文章总结: 本文档详细介绍了PortSwiggerSSRF靶场中BasicSSRFagainstanotherback-endsystem的通关方法。核心是利用库存检查功能的SSRF漏洞,通过BurpIntruder遍历内网192.168.0.X网段,扫描8080端口上的管理界面。找到返回200OK的主机后,通过访问其/admin/delete?username=carlos路径删除目标用户。文章提供了分步攻击链、核心原理、同类技巧拓展及排障自检清单,展示了SSRF在内网探测和横向移动中的威力。 综合评分: 87 文章分类: 渗透测试,红队,内网渗透,漏洞分析,WEB安全
【PortSwigger SSRF -Basic SSRF against another back-end system 完整通关指南】
原创
卡布奇诺的派对 卡布奇诺的派对
卡布奇诺的派对
2026年7月13日 08:46 河南
在小说阅读器读本章
去阅读
Payload:http%3A%2F%2F192.168.0.206%3A8080%2Fadmin/delete?username=carlos
生成字典代码
with open('numbers.txt', 'w', encoding='utf-8') as f:for i in range(1, 256):f.write(str(i) + '\n')
🎯 靶场速览
目标:该实验室的库存检查功能会从内部系统获取数据。需要利用此功能扫描内部 192.168.0.X 网段(X 为 1-255)中在 8080 端口上运行的管理界面,然后通过该界面删除用户 carlos。
核心逻辑:stockApi 参数的值是一个完整的 URL,服务器会向该 URL 发起请求并返回响应。与“仅允许本地路径”的靶场不同,本关没有对主机进行限制,可以直接请求任意内网 IP。但由于不知道管理界面具体在哪台机器上,需要进行内网端口扫描。
核心思路:利用 Burp Intruder 对 IP 地址的最后一段进行批量遍历(1-255),找出返回 200 OK 的内网主机,再访问其 /admin/delete?username=carlos 完成删除。
🚀 分步攻击链
第1步:拦截请求
访问任意产品页面,点击 “Check stock” 按钮,用 Burp Suite 拦截该 POST 请求。
观察请求体中的 stockApi 参数,其值类似:
http://192.168.0.1:8080/product/stock/check?productId=1&storeId=2
这表明服务器会向指定的内网地址发起请求。
第2步:发送到 Intruder 并配置 payload
将该请求发送到 Burp Intruder。
修改 stockApi 参数为以下格式,其中 §1§ 是 Burp 的占位符:
http://192.168.0.§1§:8080/admin
切换到 Payloads 标签页:
-
Payload type
:选择
Numbers -
From
:输入
1 -
To
:输入
255 -
Step
:输入
1
⚠️ 注意:
192.168.0.X网段是固定的,不要修改前三段。
第3步:发起攻击
点击 “Start attack” 按钮。Burp Intruder 会依次向以下地址发送请求:
http://192.168.0.1:8080/adminhttp://192.168.0.2:8080/admin...http://192.168.0.255:8080/admin
第4步:找到管理界面
攻击完成后,点击结果列表中的 Status 列,按状态码升序排序。
正常情况下,所有请求都会返回 500 Internal Server Error(因为目标主机不存在或端口未开放),但只有一个条目会返回 200 OK,该条目对应的 IP 就是运行管理界面的内网主机。
第5步:删除用户
将返回 200 OK 的请求发送到 Burp Repeater。
修改 stockApi 的路径,指向删除用户的接口:
http://192.168.0.[找到的IP]:8080/admin/delete?username=carlos
发送该请求,实验完成。
💡 核心原理
为什么需要扫描?
本关与“Basic SSRF against the local server”(目标在 localhost)不同。目标管理界面位于内网 192.168.0.X 网段的某台未知主机上。由于 SSRF 漏洞允许服务器向内网任意主机发起请求,我们需要通过遍历 IP 地址来定位目标。
为什么用 /admin 路径作为探测目标?
直接扫描根路径 / 可能会返回各种无关的响应(如默认页面、错误页面等),干扰判断。而扫描 /admin 路径可以精确命中管理界面,只要返回 200 OK 就说明找到了正确的目标。
为什么按 Status 排序?
- 大多数不存在的 IP 或未开放 8080 端口的主机 → 返回
500或连接超时 - 存在管理界面的目标主机 → 返回
200 OK
通过状态码排序可以快速定位异常条目。
🔧 同类技巧拓展
| 技巧 | 说明 | 适用场景 |
| — | — | — |
| 端口扫描 | 将 stockApi 设为 http://192.168.0.1:§8080§/admin,遍历常见端口(如 8080、8000、8443、9090 等) | 不知道目标端口时 |
| 路径爆破 | 遍历常见管理路径如 /admin、/manage、/console、/cpanel 等 | 不知道管理界面的具体路径时 |
| 内网拓扑探测 | 先扫描整个网段(如 192.168.0.1-255)的 80/443 端口,再进一步探测 | 完全不知道内网结构时 |
| 结合 Collaborator | 如果响应不直接返回,可用 Collaborator 验证请求是否到达 | 盲 SSRF 场景 |
| 使用 Cluster Bomb | 同时遍历 IP 和端口两个变量 | 需要同时探测多个 IP 和端口时 |
✅ 排障自检清单
| 问题 | 原因 | 解决方案 |
| — | — | — |
| Intruder 攻击后没有 200 OK | 端口号不对 | 确认目标端口是 8080,不是 80 或其他端口 |
| 所有请求都返回 500 | IP 网段或端口错误 | 检查 stockApi 是否确实为 http://192.168.0.§1§:8080/admin |
| 找到了 200 OK 但删除失败 | 删除路径写错 | 确认删除接口为 /admin/delete?username=carlos |
| Intruder 扫描速度太慢 | 默认线程数较低 | 在 Intruder 的 Resource pool 中增加线程数 |
| 返回 302 重定向而非 200 | 管理界面可能有重定向 | 查看 Location 头,跟随重定向后的路径 |
📌 总结
本关的核心在于利用 SSRF 进行内网资产发现。由于没有主机限制,我们可以直接向 192.168.0.X 网段发起请求。通过 Burp Intruder 批量遍历 IP 地址的最后一段(1-255),找出在 8080 端口上返回 200 OK 的管理界面,最后通过该界面删除目标用户。这展示了 SSRF 漏洞在内网探测和横向移动中的强大威力。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:卡布奇诺的派对 卡布奇诺的派对 卡布奇诺的派对《【PortSwigger SSRF -Basic SSRF against another back-end system 完整通关指南】》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论