SSRF简介及漏洞实现

Zombie_QP

于 2024-08-25 22:55:56 发布

阅读量356

点赞数 10

文章标签：网络 web安全安全

本文链接：https://blog.csdn.net/Zombie_QP/article/details/141536536

版权

一、SSRF简介

SSRF(Server-Side Request Forgery:服务器端请求伪造)

漏洞原理

SSRF(Server-Side Request Forgery:服务器端请求伪造)是——种由仅专构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF是要目标网站的内部系统。(因为他是从内部系统访问的，所有可以通过它攻击外网无法访问的内部系统，也就是把目标网站当中间人)

形成原因

SSRF形成的原因SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能，且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容，加载指定地址的图片，文档，等等。
首先，我们要对目标网站的架构了解，脑子了要有一个架构图。比如︰A网站，是一个所有人都可以访问的外网网站，B网站是一个他们内部的OA网站，我们普通用户只可以访问a网站，不能访问b网站。但是我们可以同过a网站做中间人，访问b网站，从而达到攻击b网站需求
在这里插入图片描述

正常用户访问网站的流程是:

输入A网站URL–>发送请求–>A服务器接受请求(没有过滤)，并处理–>返回用户响应[那网站有个请求是www.cJdboyedu,com/xxx.php?image=URL]
那么产生SSRF漏洞的环节在哪里呢?安全的网站应接收请求后，检测请求的合法性

产生的原因:

服务器端的验证并没有对其请求获取图片的参数(image=）做出严格的过滤以及限制，导致A网站可以从其他服务器的获取数据

SSRF用途:

攻击者利用ssrf可以实现的攻击主要有5种:

1.可以对外网、服务器所在内网、本地进行端口扫描，获取一些服务的banner信息;
2.攻击运行在内网或本地的应用程序（比如溢出);
3.对内网web应用进行指纹识别，通过访问默认文件实现;
4.攻击内外网的web应用，主要是使用get参数就可以实现的攻击（比如struts2，sqli等);
5.利用file协议读取本地文件等。

怎么找到SSRF漏洞?

1.能够对外发起网络请求的地方，就可能存在SSRF漏洞（在自己的网站上请求到别人的资源）
2.从远程服务器请求资源(Upload from URL,lmport & Export RSS feed)
3.数据库内置功能(Oracle、MongoDB、MSSQL、Postgres、CouchDB)
4.Webmail收取其他邮箱邮件(POP3/IMAP/SMTP)
5.文件处理,编码处理，属性信息处理(ffpmg,lmageMaic,DOGX,RD;XML处理器)

二、漏洞案例

ssrf题一

先将web-ssrfme使用docker起起来，访问8091端口
在这里插入图片描述

很明显有curl_exec()函数，是ssrf，但可以看到他将’file’,‘dict’,‘127.0.0.1’,'localhost’都过滤掉了，他的想法是阻止我们访问内网的端口和内网的文件数据
我们可以看到这个只要有info参数就可以看phpinfo信息，先看一下，能不能有我们想要的信息
在这里插入图片描述

可以看到这块的本地ip地址暴露出来，那么就绕过了127.0.0.1和localhost了，我们用http协议先试下能不能探测出端口，因为探测端口我们在前端看不出什么信息，那使用bp快速爆破下，查看报文的长度看能否爆出一些信息
在这里插入图片描述

扫ip：端口
bp：可以看到只有80端口有回应，这对我们的作用并不大
在这里插入图片描述

接着想，在真实项目中，不太可能只有一台主机，在一个内网中是有很多主机，并且地址也是同网段或者连续的，既然这个主机没有我们找到漏洞，那我们扫一下有没有别的主机就行
在这里插入图片描述

除了172.18.0.3还有一台0.2的主机，那么接下来看看0.2有哪些端口会让我们利用到
在这里插入图片描述

ok，这里发现172.18.0.2的6379端口是开放的
那就可以使用工具写木马
那么接下来就传webshell就可以了，在172.21.0.2的物理路径下传webshell，那么他的物理路径是啥，说实话，不知道，只能猜或者测试
一般情况下，都是放在/var/www/html下面，但不保证他会不会改，一般都是怕麻烦不会改的
接下来就可以用gopher工具了：
在这里插入图片描述

选择默认的路径“/var/www/html”，输入PHP Shell ，随便输个一句话木马<?php phpinfo();查看一下能否执行，能植入成功那么就代表能够入侵——入侵成功

我们可以先看一下他写入的内容是什么
在这里插入图片描述

发现是写入一个shell.php文件
在这里插入图片描述

回车之后发现浏览器执行的很快，几乎是没反应，大概率是失败，想了一下可能是url自动解码后再执行curl_exec时还需要在解码一次，所以我们编码后再试一次
那么我们在页面中按回车运行试试
但是结果不尽人意，页面没有如何变化，或许shell.php根本没有写入，也许是我们猜错了或者没有权限（权限太低了），不管怎样，都是没有成功
我们可以自己建一个字典或者用百度的字典来扫

然后我们再改一下路径，继续：
在这里插入图片描述

二次编码后再试一下

payload

?url=gopher://172.18.0.2:6379/_%2A1%0D%0A%248%0D%0Aflushall%0D%0A%2A3%0D%0A%243%0D%0Aset%0D%0A%241%0D%0A1%0D%0A%2422%0D%0A%0A%0A%3C%3Fphp%20phpinfo%28%29%3B%3F%3E%0A%0A%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%243%0D%0Adir%0D%0A%2420%0D%0A/var/www/html/upload%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%2410%0D%0Adbfilename%0D%0A%249%0D%0Ashell.php%0D%0A%2A1%0D%0A%244%0D%0Asave%0D%0A%0A
 在访问upload/shell.php