【网络安全】-ssrf服务器请求伪造攻击-burp

SSRF攻击服务器请求伪造攻击

CSRF攻击跨站请求伪造攻击也称客户端请求伪造攻击

两种攻击最主要的区别是一个在服务器，一个在客户端。

文章目录

前言 什么是SSRF攻击?

1.分类：

针对服务器的 SSRF 攻击：

针对后端系统的SSRF攻击：

2.SSRF攻击的绕过

url解析绕过:

ip地址进制转换:

指向任意IP的域名xip.io

协议限制绕过

3.ssrf攻击的防护：

总结

---

前言 什么是ssrf攻击?

由hacker构造请求，利用存在缺陷的Web应用作为代理，让服务端发起请求。

---

1.分类：

针对服务器的 SSRF 攻击：

攻击的定义：

由hacker构造请求，利用存在缺陷的Web应用服务器作为代理，让服务器发起请求的攻击。

这种攻击允许攻击者绕过对源IP地址的检查，访问受限的内网资源，甚至从内部系统中窃取数据、执行远程代码或对特定服务发起拒绝服务攻击

攻击的步骤：

1.发现漏洞：首先识别出可以触发服务器发起HTTP请求的点，如图片加载、文件下载、API请求等功能。

2.请求构造：创建一个精心设计的请求，这个请求将由服务器发送，目的可能是与服务器的内部网络或者外部恶意服务器通信。

3.执行与利用：将构造的请求发送到漏洞点，让服务器不自觉地执行该请求，将结果返回给攻击者或影响内部系统。

举例：burp靶场-针对本地服务器的基本 SSRF

描述：

步骤：

1.访问某个商品，点击"检查库存"，在 Burp Suite 中拦截该请求，并将其发送给 Burp Repeater。

2.将参数中的 URL 更改stockApi=http://localhost/admin，这应该会显示管理界面，表名我们ssrf成功，验证访问admin。

3.阅读 HTML 以识别要删除目标用户的 URL，

即：http://localhost/admin/delete?username=carlos

修改请求头：

Send 返回界面：表明我们已经发起SSRF攻击，删除成功

总结：针对本地服务器的基本 SSRF

就是对服务器发出一个正常的请求，bp抓包截取服务器对我们的回复，对内容进行修改，让服务器执行的正常的请求->异常请求，进而影响其内部系统，如本题，就是将查询库存->删除用户。

针对后端系统的SSRF攻击：

攻击的定义：

hacker利用后端系统中未严格校验用户输入或存在其他漏洞的功能，如文件包含、URL重定向等，通过构造恶意的URL或请求，诱使后端系统向攻击者指定的目标发送请求。

攻击的影响：

请求是由后端系统发起的，因此可以绕过针对客户端的直接防护措施，很难被用户直接察觉，一旦中招，会导致用户敏感信息泄露、未授权访问控制系统资源等后果。

甚至hacker还可以利用SSRF漏洞作为跳板，进一步发起其他类型的攻击，如SQL注入、命令执行等。

攻击的步骤：

1.请求构造：攻击者可以构造一个指向内部数据库的URL或指向恶意服务的URlL并提交给后端系统。

2.执行与利用：后端系统在处理该请求时，会尝试访问该URL指向的资源，从而触发SSRF攻击。

举例：burp靶场-针对后端服务器的基本 SSRF

描述：

1.访问某个商品，点击"检查库存"，在 Burp Suite 中拦截该请求，并将其发送给 Burp Intruder。

2.单击"清除§"，更改参数stockApi，http://192.168.0.1:8080/admin

然后突出显示 IP 地址的最后一个八位字节（数字1），单击"添加§"。

3.切换到Payloads选项卡，将payload类型改为Numbers，

ip地址只可能在1~255之间，所以我们在From和To框中分别输入1、255，至于以及Step停顿时间自己来定，但绝不能是0，因为这会对服务器造成极大的伤害，导致网站挂掉，通常Step停顿时间是1。

注意：最底下把勾去掉

4.点击"开始攻击"。

单击"length"列，可以看到一个状态为 200 的条目，说明http://192.168.0.135:8080/admin是爆破成功的服务器url

5.点击这个请求，发送给Burp Repeater.

并将其中的路径改为stockApi：/admin/delete?username=carlos（识别要删除的目标用户）

点击send。

返回正常数据，说明我们成功进行ssrf攻击

2.SSRF攻击的绕过

url解析绕过:

http://域名.com@10.10.10.10

ip地址进制转换:

举例：192.168.0.1

8进制格式:0300.0250.0.1

16进制格式:0xC0.0xA8.0.1

10进制整数格式:3232235521

指向任意IP的域名xip.io

举例：10.0.0.1.xip.io resolves to 10.0.0.1

协议限制绕过

当url协议限定只为http(s)时，可以利用follow redirect 特性构造3o2跳转服务结合合dict:// fle:/ gopher://

3.ssrf攻击的防护：

**1.黑名单验证：**过滤内网地址，过滤部分协议，对返回的内容进行识别，内网服务开启鉴权。

2.严格校验用户输入的URL：对所有用户提交的URL参数进行严格的白名单验证，只允许访问预定义的可信域名或路径。例如，限制请求的协议（HTTP、HTTPS）、主机名和端口号，通常只开放80、443等常用端口。

**3.对返回内容进行识别：**首先禁用URLOPT FOLLOWLOCATION;然后通过域名获取目标ip，并过滤内部ip;最后识别返回的内容是否与假定内容一致。

---

总结

ssrf攻击运行在内网或本地的应用程序，利用fle协议读取本地文件，可以对内网，本地进行端口扫描，获取一些服务(banner)的信息，仅仅使用get参数就可以实现对内外网的攻击。