SSRF 漏洞全解析(概述、攻击流程、危害、挖掘与相关函数)

.Ayang2024-11-22 22:12

1. SSRF漏洞

1.1 SSRF概述及成因

SSRF被称为服务端请求伪造,攻击者利⽤SSRF漏洞通过伪造服务器发起请求,由于请求是由内部发起的,所以ssrf漏洞攻击的⽬标主机是从外⽹⽆法直接访问的内部系统。

SSRF漏洞形成的原因多是服务端提供了从外部服务获取数据的功能,但没有对⽬标地址、协议等主要参数进⾏过滤和限制,从⽽导致攻击者可以⾃由构造参数,发起恶意请求。

1.2 攻击流程

1.攻击者与服务器构建请求。

2.服务器向客户端发送构建的请求。

3.客户端响应服务器发送的请求。

4.服务器向攻击者返回客户端的请求。

1.3 漏洞危害

对外⽹、服务器所在内⽹、本地进⾏端⼝扫描; 攻击运⾏在内⽹或本地的服务、应⽤; 对内⽹web应⽤进⾏指纹识别、识别内⽹资产信息; 实现 CRLF 注⼊:利⽤ Redis 未授权访问,HTTP CRLF 注⼊实现 getshell。

1.4 漏洞挖掘

1.4.1 从web功能上

分享 :通过URL地址分享⽹⻚内容
转码服务 :通过URL地址把管地址的⽹⻚内容调优使其适合⼿机屏幕浏览
在线翻译 :通过URL地址翻译对应⽂本的内容,提供此功能的国内公司百度、有道等
图⽚加载与下载 :通过URL地址加载或下载图⽚

图⽚、⽂章收藏功能
未公开的api实现以及其他调⽤URL的功能

1.4.2 从 URL关键字中寻找

Share、wap、url、Link、src、source、target、u、3g、Display、sourceURI、imageURL、domain

1.5 产⽣SSRF漏洞的函数

1.5.1 file_get_contents

从⽤户指定的url获取图⽚,然后把它⽤⼀个随机⽂件名保存在硬盘上,并展示给⽤户。

<?php
 if(isset($_POST['url']))
 {
 $contenet=file_get_contents($_POST['url']);
 $filename='./images/'.rand().';img1.jpg';
 file_put_contents($filename,$contenet);
 echo $_POST['url'];
 $img="<img src=\"".$filename."\"/>";
 }
 echo $img;
?>

1.5.2 fsockopen

实现获取⽤户制定url的数据(⽂件或者html)。这个函数会使socket跟服务器建⽴TCP连接,传输原始数据。

<?php
function GetFile($host,$port,$link)
 {
$fp = fsockopen($host, intval($port), $errno, $errstr, 30);
if (!$fp) {
echo "$errstr (error number $errno) \n";
} else {
$out = "GET $link HTTP/1.1\r\n";
$out .= "Host: $host\r\n";
$out .= "Connection: Close\r\n\r\n";
$out .= "\r\n";
fwrite($fp, $out);
$contents='';
while (!feof($fp)) {
$contents.= fgets($fp, 1024);
}
fclose($fp);
return $contents;
}
}
?>

1.5.3 curl_exec

curl是⼀个⾮常常⻅的实现,通过php获取数据。⽂件/数据被下载并存储在curled⽂件夹下的磁盘中,并附加⼀个随机数和".txt"⽂件扩展名。

<?php
if(isset($_POST['url']))
{
 $link=$_POST['url'];
 $curlobj=curl_init();
 curl_setopt($curlobj, CURLOPT_POST, 0);
 curl_setopt($curlobj,CURLOPT_URL,$link);
 curl_setopt($curlobj, CURLOPT_RETURNTRANSFER, 1);
 $result=curl_exec($curlobj);
 curl_close($curlobj);
 $filename = './curled/'.rand().'.txt';
 file_put_contents($filename, $result);
 echo $result;
}?>

1.5.4 注意事项

1.⼀般情况下PHP不会开启fopen的gopher wrapper

2.file_get_contents的gopher协议不能URL编码

3.file_get_contents关于Gopher的302跳转会出现bug,导致利⽤失败

4.curl/libcurl 7.43 上gopher协议存在bug(%00截断) 经测试7.49 可⽤

5.curl_exec() 默认不跟踪跳转,

6.file_get_contents() file_get_contents⽀持php://input协议

相关推荐
EasyNVR3 小时前
NVR管理平台EasyNVR多个NVR同时管理:全方位安防监控视频融合云平台方案
安全·音视频·监控·视频监控
黑客Ash5 小时前
【D01】网络安全概论
网络·安全·web安全·php
阿龟在奔跑7 小时前
引用类型的局部变量线程安全问题分析——以多线程对方法局部变量List类型对象实例的add、remove操作为例
java·jvm·安全·list
.Ayang7 小时前
SSRF漏洞利用
网络·安全·web安全·网络安全·系统安全·网络攻击模型·安全架构
好想打kuo碎7 小时前
1、HCIP之RSTP协议与STP相关安全配置
网络·安全
网络安全-老纪7 小时前
iOS应用网络安全之HTTPS
web安全·ios·https
周全全7 小时前
Spring Boot + Vue 基于 RSA 的用户身份认证加密机制实现
java·vue.js·spring boot·安全·php
Mr.Pascal8 小时前
刚学php序列化/反序列化遇到的坑(攻防世界:Web_php_unserialize)
开发语言·安全·web安全·php
热门推荐
01(欧拉)openEuler系统添加网卡文件配置流程、(欧拉)openEuler系统手动配置ipv6地址流程、(欧拉)openEuler系统网络管理说明02PyTorch机器学习实现液态神经网络03【HarmonyOS】HUAWEI DevEco Studio 下载地址汇总04玄机平台应急响应—webshell查杀05Coze扣子平台完整体验和实践(附国内和国际版对比)06Ubuntu 20.04使用Livox mid 360 测试 FAST_LIO07【目标跟踪】相机运动补偿08Unity中PICO实现 隔空取物 和 接触抓取物体09RAG 实践- Ollama+RagFlow 部署本地知识库10怎样让音频速度变慢?请跟随以下方法进行操作