目录
四. Pikachu SSRF之file_getcontent
一. 漏洞原理
SSRF(Server-Side Request Forgery,服务器端请求伪造)是一种由攻击者构造请求,由服务器端发起请求的安全漏洞,本质上是属于信息泄露漏洞。ssrf攻击的目标是从外网无法访问的内部系统(正是因为他是有服务器端发起的,所以他能够请求到与他相连而与外网隔离的内部系统)
很多web应用都提供了从其他的服务器上获取数据的功能(百度识图,给出一串URL就能识别出图片)。使用用户指定的URL,web应用可以获取图片,下载文件,读取文件内容等。这个功能如果被恶意使用,可以利用存在缺陷的web应用作为代理,攻击远程和本地的服务器。一般情况下, SSRF攻击的目标是外网无法访问的内部系统,黑客可以利用SSRF漏洞获取内部系统的一些信息 。( 正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统 )。SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制 。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。
SSRF主要攻击方式如下
攻击者想要访问主机B上的服务,但是由于存在防火墙或者主机B是属于内网主机等原因导致攻击者无法直接访问主机B。而主机A存在SSRF漏洞,这时攻击者可以借助主机A来发起SSRF攻击,通过主机A向主机B发起请求,从而获取主机B的一些信息。
PHP中下面函数的使用不当会导致SSRF,根据后台使用的函数的不同,对应的影响和利用方法又有不一样
- curl_exec()
- file_get_contents()
- fsockopen()
二. 漏洞危害
- 利用file协议读取本地文件
- 对服务器所在内网、本地进行端口扫描,获取一些服务的banner信息
- 攻击运行在内网或本地的应用程序
- 对内网web应用进行指纹识别,识别企业内部的资产信息
- 攻击内外网的web应用,主要是使用HTTP GET请求就可以实现的攻击
三. Pikachu SSRF之CURL
下面以SSRF之curl进行漏洞利用的介绍,如下我们点击
发现向web机器发起了http请求,请求读取当前主机的一个文件
那我是不是可以把地址给改一下,读取别的主机的文件了?如下,成功读取别的主机文件。http或者https都行
源码解读
pikachu ssrf主要源码如下,通过curl_init函数对获取的url发送请求(不设置请求头,不设置ssl)并获取内容,但是这里传递url的时候没有做任何的过滤,导致了ssrf漏洞
攻击环境搭建
这里搭建三台主机:web服务器A(靶场),内网主机B,攻击机。主机A和B可以相互访问,攻击机可以访问A,但是访问不了B。由于A存在SSRF,所以攻击机可以利用A去攻击B
SSRF漏洞利用
- pikachu靶场
- win7、kali2020
SSRF漏洞的利用所涉及的协议有:
-
file协议: 只能读取当前被攻击机的文件,内网机器文件不能读取
-
dict协议:泄露安装软件版本信息,查看端口,操作内网redis服务等
-
gopher协议:gopher支持发出GET、POST请求。可以先截获get请求包和post请求包,再构造成符合gopher协议的请求。gopher协议是ssrf利用中一个最强大的协议(俗称万能协议)。可用于反弹shell
-
http/s协议:探测内网主机存活
1. file协议获取本地信息
windows下:
可以读取本地系统文件和源码文件
?url=file://c:\windows\system32\drivers\etc\hosts
linux下:
2. dict/http/https进行端口探测
window下:
SSRF 常配合 DICT 或http或https协议探测内网端口开放情况,但不是所有的端口都可以被探测,一般只能探测出一些带 TCP 回显的端口,dict://ip地址:端口
当web服务器A开放了某个端口时,服务器立即响应进行页面刷新
dict://127.0.0.0.1:445或者是dict://192.168.110.128:445都行
未开放了某个端口时,页面会等待响应超过1s
利用页面响应的时间长短可以探测端口的开放状态
import requests
headers = {"User-Agent": "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.87 Safari/537.36 SE 2.X MetaSr 1.0"}
port=[21,22,23,80,81,88,110,135,443,445,1080,1433,1521,2181,3306,3389,4444,4445,6000,6666,6379,7001,7002,8000,8888,9001,9083,9200,11211,27017]
print("开放的端口为:")
for p in port:
url = f"http://192.168.110.128/2_Shotting_Range/pikachu-master/vul/ssrf/ssrf_curl.php?url=dict://127.0.0.1:{p}"
try:
re = requests.get(url,headers,timeout=1)
print(p)
except:
pass
print('SSRF端口检测完毕')
linux下:
linux下不同于windows能根据页面响应时间来探测出目标机器开放的端口,linux下页面响应时间是一样的。我们可以通过页面回显的信息来判断
经测试使用http或者dict协议能探测,而且不能用127.0.0.1,不然没反映。
端口存在,会抛出以下有关于端口的信息
那要是将回显信息屏蔽了那就没辙了。
端口不存在没任何反映
3. 内网存活主机探测
一般是先想办法得到目标主机的网络配置信息,如读取/etc/hosts、/proc/net/arp、/proc/net/fib_trie等文件,从而获得目标主机的内网网段并进行爆破。
