【SSRF01】服务器端请求伪造——漏洞基础原理及攻防

已于 2022-07-01 03:42:10 修改
阅读量6k 收藏 4
点赞数 1
分类专栏: # 筑基07:WEB漏洞原理 文章标签: 安全 web安全 http SSRF 请求伪造
于 2022-03-15 18:21:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fighting_hawk/article/details/123492599
版权

目录

1 基础知识

1.1 概述

  1. 背景:互联网上的很多Web应用提供了从其他服务器(也可以是本地)获取数据的功能,使用用户指定的URL,Web应用可以获取图片、文件资源(下载或读取)。
  2. 定义:SSRF (Server-Side Request Forgery),服务器端请求伪造,是一种由攻击者构造请求,由服务端发起请求的安全漏洞。 请求伪造,顾名思义就是攻击者伪造正常的请求,以达到攻击的目的,就是常见的Web安全漏洞之一。如果“请求伪造”发生在服务器端,那么这个漏洞就叫做“服务器端请求伪造”即SSRF。
  3. 例如:百度识图功能。
    用户可以从本地或URL的方式获取图片资源,交给百度识图处理。如果提交的是URL地址,该应用就会通过URL寻找图片资源。如果Web应用开放了类似于百度识图这样的功能,并且对用户提供的URL和远端服务器返回的信息没有进行合适的验证或者过滤,就可能存在“请求伪造”的缺陷。.

1.2 原理

  1. SSRF漏洞成因:
    (1)服务端提供了从其他服务器应用获取数据的功能;
    (2)服务端对目标地址做过滤与限制 。
  2. 攻击目标:一般情况下 , SSRF攻击的目标是外网无法访问的内部系统(正因为请求是由服务端发起的,所以服务端能请求到与自身相连而与外网隔离的内部系统)。

1.3 危害

  1. 对外网、服务器所在内网、本地进行端口扫描,获取一些服务的banner信息。
  2. 攻击运行在内网或本地的应用程序。
  3. 对内网 Web应用进行指纹识别,识别企业内部的资产信息 。
  4. 攻击内外网的Web应用,主要是使用 HTTP GET请求就可以实现的攻击(比如struts2 、 SQli等) 。
  5. 利用自file协议读取本地文件等 。

2 攻击

2.1 实验环境

  1. 在服务器端实现通过URL从服务器(外部或内部)获取资源的功能方法有很多,此处使用PHP语言和curl扩展实现该功能。
  2. 在虚拟机中部署WAMP环境,参考文章《win2008R2SP1+WAMP环境部署》。
  3. PHP+curl简介:
    PHP 支持 Daniel Stenberg 创建的 libcurl 库,能够连接通讯各种服务器、使用各种协议。libcurl 目前支持的协议有 http、https、ftp、gopher、telnet、dict、file、ldap。 libcurl 同时支持 HTTPS 证书、HTTP POST、HTTP PUT、 FTP 上传(也能通过 PHP 的 FTP 扩展完成)、HTTP 基于表单的上传、代理、cookies、用户名+密码的认证。
  4. 查看curl扩展功能支持:利用PHP探针函数phpinfo()函数可以查看靶机服务器是否支持curl扩展,以及所支持curl的版本。现在大部分WAMP套件均支持curl。
    在这里插入图片描述
  5. 假设服务器根目录下有SSRF.php文件,文件内代码如下,同时在根目录新建文件夹并命名为curled。下文攻击方式将利用该网页进行。
<?php
if (isset($_REQUEST['url'])){
	$link=$_REQUEST['url'];
	$filename='./curled/'.time().'.txt';//代码读取url后将内容写入到该文件夹下的新建文件中
	$curlobj=curl_init($link);
	$fp=fopen($filename,"w");
	curl_setopt($curlobj,CURLOPT_FILE,$fp);
	curl_setopt($curlobj,CURLOPT_HEADER,0);
	curl_setopt($curlobj,CURLOPT_FOLLOWLOCATION,TRUE);
	curl_exec($curlobj);
	curl_close($curlobj);
	fclose($fp);
	$fp=fopen($filename,"r");
	$result=fread($fp,filesize($filename));
	fclose($fp);
	echo $result;
}else{
	echo "?url=[url]";
}
?>

