SSRF
1、SSRF漏洞介绍:
SSRF漏洞(服务器端请求伪造):是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)。
2、SSRF漏洞原理:
SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。利用的是服务端的请求伪造。SSRF是利用存在缺陷的web应用作为代理攻击远程和本地的服务器。
各个协议调用探针:http,file,dict,ftp,gopher等。
3、SSRF漏洞利用手段:
(1)可以对外网、内网、本地进行端口扫描,某些情况下端口的Banner会回显出来(比如3306的);
(2)攻击运行在内网或本地的有漏洞程序(比如溢出);
(3)可以对内网Web应用进行指纹识别,原理是通过请求默认的文件得到特定的指纹;
(4)攻击内网或外网有漏洞的Web应用;
(5)使用file:///协议读取本地文件(或其他协议)
4、SSRF漏洞绕过方法:
(1)@ http://abc.com@127.0.0.1
(2)添加端口号 http://127.0.0.1:8080
(3)短地址 https://0x9.me/cuGfD
(4)可以指向任意ip的域名 xip.io
(5)ip地址转换成进制来访问 192.168.0.1=3232235521(十进制)
(6)非HTTP协议
(7)DNS Rebinding
SSRF(curl)用法
我们先看下curl的用法:https://www.runoob.com/php/php-ref-curl.html
PHP支持的由Daniel Stenberg创建的libcurl库允许你与各种的服务器使用各种类型的协议进行连接和通讯。
libcurl目前支持http、https、ftp、gopher、telnet、dict、file和ldap协议。libcurl同时也支持HTTPS认证、HTTP POST、HTTP PUT、 FTP 上传(这个也能通过PHP的FTP扩展完成)、HTTP基于表单的上传、代理、cookies和用户名+密码的认证。
发现这里出现了一个url地址:url=http://127.0.0.1/vul/ssrf/ssrf_info/info1.php
因为curl支持很多协议,我们就可以做以下尝试:
1、通过网址访问链接
比如说修改url为:url=http://www.baidu.com,访问百度页面:
2、利用file协议查看本地文件
修改url为:url=file:///etc/passwd,查看文件的内容
不能读取php文件,可能会显示php文件中的注释
3、dict协议扫描内网主机开放端口
使用dict协议可以获取内网主机开放端口相应服务的指纹信息,比如说内网主机开了mysql端口的话,
可以修改url为:url=dict://127.0.0.1:3306
dict 协议是一个在线网络字典协议,这个协议是用来架设一个字典服务的。不过貌似用的比较少,所以网上基本没啥资料(包括谷歌上)。可以看到用这个协议架设的服务可以用 telnet 来登陆,说明这个协议应该是基于 tcp 协议开发的。
所以像 mysql 的服务,因为也是基于 tcp 协议开发,所以用 dict 协议的方式打开也能强行读取一些 mysql 服务的返回内容
如果探测出redis
redis的未授权访问:redis的低版本时大部分人不设置访问密码,并且安全模式关闭就可以:
webshell:前提是知道物理路径
写入任务计划:反弹shell,反弹服务器权限
写入公钥:可以不用账号密码登陆服务器
4.gopher:威胁最大
使用ssrf和gopher直接将webshell写入服务器:
gopherus:
在/var/www/html下写入webs hell;
清空,把写入的value写入到shell.php下,落盘在/var/www/html
反弹shell:
/var/spool/cron/这是任务计划的一个目录,会以root权限执行任务计划
287
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
