[問題] 在Burp學院裡的一題(SSRF)

作者hpyhacking (駭人聽聞)

看板NetSecurity

標題[問題] 在Burp學院裡的一題(SSRF)

時間Wed Jun 10 01:56:26 2020

大家好~ 最近在玩Burp學院裡的一些題目~ 其中有一題的解payload看不太懂想請教大家~ 題目網址: https://portswigger.net/web-security/ssrf/lab-ssrf-with-whitelist-filter 裏頭有個有SSRF漏洞的地方，他會過濾參數stockApi值網址不為stock.weliketoshop.net的他的payload如下: http://localhost:80%2523@stock.weliketoshop.net/admin/delete?username=carlos 其中 %2523為'#'字號的Double Encoding 所以沒有過濾字元的話payload會像是: http://localhost:80#@stock.weliketoshop.net/admin/delete?username=carlos 看不懂的地方是@前面的部分 @前面代表userinfo (localhost:80#) 所以請問這個是使用者localhost，密碼為80? 怎麼看都不太像，localhost指的是網址吧，80就是HTTP的port 還有#這個出現在這裡是甚麼意思.... 照理說不是frame，應該是資源相關的附在網址的最後面嗎? 小的程度很差，還請各位大大解釋一下XD -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 223.140.1.243 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1591725393.A.A88.html

→ skycat2216: 我想不是，使用者是最後面那個，密碼還不確定 06/10 06:18

→ hpyhacking: 最後面那個是哪個？ 06/10 18:47

→ skycat2216: carlos，但只是猜的 06/10 19:11

→ skycat2216: 喔，不對 06/10 19:13

→ skycat2216: 按題目的說法這應該不用特別找密碼 06/10 19:13

→ skycat2216: 應該說你的Payload本身"可能"就是是叫伺服器刪除carl 06/10 19:15

→ skycat2216: os這個使用者，所以才沒有密碼 06/10 19:15

→ hpyhacking: 後面的那個部分是你講的這樣沒錯 06/10 22:10

→ hpyhacking: 但是前面的localhost:80#我真的是看不懂ˊˋ 06/10 22:10

推 luciferii: 解答是說如果用 # 測，它的api會跟一般瀏覽器一樣把 06/13 08:12

→ luciferii: #後面當成notes，所以禁止 http://username，必須要用 06/13 08:13

→ luciferii: double url-encode 去繞過。或許實測跟解答狀況不同？ 06/13 08:14

→ luciferii: 這是回下一篇的，回錯文... 06/13 08:15