2.2 利用方式

2.2.1 正常访问

  1. 真实机打开浏览器,访问192.168.1.4/SSRF.php?url=http://www.baidu.com,可以看到网页显示如下。
    在这里插入图片描述
  2. 打开靶机服务器根目录下surled文件夹,可以看到生成一个txt文件,打开后内容如下。这个是输入url对应网站的网页代码。
    在这里插入图片描述
  3. 在真实机浏览器中,访问192.168.1.4/SSRF.php?url=http%3A%2F%2Fww3.sinaimg.cn%2Fbmiddle%2F9150e4e5ly1fjfwjgxuwoj20jg0ax428.jpg,可以看到网页显示如下:
    在这里插入图片描述
  4. 打开靶机服务器curled文件夹,将新生成的txt文件后缀修改为jpg,保存后打开,可以看到文件按图片显示。也就是说该网页没有根据文件格式进行针对性的渲染,只是将代码以文本形式展示出来。
    在这里插入图片描述
  5. 真实机浏览器访问192.168.1.4/SSRF.php?url=http://www.baidu.com/robots.txt,当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。更多robots协议更多内容请查看百度百科介绍。
    在这里插入图片描述

2.2.2 端口扫描

  1. 真实机浏览器访问192.168.1.4/SSRF.php?url=dict://192.168.1.4:80,页面显示如下,成功带回服务器信息,说明端口开启着。
    在这里插入图片描述
  2. 真实机浏览器访问192.168.1.4/SSRF.php?url=dict://192.168.1.4:8080,页面显示如下,说明端口未开启。
    在这里插入图片描述
  3. 服务器所处的内网环境是外网难以直接访问的(思考NAT相关原理),但是服务器处于内网环境中,相比于外网将更容易访问内网资源,或者扫描内网端口。真实机浏览器访问192.168.1.4/SSRF.php?url=dict://192.168.1.2:21,显示如下,说明内网该机器不存在或未开发该端口。
    在这里插入图片描述

2.2.3 读取系统本地文件

利用file协议可以任意读取系统本地文件,真实机浏览器访问192.168.1.4/SSRF.php?url=file://c:\windows\system32\drivers\etc\hosts。可以看到成功读取到服务器本地的hosts文件。
在这里插入图片描述

2.2.4 内网Web应用指纹识别

  1. 识别内网应用使用的框架、平台、模块以及CMS信息,可以为后续的渗透测试提供很多帮助。大多数Web应用框架都有一些独特的文件和目录。通过这些文件可以识别出应用的类型,甚至详细的版本,根据这些信息就可以针对性地收集漏洞进行攻击。
  2. 真实机浏览器访问192.168.1.4/SSRF.php?url=http://192.168.1.4/phpmyadmin/README
    在这里插入图片描述

2.2.5 攻击内网应用

  1. 内网的安全通常都很薄弱,溢出、弱口令等一般都是存在的。通过SSRF攻击,可以实现对内网的访问,从而可以攻击内网应用或者本地及其,获取Shell,这里的应用包括服务、Web应用等。
  2. 通过GET方法可以攻击的Web应用有很多,比如struts2命令执行等。

2.3 绕过

当进行SSRF漏洞利用时,可能会存在服务器对所请求进行检验,比如说是否含有具体域名或网站格式等,如果在这样的限制条件下想要访问内网IP,可以尝试:

  1. 使用url=http://www.x.com@10.0.0.1,该命令实际上访问的是IP地址10.0.0.1。要理解该URL是如何被浏览器解析地,要先了解URL的构成,明白@后面的才是真实访问的域名。
  2. 将IP地址进行进制转换。

