目录
file_get_content() 、fsockopen() 、curl_exec()
一、SSRF的介绍
SSRF(服务器端请求伪造)是一种由攻击者构造请求,由服务端发起请求的安全漏洞。一般情况下,SSRF攻击的目标是外网无法访问的内部系统(正因为请求是由服务端发起的,所以服务端能请求到与自身相连而与外网隔离的内部系统)。
二、漏洞产生的原因
服务端提供了能够从其他服务器应用获取数据的功能,比如从指定的URL地址获取网页内容,加载指定地址的图片、数据、下载等等,服务端请求的目标都是与该请求服务器处于同一内网的资源服务,如果没有对这个请求的目标地址、文件等做充足的过滤和限制,攻击者就可以通过篡改这个请求的目标地址来进行伪造请求,造成漏洞。
三、利用SSRF可以实现的效果(攻击方式)
1、可以对服务器所在的内网、本地进行端口扫描,获取一些服务的banner信息
2、攻击运行在内网或本地的应用程序(比如溢出)
3、对内网web应用进行指纹识别,通过访问应用存在的默认文件实现;
4、攻击内外网的web应用,主要是使用get参数就可以实现的攻击(比如struts2漏洞利用等)
5、利用file协议读取本地文件
6、利用Redis未授权访问,HTTP CRLF注入达到getshell
7、DOS攻击(请求大文件,始终保持连接keep alive always)等等
四、SSRF的利用
五、SSRF中的函数
file_get_content() 、fsockopen() 、curl_exec()
1.file_get_content():
使用file_get_contents函数从用户指定的url获取图片。然后把它用一个随即文件名保存在硬盘上,并展示给用户。
<?php
if (isset($_POST['url'])) //检查是否用post传了一个url的参数
{
$content = file_get_contents($_POST['url']); //使用 file_get_contents 函数获取 POST 参数 'url' 对应的 URL 的内容
$filename ='./images/'.rand().';img1.jpg'; //构造一个文件名,其中文件名的一部分是随机数,文件名固定为 'img1.jpg'
file_put_contents($filename, $content); echo $_POST['url']; //使用 file_put_contents 函数将 $content 保存到 $filename 指定的文件中,并输出接收到的 URL。
$img = "<img src=\"".$filename."\"/>"; //构造一个包含图片路径的 HTML img 标签
}
echo $img; //输出图片的 HTML 标签,如果之前没有设置 $img,这里会输出一个空字符串
?>
2.fsockopen():
使用fsockopen函数实现获取用户制定url的数据(文件或者html)。这个函数会使用socket跟服务器建立tcp连接,传输原始数据。
<?php
function GetFile($host,$port,$link) //定义了一个名为 GetFile 的函数,它接受三个参数:$host(主机名或IP地址),$port(端口号),$link(请求的URL或路径)。
{
$fp = fsockopen($host, intval($port),
$errno, $errstr, 30); //使用 fsockopen 函数尝试与指定的 $host 和 $port 建立 TCP 连接。intval($port) 确保端口号是一个整数。$errno 和 $errstr 用于捕获可能的错误信息。如果连接不能在 30 秒内建立,fsockopen 将返回 false。
if (!$fp){
echo "$errstr (error number $errno) \n"; //如果 $fp 为 false(即连接失败),则输出错误信息。
}
else {
$out = "GET $link HTTP/1.1\r\n";
$out .= "Host: $host\r\n"
$out .= "Connection: Close\r\n\r\n";
$out .= "\r\n"; fwrite($fp, $out); //构建 HTTP GET 请求的头部,使用 fwrite 函数将构建的 HTTP 请求发送到服务器
$contents='';
while (!feof($fp)){
$contents.= fgets($fp, 1024); //通过循环读取从服务器返回的响应内容,每次读取最多 1024 字节,直到文件结束(feof($fp) 返回 true)
}
fclose($fp);
return $contents; //关闭与服务器的连接,并返回读取到的内容。
}
}
?>
3.curl_exec():
使用curl发送请求获取数据。(Curl是一个强大的工具,可以用于从命令行或脚本发送HTTP请求。)
<?php
// 检查是否通过POST方法接收到了名为'url'的变量
if (isset($_POST['url'])) {
// 从POST数据中获取'url'的值,并赋值给$link变量
$link = $_POST['url'];
// 初始化一个cURL会话
$curlobj = curl_init();
// 设置cURL选项,指定此次请求为GET请求(CURLOPT_POST的值为0表示GET请求)
curl_setopt($curlobj, CURLOPT_POST, 0);
// 设置cURL选项,将curl_exec()返回的数据以字符串形式返回,而不是直接输出
curl_setopt($curlobj, CURLOPT_RETURNTRANSFER, TRUE);
