从靶场到实战：手把手教你用Burp Suite爆破SSRF端口（CTFHub实战复盘）

从靶场到实战：手把手教你用Burp Suite爆破SSRF端口（CTFHub实战复盘）

在渗透测试领域，SSRF（服务端请求伪造）漏洞因其能够穿透网络边界、探测内网资产而备受关注。许多安全从业者在CTF比赛中掌握了SSRF的基础利用技巧，却难以将这些技能有效迁移到真实渗透场景。本文将基于CTFHub端口扫描题的解题思路，深入剖析如何将Burp Suite的Intruder模块转化为内网探测的利器，同时分享实战中的高阶技巧与规避检测的方法。

1. SSRF端口扫描的核心原理与实战价值

SSRF漏洞允许攻击者通过存在缺陷的Web应用间接访问内网资源。在CTF比赛中，我们通常只需关注如何获取flag，但在真实渗透测试中，这种能力可以转化为内网资产发现的重要手段。

关键差异点：

• CTF环境通常预设明确的目标端口范围（如8000-9000）
• 真实场景需要自主判断端口范围，且需考虑服务指纹识别
• 生产环境存在WAF、IDS等防护设备，需要更隐蔽的探测方式

以某次授权测试为例，我们发现一个图片上传功能存在SSRF漏洞。通过以下步骤确认其可利用性：

POST /upload_image HTTP/1.1 Host: vulnerable.com Content-Type: application/json { "image_url": "http://169.254.169.254/latest/meta-data/" }

当服务器返回AWS元数据时，证实存在SSRF漏洞。此时，Burp Intruder将成为我们对内网进行端口扫描的核心工具。

2. Burp Intruder模块的深度配置指南

2.1 载荷类型选择与优化

在端口扫描场景中，推荐使用以下配置组合：

实战技巧：

• 对云环境优先扫描元数据服务端口（如169.254.169.254:80）
• 传统内网可先尝试常见中间件端口（22,80,443,3306,6379等）
• 使用以下Python代码生成更有针对性的端口列表：

# 生成非连续高危端口列表 high_risk_ports = [22, 80, 443, 3306, 6379, 8080, 8443] random_ports = sorted(set([random.randint(1024, 65535) for _ in range(50)])) port_list = sorted(set(high_risk_ports + random_ports))

2.2 结果分析与误判处理

在真实环境中，单纯依赖响应长度判断端口开放情况可能产生误判。建议采用多维度验证：

1. 响应时间分析：

   • 开放端口通常有更长的响应时间
   • 使用Burp的Columns功能添加Response received字段

2. 内容特征验证：

   • HTTP服务：检查Server头或特定HTML特征
   • 数据库服务：分析错误信息特征（如MySQL的ERROR 1045）

3. 二次验证机制：

   • 对疑似开放端口手动发送特定协议握手包
   • 使用不同协议（HTTP/HTTPS）交叉验证

注意：在授权测试中，发现开放端口后应立即记录，避免重复扫描同一目标

3. 规避检测的高阶技巧

3.1 时间延迟与速率控制

通过以下Burp配置降低检测概率：

# Intruder -> Resource Pool 配置示例 { "request_interval": "2000", # 请求间隔(ms) "max_retries": "3", # 最大重试次数 "random_variation": "30%" # 随机时间浮动 }

进阶方法：

• 配合Turbo Intruder插件实现低速率长周期扫描
• 将扫描任务分散到不同时间段执行
• 利用节假日或系统维护窗口进行探测

3.2 流量混淆技术

1. 请求头伪装：

   GET /?url=http://internal:PORT HTTP/1.1 Host: vulnerable.com X-Forwarded-For: 192.168.1.100 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Referer: https://www.google.com/

2. 参数模糊处理：

   • 使用URL编码多次嵌套：%252F代替/
   • 添加无意义参数：?cache=123&debug=false
   • 混用大小写：hTtP://127.0.0.1:80

3. 协议级混淆：

   • 通过DNS解析绕过黑名单：http://localhost:3306→http://127.0.0.1.xip.io:3306
   • 使用短域名或十进制IP：http://2130706433等效于127.0.0.1

4. 从端口扫描到完整攻击链构建

发现开放端口只是开始，真正的价值在于如何将其转化为攻击入口。以下是典型场景的后续操作：

场景1：发现Redis端口(6379)

1. 尝试未授权访问：

   redis-cli -h 127.0.0.1 -p 6379 INFO

2. 若需认证，通过SSRF暴力破解弱密码
3. 写入Webshell或SSH公钥

场景2：发现管理后台(8080)

1. 识别CMS类型（如/manager/html提示Tomcat）
2. 通过SSRF进行目录爆破（使用Burp的Cluster bomb模式）
3. 尝试默认凭证登录

场景3：发现数据库(3306)

1. 通过时间盲注判断可访问性：

   SELECT IF(1=1,SLEEP(5),0)

2. 构造带外通道获取数据：

   LOAD DATA LOCAL INFILE '/etc/passwd' INTO TABLE test LINES TERMINATED BY '\n'

在一次金融行业测试中，我们通过SSRF发现内网Kibana服务（5601端口），利用CVE-2019-7609最终获取到核心业务系统的访问权限。整个过程完全在授权范围内进行，帮助企业发现了从外网到核心区的完整攻击路径。