域网IP地址范围分三类,以下IP段为内网IP段:
-
C类:192.168.0.0 - 192.168.255.255
-
B类:172.16.0.0 - 172.31.255.255
-
A类:10.0.0.0 - 10.255.255.255
window下:
我们使用http或者https或者dict去探测内网存活主机,也是根据页面响应时间判断
可以通过python脚本去fuzz内网ip。这里为节省时间直接缩小fuzz的范围ip
import requests
headers = {"User-Agent": "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.87 Safari/537.36 SE 2.X MetaSr 1.0"}
print('内网存活主机:')
for i in range(120,255):
ip = f"192.168.52.{i}"
url = f"http://192.168.110.128/2_Shotting_Range/pikachu-master/vul/ssrf/ssrf_curl.php?url=http://{ip}"
try:
response = requests.get(url,headers,timeout=1.8)
print(ip)
except:
pass
print('探测完毕')
结果探测出140和141的主机,确实是我开放的主机。
接着可以继续对探测出的内网主机进行端口探测,根据页面响应时间对140主机探测是否开放445端口
?url=dict://192.168.52.140:445
linux下:
和windows下一样根据页面响应时间判断,可以使用http或者https或者dict去探测内网存活主机
4. 攻击内网redis
假设通过上面的方式探测出了141主机开放了redis服务
则我们可以尝试攻击redis写入webshell
总结:如果主机使用了curl函数存在ssrf漏洞,则能正常读取别的主机的文件(http或https都行),端口和主机探测都能使用dict或者http或者https
四. Pikachu SSRF之file_getcontent
先看源码,源代码中用了file_get_contents()函数来进行文件读取
file_get_contents() ,该函数是用于把文件的内容读入到一个字符串中。简单理解也就是读取文件呗
漏洞利用
不同于curl函数,这里只能用http协议对端口和主机进行探测
正常读取别的主机的网页文件
但是不能读取https的
1. file协议读取本地文件
2. 读取源码文件
php://filter/read=convert.base64-encode/resource=ssrf.php
再将其base64解密得到源码
3. 端口探测
使用http协议探测端口开放情况,不同于上面的能用dict或者http或者https进行探测,这个函数只能用http
4. 存活主机探测
也只能使用http协议探测存活主机
总结:如果主机使用了file_getcontent函数存在ssrf漏洞,则可以正常读取别的主机的文件(只能是http),或者使用file协议读取本地文件。端口和主机探测只能使用http协议
五. SSRF漏洞挖掘思路
简单来说,请求地址为如下方式,就可能存在SSRF漏洞
http://www.xx.com/a.php?url=地址
如这样
六. SSRF绕过姿势
对于SSRF的限制大致有如下几种:
-
限制请求的端口只能为Web端口,只允许访问HTTP和HTTPS的请求。
-
限制域名只能为http://www.xxx.com
-
限制不能访问内网的IP,以防止对内网进行攻击。
-
屏蔽返回的详细信息。
1. 利用@绕过地址过滤
当后端程序通过不正确的正则表达式(比如将http之后到com为止的字符内容,也就是www.baidu.com,认为是访问请求的host地址时)对其地址进行解析过滤时,很有可能会认为访问URL的host为http://www.baidu.com,则通过检测。而实际上这个URL所请求的内容都是http://192.168.0.1上的内容。只解析@后面的域名
http://www.baidu.com@192.168.0.1/ #实际上访问的是http://192.168.0.1
#windows和linux下都行2. localhost代替127.0.0.1
因为linux下不能使用127.0.0.1探测主机开放端口,所以这只对windows下有用
http://127.0.0.1:80
http://localhost:223. 利用进制转换
只对linux有效
一些开发者会通过对传过来的URL参数进行正则匹配的方式来过滤掉内网IP,如采用如下正则表达式:
^10(\.([2][0-4]\d|[2][5][0-5]|[01]?\d?\d)){3}$
^172\.([1][6-9]|[2]\d|3[01])(\.([2][0-4]\d|[2][5][0-5]|[01]?\d?\d)){2}$
^192\.168(\.([2][0-4]\d|[2][5][0-5]|[01]?\d?\d)){2}$
对于这种过滤我们可以采用改编IP的写法的方式进行绕过,例如192.168.110.130对其进行转换为十进制 ——> IP地址转换到十六进制,十进制,二进制地址
七. 漏洞防御
- 限制协议: 仅允许http和https请求。
- 限制IP: 避免应用被用来获取内网数据,攻击内网。
- 限制端口: 限制请求的端口为http常用的端口,比如,80,443,8080,8090。
- 过滤返回信息: 验证远程服务器对请求的响应是比较简单的方法。
- 统一错误信息: 免用户可以根据错误信息来判断远端服务器的端口状态
扫一扫
1188
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
