SSRF(服务端请求伪造)

最新推荐文章于 2024-08-20 11:20:58 发布
最新推荐文章于 2024-08-20 11:20:58 发布
阅读量983 收藏
点赞数
分类专栏: CTF攻防 文章标签: SSRF攻防介绍

SSRF 简介 

SSRF,Server-Side Request Forgery,服务端请求伪造,是一种由攻击者构造形成由服务器端发起请求的一个漏洞。一般情况下,SSRF 攻击的目标是从外网无法访问的内部系统。

漏洞形成的原因大多是因为服务端提供了从其他服务器应用获取数据的功能且没有对目标地址作过滤和限制。

攻击者可以利用 SSRF 实现的攻击主要有 5 种:

  1. 可以对外网、服务器所在内网、本地进行端口扫描,获取一些服务的 banner 信息
  2. 攻击运行在内网或本地的应用程序(比如溢出)
  3. 对内网 WEB 应用进行指纹识别,通过访问默认文件实现
  4. 攻击内外网的 web 应用,主要是使用 GET 参数就可以实现的攻击(比如 Struts2,sqli 等)
  5. 利用 file 协议读取本地文件等

SSRF 漏洞出现的场景 

  • 能够对外发起网络请求的地方,就可能存在 SSRF 漏洞
  • 从远程服务器请求资源(Upload from URL,Import & Export RSS Feed)
  • 数据库内置功能(Oracle、MongoDB、MSSQL、Postgres、CouchDB)
  • Webmail 收取其他邮箱邮件(POP3、IMAP、SMTP)
  • 文件处理、编码处理、属性信息处理(ffmpeg、ImageMagic、DOCX、PDF、XML)

常用的后端实现 

  1. file_get_contents

    <?php
if (isset($_POST['url'])) { 
    $content = file_get_contents($_POST['url']); 
    $filename ='./images/'.rand().';img1.jpg'; 
    file_put_contents($filename, $content); 
    echo $_POST['url']; 
    $img = "<img src=\"".$filename."\"/>"; 
}
echo $img;
?>

    这段代码使用 file_get_contents 函数从用户指定的 URL 获取图片。然后把它用一个随机文件名保存在硬盘上,并展示给用户。

  2. fsockopen()

    <?php 
function GetFile($host,$port,$link) { 
    $fp = fsockopen($host, intval($port), $errno, $errstr, 30); 
    if (!$fp) { 
        echo "$errstr (error number $errno) \n"; 
    } else { 
        $out = "GET $link HTTP/1.1\r\n"; 
        $out .= "Host: $host\r\n"; 
        $out .= "Connection: Close\r\n\r\n"; 
        $out .= "\r\n"; 
        fwrite($fp, $out); 
        $contents=''; 
        while (!feof($fp)) { 
            $contents.= fgets($fp, 1024); 
        } 
        fclose($fp); 
        return $contents; 
    } 
}
?>

    这段代码使用 fsockopen 函数实现获取用户制定 URL 的数据(文件或者 HTML)。这个函数会使用 socket 跟服务器建立 TCP 连接,传输原始数据。

  3. curl_exec()

    <?php 
if (isset($_POST['url'])) {
    $link = $_POST['url'];
    $curlobj = curl_init();
    curl_setopt($curlobj, CURLOPT_POST, 0);
    curl_setopt($curlobj,CURLOPT_URL,$link);
    curl_setopt($curlobj, CURLOPT_RETURNTRANSFER, 1);
    $result=curl_exec($curlobj);
    curl_close($curlobj);

    $filename = './curled/'.rand().'.txt';
    file_put_contents($filename, $result); 
    echo $result;
}
?>

    使用 curl 获取数据。

利用 SSRF 进行端口扫描 

根据服务器的返回信息进行判断,大部分应用不会判别端口,可通过返回的 banner 信息判断端口状态。

后端实现

<?php 
if (isset($_POST['url'])) {
    $link = $_POST['url'];
    $filename = './curled/'.rand().'txt';
    $curlobj = curl_init($link);
    $fp = fopen($filename,"w");
    curl_setopt($curlobj, CURLOPT_FILE, $fp);
    curl_setopt($curlobj, CURLOPT_HEADER, 0);
    curl_exec($curlobj);
    curl_close($curlobj);
    fclose($fp);
    $fp = fopen($filename,"r");
    $result = fread($fp, filesize($filename)); 
    fclose($fp);
    echo $result;
}
?>

