当前位置：首页 > article >正文

利用SSRF击穿内网！kali靶机实验

article 2025/10/1 10:32:17

1. 靶场拓扑图

2. 判断SSRF的存在

3. SSRF获取本地信息

3.1. SSRF常用协议

3.2. 使用file协议

4. 172.150.23.1/24探测端口

5. 172.150.23.22 - 代码注入

6. 172.150.23.23 SQL注入

7. 172.150.23.24 命令执行

7.1. 实验步骤

8. 172.150.23.27:6379 Redis未授权

8.1. Redis unauth 应用详情

8.1.1. 清空 key（实战中最好不要使用该命令）

8.1.2. 设置要操作的路径为定时任务目录

8.1.3. 在定时任务目录下创建 root 的定时任务文件

8.1.4. 写入 Bash 反弹 shell 的 payload

8.1.5. 保存上述操作

首先我们利用到的国光老师制作的与ssrf相关的靶场资源链接：Github - sqlsec/ssrf-vuls

以下是部分靶场的实验，均为自己手动试过

利用docker容器搭建kali靶场，启动靶场会有端口映射，对IP地址和端口进行访问，实现访问靶场，

这种状态类似搭建了一个服务器，我们输入IP加端口进行访问，就像访问公网一样，我们可以利用该ssrf漏洞对内网其他地址进行访问攻击，如下图

1. 靶场拓扑图

192.168.119.128：目前虚拟机IP

借用下图对该靶场进行更好的理解，其他地址就是其他服务器。具有ssrf漏洞的服务器就像一个跳板，我们借用该跳板对其他服务器进行访问敏感数据，在该靶场中，我们任务就是找到相应flag

先理清一下攻击流程，172.72.23.21 这个服务器的 Web 80 端口存在 SSRF 漏洞，并且 80 端口映射到了公网的 8080，此时攻击者通过这个 8080 端口可以借助 SSRF 漏洞发起对 172 目标内网的探测和攻击。

2. 判断SSRF的存在

有对外进行网络请求的地方，就可能存在ssrf，当开启靶场后，我们事先访问一番IP+映射端口

192.168.119.128:9080

可以进行网站请求，进行测试，对公网进行访问，比方说百度

通过图中显现，测试成功，接下来对内网IP 127.0.0.1 进行测试，看看是否可以访问

测试依然成功，通过两次测试，基本可以判定是ssrf漏洞，它并没有对用户的输入进行过滤或者验证，导致可以对任意外网或者内网进行访问。

也就是我们接下来可以对该内网进行访问

3. SSRF获取本地信息

正常业务情况是请求网站然后响应内容，但是没做好过滤可以使用其他协议，配合 file 协议来读取本地的文件信息。

当我们确认漏洞是ssrf后，我们还需要知道该IP地址是什么，然后对该网段进行判断，进行攻击

3.1. SSRF常用协议

http://：探测内网主机存活、端口开放情况

gopher://：发送GET或POST请求；攻击内网应用

dict://：泄露安装软件版本信息，查看端口，操作内网远程访问等

file://：读取本地文件

接下来我们使用相关协议对该服务器进行信息收集

由于我们什么信息都不知道，首先采用file协议来获取本地信息

3.2. 使用file协议

file:///etc/hosts

为什么使用hosts文件呢，因为hosts文件中会保存自己的IP地址。

权限高的情况下还可以尝试读取 /proc/net/arp 或者 /etc/network/interfaces 来判断当前机器的网络情况

172.150.23.21 得到了该地址，就可以对该网段进行搜集了，探测内网端口

4. 172.150.23.1/24探测端口

常用端口80，8080，6379，3306，网段:21到40，扫一下，因为我们目前是上帝视角，就爆破这几个熟悉流程即可

对于探测端口，我们常使用dict协议

dict://：泄露安装软件版本信息，查看端口，操作内网远程访问等

使用bp进行爆破，将d段与端口添加

- sniper（狙击手攻击）：这种攻击使用单一的有效载荷集和一个或多个有效载荷位置。它将每个有效载荷依次放入第一个位置、第二个位置，依此类推。

- battering ram（攻城槌攻击）：这种攻击使用单一的有效载荷集。它遍历这些有效载荷，并将相同的有效载荷同时放入所有定义的有效载荷位置。

- pitchfork（干草叉攻击）：这种攻击使用多个有效载荷集（每个定义的位置对应不同的有效载荷集，最多20个）。攻击同时遍历所有有效载荷集，先使用每个集中的第一个有效载荷，然后是每个集中的第二个有效载荷，依此类推。

- cluster bomb（集束炸弹攻击）：这种攻击使用多个有效载荷集（每个定义的位置对应不同的有效载荷集，最多20个）。攻击依次遍历每个有效载荷集，以测试有效载荷组合的所有排列。

使用cluster bomb模块

通过爆破发现21：80，22：80，23：3306，23：80，24：80，呃直接看图吧

比对前面开头的拓扑图，一一匹配，信息收集完毕，接下来使用SSRF漏洞来进行内网攻击

5. 172.150.23.22 - 代码注入

既然我们探测到了这些端口，接下来对其进行实验

访问172.150.23.22

返回一个界面，思考一下，就单一个界面，我们接下来应该是对其进行目录扫描，看看是否有隐藏目录，然后对隐藏目录进行访问

172.150.23.22/222.php

对网址后面添加php文件，在bp中对其进行爆破访问《类型php文件》

通过爆破，发现两个文件具有回显，并且是典型的敏感文件和一句话木马

phpinfo.php-------》获得了PHP版本信息，并且还有系统信息

shell.php 一句话木马，接下来可以利用一句话木马进行命令执行

使用get传参进行代码注入172.150.23.22/shell.php?cmd=ls出现了以下信息

172.150.23.22/shell.php?cmd=cat%20/etc/hosts cat后面的空格要改为%20，才能进行访问hosts

但是我们需要找到flag，如果从 BP 里面抓包请求的话，空格得写成 %2520，即两次 URL 编码才可以顺利执行命令：172.150.23.22/shell.php?cmd=cat%20/flag

6. 172.150.23.23 SQL注入

访问该站点，是一个SQL注入类型的靶场

?id=1 正常查询加上’出现错误，为报错注入，使用报错注入语句直接秒了

http://172.150.23.23/?id=1%20and%201=2%20union%20select%20version(),user(),3,database()--+

报错语句带出相关信息

172.150.23.23?id=1'%20and%20(select%20extractvalue("anything",concat('~',(select%20user()))))--+

7. 172.150.23.24 命令执行

172.72.23.24 是一个经典的命令执行，通过 POST 方式攻击者可以随意利用 Linux 命令拼接符 ip 参数，从而导致任意命令执行：

这种场景和之前的攻击场景稍微不太一样，之前的代码注入和 SQL 注入都是直接通过 GET 方式来传递参数进行攻击的，但是这个命令执行的场景是通过 POST 方式触发的，我们无法使用使用 SSRF 漏洞通过 HTTP 协议来传递 POST 数据，这种情况下一般就得利用 gopher 协议来发起对内网应用的 POST 请求了，gopher 的基本请求格式如下：