3 漏洞挖掘

  1. 对外发起网络请求的地方都有可能存在SSRF漏洞,如图片加载下载、分享页面、在线翻译、未公开的api(从远程服务器请求资源文件处理、编码处理、属性信息处理等)。具体可以根据以下关键信息进行判断识别。
  2. 从Web功能上进行漏洞挖掘:
    1. 分享型:通过URL地址分享网页内容;
    2. 转码服务型:通过URL地址把原地址的网页内容调优使其适合手机屏幕浏览;
    3. 在线翻译:通过URL地址翻译对应文本的内容,提供此功能的国内公司有百度、有道等;
    4. 图片加载下载:通过URL地址加载或下载图片;
    5. 图片文件收藏功能;
    6. 未公开的api实现以及其他调用URL功能。
  3. 从URL中的关键字进行挖掘:
    1. share;
    2. wap
    3. url
    4. link
    5. src
    6. source
    7. target
    8. u
    9. 3g
    10. display
    11. sourceURL
    12. imageURL
    13. domain

4 防御

  1. 限制协议:
    限制请求的端口只能为Web端口,只允许访问 HTTP和HTTPS 的请求,禁止其他协议。了解一下Gopher协议在SSRF漏洞中的应用,详见参考文献。
  2. 限制IP:
    1. 目的:避免应用被用来获取内网数据,攻击内网。
    2. 对传入的url进行过滤,将符合内网IP特征的信息过滤掉。
  3. 限制端口:
    1. 限制请求的端口为http常用的端口,比如80、443、8080、8090等。
    2. 对于其他异常端口则进行过滤,如3306等。
  4. 过滤返回信息:
    验证并过滤远程服务器对请求的响应,是比较简单防御方法。比如说原本服务器这个功能是用来识图的,那么如果接受到的响应发现不是一张图片,则过滤掉。
  5. 统一错误信息:
    避免攻击者根据错误信息来判断远端服务器的端口状态,比如错误信息全部改为404。

5 总结

  1. 理解SSRF漏洞的攻击原理;
  2. 掌握SSRF漏洞的挖掘方式;
  3. 掌握SSRF漏洞的攻击方式和利用方式;
  4. 掌握SSRF漏洞的防御方式。