构造一个前端页面

<html>
<body>
  <form name="px" method="post" action="http://127.0.0.1/ss.php">
    <input type="text" name="url" value="">
    <input type="submit" name="commit" value="submit">
  </form>
  <script></script>
</body>
</html>

请求非 HTTP 的端口可以返回 banner 信息。

或可利用 302 跳转绕过 HTTP 协议的限制。

辅助脚本

<?php
$ip = $_GET['ip'];
$port = $_GET['port'];
$scheme = $_GET['s'];
$data = $_GET['data'];
header("Location: $scheme://$ip:$port/$data");
?>

绕过姿势 

  1. 更改 IP 地址写法 例如192.168.0.1

    • 8 进制格式:0300.0250.0.1
    • 16 进制格式:0xC0.0xA8.0.1
    • 10 进制整数格式:3232235521
    • 16 进制整数格式:0xC0A80001
    • 还有一种特殊的省略模式,例如10.0.0.1这个 IP 可以写成10.1

  2. 利用 URL 解析问题 在某些情况下,后端程序可能会对访问的 URL 进行解析,对解析出来的 host 地址进行过滤。这时候可能会出现对 URL 参数解析不当,导致可以绕过过滤。 例如:

    • http://www.baidu.com@192.168.0.1/http://192.168.0.1请求的都是192.168.0.1的内容
    • 可以指向任意 ip 的域名xip.iohttp://127.0.0.1.xip.io/==>http://127.0.0.1/
    • 短地址http://dwz.cn/11SMa==>http://127.0.0.1
    • 利用句号127。0。0。1==>127.0.0.1
    • 利用 Enclosed alphanumerics

SSRF防御

  • 服务器开启 OpenSSL 无法进行交互利用
  • 服务端需要鉴权(Cookies & User:Pass)不能完美利用
  • 限制请求的端口为 http 常用的端口,比如,80,443,8080,8090。
  • 禁用不需要的协议。仅仅允许 http 和 https 请求。可以防止类似于 file:///,gopher://,ftp:// 等引起的问题。
  • 统一错误信息,避免用户可以根据错误信息来判断远端服务器的端口状态。

本文来源:https://ctf-wiki.github.io/ctf-wiki/web/ssrf/#ssrf_2

 

