PortSwigger靶场之盲 SSRF(服务器端请求伪造)漏洞通关秘籍

这个实验的核心是利用盲 SSRF(服务器端请求伪造)漏洞 ,通过应用程序的分析软件对Referer头的处理机制,向 Burp Collaborator 服务器发送请求,从而验证漏洞的存在。

原理分析

  1. 盲 SSRF 的特点:与普通 SSRF 不同,盲 SSRF 不会直接在响应中返回目标 URL 的内容,而是需要通过 "带外(Out-of-Band)" 方式(如外部服务器的交互记录)来验证攻击是否成功。

  2. 漏洞触发点 :实验中的分析软件会在加载产品页面时,自动请求Referer头中指定的 URL(由服务器端发起)Referer 头 是 HTTP 协议中的一个请求头字段,用于指示当前请求是从哪个页面跳转而来的

  3. 。由于未对Referer头的内容做严格限制,攻击者可以篡改该值,让服务器向任意地址(如 Burp Collaborator)发送请求,通过观察外部服务器是否收到请求来确认 SSRF 存在。

  4. Burp Collaborator 的作用:这是 Burp Suite 提供的公共服务器,用于检测带外交互。当服务器端请求了 Collaborator 生成的独特域名时,Collaborator 会记录 DNS 查询和 HTTP 请求,从而证明 SSRF 攻击成功。

具体解决步骤

1. 拦截产品页面请求
  • 访问实验室中的任意产品页面(触发分析软件的 URL 获取逻辑)。
  • 用 Burp Suite 的 Proxy 拦截该请求(此时请求中包含Referer头,指向当前产品页面的 URL)。
  • 将拦截的请求发送到 Burp Repeater(方便修改和重放)。
2. 插入 Burp Collaborator payload
  • 在 Burp Repeater 中,找到请求中的Referer
  • 右键点击Referer头的值,选择 **"Insert Collaborator Payload"**(插入协作者载荷),Burp 会自动生成一个唯一的域名(9s2c8ryz0der8htew5ztc3p4lvrmfj38.oastify.com),替换原有的Referer值。
3. 发送请求并验证带外交互
  • 点击 Burp Repeater 的 "Send" 按钮,向服务器发送修改后的请求。服务器的分析软件会读取Referer头,并让后端服务器向该 Collaborator 域名发起请求。
  • 切换到 Burp 的 "Collaborator" 选项卡,点击 **"Poll now"(立即轮询)**,查看是否有交互记录。
  • 若攻击成功,会看到 Collaborator 记录了来自目标服务器的DNS 查询 (解析该域名)和HTTP 请求 (访问该域名),证明服务器端执行了我们构造的Referer头中的 URL 请求。

总结

本实验通过篡改Referer头,利用应用程序对该头的自动请求机制,触发了盲 SSRF 漏洞。由于无法通过响应直接观察结果,因此借助 Burp Collaborator 的带外检测能力,通过外部交互记录验证了漏洞的存在。核心逻辑是:让服务器按攻击者的意图访问外部可控地址,通过外部地址的记录证明攻击成功

相关推荐
kali-Myon18 分钟前
某校园门禁系统高危 SQL 注入漏洞挖掘复盘
数据库·sql·安全·web安全
志栋智能21 分钟前
超自动化安全中的威胁狩猎
运维·安全·自动化
gyx_这个杀手不太冷静23 分钟前
Agent开发进阶指南(第 1 章):AI Agent 到底是什么?
前端·agent·ai编程
小小小小宇1 小时前
模型相关知识
前端
小小小小宇1 小时前
模型相关知识二
前端
IT_陈寒1 小时前
Python装饰器竟然偷偷改了函数名?这个坑我爬了三天
前端·人工智能·后端
Momo__2 小时前
Vite 8.1 打包开发模式——10000 组件冷启动 15 倍,"No Bundle Dev" 七年后被自己终结
前端·vue.js·vite
YHL2 小时前
🤖 Agent 智能体开发实战 · 第一课:Tool Use —— 让大模型自动干活
前端·javascript·人工智能
Monki2 小时前
AI 规范式 UI 设计,一键批量出页,高效落地不翻车
前端
山河木马2 小时前
渲染管线-计算得到gl_FragColor(片元着色器)之后续GPU流程
前端·webgl·计算机图形学