SSRF漏洞学习

mzxf2024-05-10 8:28

1.ssrf漏洞简介

ssrf(服务器端请求伪造),它是由攻击者构造形成的由服务端发起的一个较为安全的漏洞。

它攻击的目标是从外网无法访问的内部系统,因为它是从服务端发起的,所以它能够请求到与它相连并且与外网隔离的内部系统。

原理

ssrf漏洞形成的原理正常都是由于服务端发起了能够从其他服务器内部获取数据的功能但是没有对目标地址进行严格的过滤和限制

比如从服务端指定的URL地址下获取网页内容,并加载指定地址的图片、数据、下载等等。ssrf是利用存在缺陷的web应用作为代理攻击远程和本地的服务器

2.ssrf可以实现的一些典型效果

1)可以对服务器所在的内网、本地进行端口扫描,获取一些服务的banner信息

2)攻击运行在内网或本地的应用程序(比如溢出)

3)对内网web应用进行指纹识别,通过访问应用存在的默认文件实现;

4)攻击内外网的web应用,主要是使用get参数就可以实现的攻击(比如struts2漏洞利用等)

5)利用file协议读取本地文件

6)利用Redis未授权访问,HTTP CRLF注入达到getshell

7)DOS攻击(请求大文件,始终保持连接keep alive always)等等

3. 典型利用

1)攻击者向易受 SSRF 攻击且与目标服务器位于同一内部网络的 Web 服务器发送伪造请求。

2)易受攻击的 Web 服务器将攻击者控制的请求发送到受害者的服务器,绕过防火墙。

3)受害者的服务器用请求的数据响应网络服务器。

4)如果特定的 SSRF 漏洞允许,数据将被发送回攻击者。在大多数情况下,攻击者需要通过其他方式(带外)泄露或推断此信息。

产生SSRF漏洞的代码

在php中可能存在SSRF漏洞的函数。

复制代码 
file_get_content() 、fsockopen() 、curl_exec()

1)file_get_content()

使用file_get_contents函数可以从用户指定的url中获取图片。然后把它用一个随即文件名保存在硬盘上,并展示给用户。

2)fsockopen()

使用fsockopen函数实现获取用户制定url的数据(文件或者html)。这个函数会使用socket跟服务器建立tcp连接,传输原始数据。

3)curl_exec()

该函数可以使用curl发送请求获取数据

4.SSRF中url的伪协议

在进入网页或者题目环境时,一但遇上ssrf漏洞,我们就因应该判断并测试所有可用的url伪协议,就好比下面这些:

复制代码 
file:/// 从文件系统中获取文件内容,如,file:///etc/passwd
dict:// 字典服务器协议,访问字典资源,如,dict:///ip:6739/info:
sftp:// SSH文件传输协议或安全文件传输协议
ldap:// 轻量级目录访问协议
tftp:// 简单文件传输协议
gopher:// 分布式文档传递服务,可使用gopherus生成payload

绕过方法
url解析规则

IP地址进制转换

302跳转

DNS重绑定

2.1、@符

对于一个 url 的访问实际上是以 @符后为准的,比如说 [email protected],则实际上访问的是 10.10.10.10 这个地址

2.2、302跳转

网址后加 xip.io

其原理是例如 10.10.10.10.xip.io 会被解析成 10.10.10.10

2.3、数字IP Bypass

IP进制转换/Enclosed Alphanumerics/特殊地址

进制转换

ip 转换为八进制十进制十六进制这种,同样也可以正常访问

5.实操

这里以ctfhub上的题目为例

1.内网访问

(1)打开题目

(2)进入环境后啥也没有

(3)既然题目说是一个网页访问那么我们直接尝试去访问位于127.0.0.1的flag.php

2.伪协议读取文件

(1)打开环境后还是跟前面一样啥也没有

(2)既然题目说是伪协议读取文件,那么在SSRF中常用的伪协议就是file:///协议了,其在ssrf中可以用来读取php源码,尝试直接利用它来读取flag

(3)出了回显,看看源码,flag就在里面

3.端口扫描

(1)进入环境

(2)根据题目提示说在线扫端口,并且范围在8000-9000

因为这是一道SSRF的题目,所以并不是用御剑或者其他网站后台目录扫描工具进行尝试,根据同一技能数下的前2道题目,可以想到这一题是需要扫描127.0.0.1这一内网地址下的端口所以这里直接用BP抓包,添加url头为http://127.0.0.1:8000

(3)然后只选择端口进行是扫描

(4)根据题目提示更改值

(5)然后开始攻击,即可找到含flag长度的文件

**注:**如何防范SSRF攻击
为防止 Web 应用程序中出现 SSRF 漏洞,我们应该对 Web 服务器获取的远程资源使用允许域和协议的白名单。甚至还应该避免在任何可以代表服务器发出请求的函数中直接使用用户输入。虽然清理和过滤用户输入是比较有效的措施,但我们不应将此作为唯一的保护措施,因为它几乎不可能涵盖所有不同的场景。

攻击者可以使用多种技巧来绕过 URL 过滤:

使用编码的 IP 地址,这些地址将被转换为内部网络中的 IP:
1-> 与本地主机相同
0x7f000001 -> 与本地主机相同
提供解析为内部 IP 地址的主机名
通过在主机名末尾应用点来绕过主机黑名单

相关推荐
FakeOccupational1 小时前
【碎碎念】宝可梦 Mesh GO : 基于MESH网络的口袋妖怪 宝可梦GO游戏自组网系统
网络·游戏
待什么青丝1 小时前
【TMS570LC4357】之相关驱动开发学习记录2
c语言·arm开发·驱动开发·单片机·学习
行云流水剑1 小时前
【学习记录】如何使用 Python 提取 PDF 文件中的内容
python·学习·pdf
虾球xz2 小时前
CppCon 2015 学习:CLANG/C2 for Windows
开发语言·c++·windows·学习
蓝婷儿3 小时前
6个月Python学习计划 Day 17 - 继承、多态与魔术方法
开发语言·python·学习
fei_sun3 小时前
【计算机网络】三报文握手建立TCP连接
网络·tcp/ip·计算机网络
Johny_Zhao3 小时前
2025年6月Docker镜像加速失效终极解决方案
linux·网络·网络安全·docker·信息安全·kubernetes·云计算·containerd·yum源·系统运维
PypYCCcccCc3 小时前
支付系统架构图
java·网络·金融·系统架构
持续前进的奋斗鸭3 小时前
Postman测试学习(1)
学习·postman
hello kitty w4 小时前
Python学习(7) ----- Python起源
linux·python·学习
热门推荐
01【图像处理与机器视觉】XJTU期末考点02从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑03KGG转MP3工具|非KGM文件|解密音频04海康Visionmaster-常见问题排查方法-启动阶段05YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】06【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!07Coze扣子平台完整体验和实践(附国内和国际版对比)08DeepSeek各版本说明与优缺点分析09VMware虚拟机安装Win7专业版保姆级教程(附镜像包)10R-tree详解