han_code
关注
专栏目录
web安全渗透测试十大常规项(一):web渗透测试之SSRF服务端请求伪造
HACKONE的博客
06-16 69
可以防止类似于file:///,gopher://,ftp:// 等引起的问题。10.编码处理, 属性信息处理,文件处理:比如ffpmg,ImageMagick,docx,pdf,xml处理器等。file:/// 从文件系统中获取文件内容,如,file:///etc/passwd。3,限制请求的端口为http常用的端口,比如,80,443,8080,8090。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)http:// Web常见访问,如http://127.0.0.1。
CSRF(跨站请求伪造)和SSRF(服务端请求伪造)漏洞复现:风险与防护方法
weixin_43263566的博客
08-30 824
CSRF漏洞指的是攻击者利用受害者的身份,在其不知情的情况下发送恶意请求给目标网站。由于目标网站无法区分恶意请求和正常请求,因此会执行该请求。这使得攻击者能够以受害者的名义执行一些不被授权的操作,例如更改密码、发表言论、转账等。不过我这里是测试就直接在浏览器打开脚本复现成功,其他类型的攻击方式操作也是这样。SSRF漏洞指的是攻击者通过操纵目标Web应用程序中的请求来发起伪造请求。攻击者利用这种漏洞可以访问应用程序所在服务器上的本地资源,或者攻击内部网络中的其他系统,并执行恶意操作。
CTFhub-ssrf-POST请求
qq_51553814的博客
08-11 3994
CTFhub-ssrf-POST请求 解题 进入靶场,首先看到的是一片空白,没有任何返回,甚至看源码里面也没有任何东西 使用dirsearch扫描,扫出了一个文件/index.php 还有一个flag.php,我是在网上看WP才知道有这个文件,看了很多篇WP都没有说这个文件怎么来的,只是直接说发现了这个文件 现在先来看一看这两个文件吧 首先是flag.php文件,我们让url=127.0.0.1/flag.php,通过内网来访问就能直接访问到了,访问后是一个方框 再看源码发现,需要用post传输一个key
SSRF 服务端请求伪造
dichu8371的博客
10-12 382
SSRF 服务端请求伪造 SSRF 简介¶ SSRF,Server-Side Request Forgery,服务端请求伪造,是一种由攻击者构造形成由服务器端发起请求的一个漏洞。一般情况下,SSRF 攻击的目标是从外网无法访问的内部系统。 漏洞形成的原因大多是因为服务端提供了从其他服务器应用获取数据的功能且没有对目标地址作过滤和限制。 攻击者可以利用 SSRF 实现的攻击...
SSRF服务器请求伪造
最新发布
YhMjQx的博客
08-20 649
本篇主要讲解SSRF服务器请求伪造漏洞并复现漏洞和利用,以及如何绕过与防御
浅谈 SSRF 服务器端请求伪造攻击与防御
枫梓林のBlog
05-06 1067
浅谈 SSRF 服务器端请求伪造攻击与防御 文章目录浅谈 SSRF 服务器端请求伪造攻击与防御0x01 SSRF 服务器端请求伪造简介1.SSRF 常见用途2.SSRF 常见位置3.常见的 URL 关键字0x02 pikachu 环境搭建0x03 SSRF 漏洞实践-端口扫描-任意文件读取1.端口扫描2.任意文件读取0x04 SSRF-gopher 协议扩展利用-内网发起 GET/POST 请求1.Gopher 简介2.Gopher 语法演示3.Gopher 发送 GET 请求4.Gopher 发送 POS
SSRF-服务器端请求伪造
AmyBaby00的博客
02-23 359
漏洞产生: SSRF-服务器端请求伪造是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF是要目标网站的内部系统。 (因为他是从内部系统访问的,所有可以通过它攻击外网无法访问的内部系统,也就是把目标网站当中间人) SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,文...
SSRF学习(4)Gopher协议POST请求
m0_64417923的博客
05-13 1206
和前两题一样,先使用file:///协议 http://127.0.0.1/flag.php 得到一个输入框 右键查看源代码: 得到key key=f80bb4e68df72b3f98569b958219be05 所以应该是通过key进入,从而得到flag,但是没有提交的按钮,所以我们要自己构造post请求,将这个key发送过去。 用gopher协议构造post请求: <?php ​ error_reporting(0); ​ if ($_SERVER["REM...
SSRF 服务端请求伪造, 简介,SSRF实验, 漏洞探测, 绕过技巧, SSRF防御_json格式绕过ssrf
2401_83739434的博客
04-12 632