参考文献

  1. curl扩展官方手册
  2. URI和URL的区别比较与理解
  3. Gopher协议在SSRF漏洞中的深入研究
Fighting_hawk
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSRF-Testing:SSRF(服务器端请求伪造)测试资源
04-23
SSRF(服务器端请求伪造)测试资源 基于快速URL的绕过: http://google.com:80+&@127.88.23.245:22/#[email protected]:80/ http://127.88.23.245:22/+&@google.com:80#[email protected]:80/ http://google.com:80+&@google.com:80#[email protected]:22/ http://127.88.23.245:22/[email protected]:80/ http://127.88.23.245:22/#@www.google.com:80/ http://google.com:80\\@127.88.23.245:22/ htaccess-各种情况下的重定向测试 状态码:300、301、302、303、305、307、308 文件类型:jpg,
服务端请求伪造(SSRF)
weixin_52963334的博客
09-16 148
十大漏洞服务端请求伪造
SSRF:服务端请求伪造攻击
qq_68163788的博客
02-06 1722
SSRF(Server-Side Request Forgery)是一种网络安全攻击,攻击者利用受害服务器发起网络请求,通常是利用受害服务器的信任关系来获取敏感信息或者攻击内部系统。攻击者可以通过构造恶意的请求,使受害服务器发起对内部系统的请求,从而获取内部系统的信息或者执行未经授权的操作。 SSRF攻击通常利用受害服务器对外部资源的访问权限,比如对外部URL的访问或者对内部系统的访问权限,来发起攻击。攻击者可以通过构造恶意的URL,使受害服务器发起对内部系统的请求,从而获取敏感信息或者执行恶意操作。
服务端请求伪造SSRF)及漏洞复现
weixin_58954236的博客
09-05 1719
服务器会根据用户提交的URL 发送一个HTTP 请求。使用用户指定的URL,Web 应用可以获取图片或者文件资源等。典型的例子是百度识图功能。如果没有对用户提交URL 和远端服务器所返回的信息做合适的验证或过滤,就有可能存在“请求伪造”的缺陷。“请求伪造”,顾名思义,攻击者伪造正常的请求,以达到攻击的目的。如果“请求伪造”发生在服务器端,那这个漏洞就叫做“服务器端请求伪造”,英文名字Server Side Request Forgery,简称SSRF。
ChatGPT成必备技能!超九成企业想雇佣了解ChatGPT的员工
04-28
据求职服务企业Resume Builder调查显示,目前正在招聘的企业中,91%的人想要有ChatGPT 经验的员工。 据了解,ResumeBuilder的研究人员在今年4月份调查了1187名商业领袖,以了解他们对人工智能聊天机器人的看法。这些商业领袖包括CEO、高管、老板和合伙人,他们的大多数人目前都在招聘。 ChatGPT成必备技能!超九成企业想雇佣了解ChatGPT的员工 在招聘具有ChatGPT经验的员工的公司中,三分之二的认为,这些技能可以为他们的公司带来竞争优势。他们最有可能为软件工程部门招聘具有ChatGPT经验的员工,其次是客户服务、人力资源和营销部门。 企业希望ChatGPT能替代重复、无意义、枯燥的低端工作,同时又想让它能辅助高级人才实现更高的商业价值,例如,ChatGPT自动生成多份广告文案,创意人员在此基础上进行优化、整合等。 ChatGPT成必备技能!超九成企业想雇佣了解ChatGPT的员工 此外,这些公司招聘具有 ChatGPT 经验的员工有多个好处,以下是一些主要原因: 1、ChatGPT 经验丰富的员工可以给公司带来更多的创意和技术支持,这
ChatGPT杀疯了!程序员或将被淘汰
04-11
ChatGPT杀疯了!程序员或将被淘汰
漏洞修复-服务端请求伪造SSRF)
路辉的博客
03-31 1722
点击上方名片关注我,为你带来更多踩坑案例- 什么是SSRF-SSRF(Server-Side Request Forgery,服务器端请求伪造) 是一种由攻击者构造请求,由服务端发起请求的一个安全漏洞。一般情况下,SSRF 攻击的目标是从外网无法访问的内部系统,因为服务器请求天然可以穿越防火墙。漏洞形成的原因大多是因为服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做正...
网络安全进阶学习第四课——SSRF服务器请求伪造
p36273的博客
07-01 952
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是指攻击者能够从易受攻击的Web应用程序发送精心设计的请求的对其他网站进行攻击。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统,也就是内网。利用一个可以发起网络请求的服务,当做跳板来攻击其它服务。