// 执行cURL请求,并将返回的数据赋值给$result变量
$result = curl_exec($curlobj);
// 关闭cURL会话
curl_close($curlobj);
// 生成一个随机文件名,其中'./curled/'是文件存放的目录,rand()函数生成随机数作为文件名的一部分,'.txt'是文件扩展名
$filename = './curled/'.rand().'.txt';
// 将$result中的数据写入到$filename指定的文件中
file_put_contents($filename, $result);
// 输出$result的内容
echo $result;
}
?>
六、漏洞的判断
1.排除法:浏览器F12查看源代码看是否是在本地进行了请求 举例:该资源地址类型为 http://www.xxx.com/a.php?image=(地址)的就可能存在SSRF漏洞。
2、Dnslog等工具进行测试,查看是否被访问 生成一个域名用于伪造请求,看漏洞服务器是否发起 DNS 解析请求,若成功访问在 http://DNSLog.cn 上就会有解析日志。
3、抓包分析发送的请求是不是由服务器的发送的,如果不是客户端发出的请求,则有可能是,接着找 存在HTTP服务的内网地址。
4、访问日志检查:伪造请求到自己控制的公网服务器,然后在服务器上查看访问日志是否有来自漏洞 服务器的请求。
5、扫描工具
七、SSRF可以利用到的协议
常用的URL伪协议:
file:/// -- 本地文件传输协议,主要用于访问本地计算机中的文件
dict:// -- 字典服务器协议,dict是基于查询相应的TCP协议,服务器监听端口2628
sftp:// -- SSH文件传输协议(SSH File Transfer Protocol),或安全文件传输协议(Secure File Transfer Protocol)
ldap:// -- 轻量级目录访问协议。它是IP网络上的一种用于管理和访问分布式目录信息服务的应用程序协议
tftp:// -- 基于lockstep机制的文件传输协议,允许客户端从远程主机获取文件或将文件上传至远程主机
gopher:// -- 互联网上使用的分布型的文件搜集获取网络协议,出现在http协议之前,Gopher协议可以说是SSRF中的万金油。利用此协议可以攻击内网的 Redis、Mysql、FastCGI、Ftp等等,也可以发送 GET、POST 请求。这无疑极大拓宽了 SSRF 的攻击面。
gopher协议格式:URL:gopher://<host>:<port>/<gopher-path>_后接TCP数据流
?url=127.0.0.1/index.php/?url=gopher://127.0.0.1:80/_POST包
WEB常用的本地地址:/?url=file:///var/www/html/xxxx.php
例题(ctfhub中的伪协议读取文件)
八、SSRF漏洞的相关绕过
url解析规则
IP地址进制转换
302跳转
DNS重绑定
(1)@符号
对于一个 url 的访问实际上是以 @符后为准的,比如说 xxxx.com@10.10.10.10,则实际上访问的是 10.10.10.10 这个地址
(2)302跳转
网址后加 xip.io(xip.io可以指向任意域名)
其原理是例如 10.10.10.10.xip.io 会被解析成 10.10.10.10
(3)数字IP Bypass
IP进制转换/Enclosed Alphanumerics/特殊地址
进制转换
ip 转换为八进制十进制十六进制这种,同样也可以正常访问
(4)短网址绕过
https://0x9.me/cuGfD 推荐:http://tool.chinaz.com/tools/dwz.aspx、https://dwz.cn/
(5)添加端口号
例题(ctfhub中的端口扫描)
1.根据提示,猜测需要端口,想到使用bp抓包
2.根据提示设置参数
3.长度不一样的就是端口
(6)协议限制绕过
当url协议限定只为http(s)时,可以利用follow redirect 特性
构造302跳转服务,
结合dict:// file:// gopher://
九、 漏洞修复:
(1)使用地址白名单
(2)对返回内容进行识别
(3)需要使用互联网资源(比如贴吧使用网络图片)而无法使用白名单的情况:
首先禁用CURLOPT_FOLLOWLOCATION;然后通过域名获取目标ip,并过滤内部ip;最后识别返回的内容是否与假定内容一致
十、例题
(1)ctfhub中的POST请求
1.使用/?url=file:///var/www/html/flag.php来查看本地文件,通过代码大致可得需要用post传一个"key"参数,并且这个key要等于$key,这样才能输出flag
2.根据代码可得需要检查当前请求的 IP 地址是否为本机地址(127.0.0.1),所以使用使用http协议查看本地的flag.php文件,查看源代码,发现key
3.使用burp抓包,并发送到Repeater模块进行操作,构造一个简单的POST请求
gopher://127.0.0.1:80/_POST /flag.php HTTP/1.1
Host: 127.0.0.1:80
Content-Type: application/x-www-form-urlencoded
Content-Length: xxx(根据key)
key=xxxxxxxxxxxxxxxxxxxxxxxx
4.对该POST请求进行编码
5.将%0A全部改为%0D%0A,再进行编码
6.构造payload再在bp中发送,得到flag
1580
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
