程,过程有点啰嗦。 干活 拿到目标,通常先扫一下端口 https://www.jianshu.com/p/8481ed3c8717