(,)是一种恶意网络行为, 攻击者可以利用这种漏洞发送来自服务器的请求,以访问或操作服务器通常无法访问的内部资源。SSRF通常存在于应用程序中,该应用程序接受用户提供的URL,并基于该URL发出服务器端的HTTP请求。 2. fsockopen() 3. curl_exec() 三, SSRF 漏洞实验 SSRF的利用条件:URL地址可控, 后台页面没有对URL进行正确的校验, 在页面当中最好有输出方式一: file_get_contents()函数: 方式二: curl请求: 2. 利用漏洞脚本发送
【burpsuite安全练兵场-服务端9】服务端请求伪造SSRF漏洞-7个实验(全)
01-11 9169
【BP靶场portswigger-服务端9-服务端请求伪造SSRF漏洞】7个实验-万文详细步骤
SSRF服务器端请求伪造漏洞之——攻防实战与防范方法
温柔小薛的博客
04-10 1072
攻防实战与防范方法 bWAPP 中的 SSRF 给出了 3 个小实验来说明 SSRF 的利用场景 任务 1:使用远程文件包含进行端口扫描(内网探测) 点击任务 1 中的 Port scan 可以获得一份端口扫描的攻击脚本 仅需要包含脚本,并请求 IP 参数为对应的主机即可,接下来就是利用 bWAPP 中的远程文件包含漏洞,执行端口扫描的脚本 Choose your bug 中选择 Remote ...
SSRF(Server-Side Request Forgery):服务器端请求伪造
打代码的小女孩
12-23 1649
0X00 SSRF介绍 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限...
SSRF服务器端请求伪造漏洞精讲+实验(一个课程讲透)
m0_60091038的博客
07-10 207
实验所需环境:vmware;kali虚拟机一台;windows server一台;有docker环境的Linux虚拟机 1、CSRF、SSRF搞不清楚? 2、SSRF原理是什么?危害大小?如何利用SSRF获取主机权限?如果使用Python提高挖洞效率? 3、Gopher协议、Dict协议?完全没听过啊,没关系,看完课程后你门清。 4、SSRF渗透Redis数据库,Redis客户端和服务器端怎么通信?通信报文是怎么样的?看这里就行。 5、SSRF渗透Struts2总是失败?不知道如何编码?不知道如何
Web进阶漏洞-SSRF服务器端请求伪造
Swee
07-27 341
ssrf(server—side request forgery)服务器端请求伪造定义:利用漏洞伪造服务发起请求,从而突破客户端获取不到数据的限制。 SSRF漏洞产生环节:目标网站接受请求后在服务器端验证请求是否合法。 服务器端的验证并没有对其请求获取图片的参数(image=)做出严格的过滤以及限制,导致可以从其他服务器获取一定量的数据。 比如我们请求www.xxx.com/a.php?image=1.jpg 可以改为:www.xxx.com/a.php?image=www.abc.com/1.jpg 这样
SSRF(Server-Side Request Forgery)服务器端请求伪造
sunxingstar的博客
08-24 2795
SSRF形成的原因大都是因为服务器提供了从其他服务器应用数据的功能且没有对目 标地址过过滤与限制,如从指定的URL地址获取网页文本内容,加载图片等. 攻击内网应用,主要针对使用GET请求就可以实现的攻击,如Struts2漏洞、SQL注 入 . 借助其他协议攻击应用,如gopher、file、dict ...
ssrf漏洞修复_[漏洞通告]jackson2642/jacksondatabind && Fastjson SSRF(服务器端请求伪造)...
weixin_30325819的博客
12-27 508
漏洞描述近日,亚信安全网络攻防实验室跟踪到jackson-databind新增一个黑名单类,由threedr3am提交.该类来源于JDK,不需要依赖任何jar包,该类主要可用于SSRF(服务器端请求伪造).SSRF漏洞的危害,本文不多作赘述.漏洞编号Jackson内部编号2642漏洞威胁等级中危不受影响范围jackson-databind >= 2.9.10.4jackson-da...
SSRF服务端请求伪造漏洞
m0_57379855的博客
03-11 680
SSRF服务端请求伪造漏洞SSRF服务端请求伪造漏洞php-curl扩展curl其他协议php危险函数SSRF利用方式pikachuSSRFSSRF修复防御 SSRF服务端请求伪造漏洞 服务端请求伪造攻击(Server-side Request Forgery) 很多web应用都提供了从其他的服务器上获取数据的功能。 使用用户指定的URL, web应用可以获取图片。下载文件,读取文件内容等。 这个功能如果被恶意使用,可以利用存在缺陷的web应用作 为代理攻击远程和本地的服务器.这种形式的攻击称为服务端请求
Mat深度解析:SSRF漏洞实战与防御策略
这种攻击形式就被称为服务端请求伪造SSRF)。 讲座中提到,SSRF的潜在危害包括但不限于: 1. **信息收集**:通过SSRF,攻击者可以执行端口扫描,获取内网和本地网络的服务信息,甚至识别内网Web应用的指纹。 2. *...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值