web安全第九天:服务器端请求伪造漏洞SSRF
cc777777777的博客
03-05 794
web安全第十天:服务器端请求伪造漏洞SSRF
API安全——SSRF服务端请求伪造原理以及防范
Demonslzh的博客
06-18 1811
SSRF(服务器端请求伪造)是一种安全漏洞,在最新的OWASP的API安全问题Top10榜单中,它允许攻击者引诱服务器发起服务器本不打算进行的请求。、
漏洞篇(SSRF 服务器端请求伪造
m0_58001548的博客
04-19 715
SSRF(Server-Side Request Forgery:服务器端请求伪造)通过篡改 HTTP 请求中的资源地址发送给服务器,服务器没有校验请求的合法性,服务器解析用户传递过来的请求,处理之后返回给用户。例如:1. HTTP 请求:www.xuegod.cn/xxx.php?2. 服务器接收到请求之后获取图片3. 服务器获取到图片后将图片返回给用户。问题产生在第二步,服务器会向第三方站点发送请求并获取资源文件,如果网站对资源文件的地址没。
SSRF服务端请求伪造攻击-漏洞银行大咖面对面10-Mat
07-31
SSRF服务端请求伪造攻击-漏洞银行大咖面对面10-Mat
ssrfuzz:SSRFuzz是使用CRLF链接功能查找服务器端请求伪造漏洞的工具。
05-07
SSRFUZZ SSRFuzz是使用CRLF链接功能查找服务器端请求伪造漏洞的工具。 为什么? 我想用Golang编写并发工具 我想模糊参数SSRF vulnerablities,以及模糊的CRLF注入两条路径及参数 Orange的工作使我将这些类型的漏洞链接在一起,这使我受到启发( ) 安装 运行以下命令以安装intsall go get -u github.com/ryandamour/ssrfuzz 用法 ██████ ██████ ██▀███ █████▒█ ██ ▒███████▒▒███████▒ ▒██ ▒ ▒██ ▒ ▓██ ▒ ██▒▓██ ▒ ██ ▓██▒▒ ▒ ▒ ▄▀░▒ ▒ ▒ ▄▀░ ░ ▓██▄ ░ ▓██▄ ▓██ ░▄█ ▒▒████ ░▓██ ▒██░░ ▒ ▄▀▒░ ░ ▒ ▄▀▒░
国内可用ChatGPT网站大集合.zip
05-29
国内可用ChatGPT网站大集合.zip
ChatGPT 标注指南来了!数据是关键.pdf
06-05
ChatGPT 标注指南来了!数据是关键.pdf
ChatGPT原理详解!!!!
04-17
ChatGPT比较详细的讲解原理知识
SSRF_Vulnerable_Lab:本实验包含易受服务器端请求伪造攻击的示例代码
05-12
服务器端请求伪造SSRF)易受攻击的实验室该存储库包含容易受到服务器端请求伪造SSRF)攻击PHP代码。 我想对@ albinowax,AKReddy,Vivek Sir(感谢一直以来支持我的杰出人物),Andrew Sir-@vanderaj(感谢他的...
008-Web安全基础4 - 请求伪造漏洞.pptx
10-11
SSRF是一种由攻击者构造形成由服务端发起请求的一个安全漏洞 一般情况下,SSRF攻击的目标是从外网无法访问的内部系统 可以对外网、内网、本地进行端口扫描,某些情况下端口的Banner会回显出来(比如3306的) 使用...
全视通智慧手术室对讲方案,让手术更安全更高效
最新发布
2301_78035670的博客
04-24 447
全视通智慧手术室对讲方案通过整合等候区公告屏、医护主机、手术间门口机、复苏室主机等多个模块和设备,专用于手术室、护士站、谈话间、复苏室、器械室和其他协同部门,实现了对手术流程的全面管理和监控。
ssrf服务器请求伪造
07-22
关于 SSRF (Server-Side Request Forgery) 的问题,我可以为你提供一些基本的信息。SSRF 是一种安全漏洞,攻击者可以利用它来伪造服务器发出的请求。攻击者可以通过构造恶意请求,使服务器发送请求到内部网络或其他受保护的资源。 为了防止 SSRF 攻击,有几个建议和防护措施可以考虑: 1. 输入验证和过滤:对用户输入进行严格的验证和过滤,确保输入的 URL 是合法的,并且只允许访问可信的资源。 2. 白名单:限制服务器可以访问的资源范围,使用白名单来限制服务器发出请求的目标。 3. 限制协议和端口:限制服务器可以使用的协议和端口,防止服务器发出恶意请求。 4. 安全配置:确保服务器的安全配置是正确的,包括限制服务器的访问权限和网络隔离。 5. 日志监控:监控服务器的访问日志,及时发现和响应可能的攻击行为。 以上只是一些基本的防护措施,对于特定环境和应用程序,可能需要更具体的安全措施来保护系统免受 SSRF 攻击。同时,及时更新和维护服务器和应用程序的安全补丁也是非常重要的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值