Web渗透测试之SSRF攻击:绕过SSRF过滤器

最新推荐文章于 2024-09-13 10:49:50 发布
最新推荐文章于 2024-09-13 10:49:50 发布
阅读量3.2k 收藏 8
点赞数 1
分类专栏: SSRF 文章标签: 安全漏洞 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vodkaDL/article/details/114542636
版权

文章目录

前言

  在前篇我们了解完有关SSRF的基本知识后,现在将提升挑战难度,我们来看看如何绕过针对SSRF攻击进行一定程度防御的过滤器。

防御的基本原理

  在前篇中我们提到SSRF产生的原因为未对URL中引用的URL进行限制,使得攻击者能够利用这一漏洞使得引用的URL指向内网中的其它地址以获得本应该被拒绝外网访问的资源。因此常见的SSRF防御手段为对引用的URL进行限制。常见的限制手段有黑名单和白名单两种。
  所谓的黑名单就是名单上的URL都不能引用,白名单就是只有名单上的URL才能引用。针对黑名单和白名单的特性,我们就能尝试对SSRF过滤器进行绕过。

基于黑名单的SSRF过滤器绕过

  在了解了黑名单的特性后,如果还想访问黑名单上的URL(如127.0.0.1或localhost)就不能直接用,而应该用其它的表达形式。现以127.0.0.1为例。

对IP地址进行进制转化;

  如果黑名单上的IP地址为127.0.0.1,那么我们可以尝试将此IP地址转换为八进制、十进制、十六进制等进行URL引用,以实现127.0.0.1黑名单限制。也可将127.0.0.1省略为127.1,依旧可行
  以十进制为例证明十进制的IP地址依旧会被正常解析:
ping十进制IP地址

注册域名使其解析为目标IP地址

  以www.localtest.me为例进行测试:
解析到本机地址
  依旧可以被解析为本机回环地址。但此方法仅适用于对服务器本身发起请求伪造,若要应用于内网其它IP地址则成本过大。

基于白名单的SSRF过滤器绕过

  在其它应用方面白名单虽然可以称得上是安全性极高,但在SSRF防御中,如果完全套用白名单的模式则会导致用户体验极差。以图片分享为例,如果某网站允许用户以URL的形式分享图片,则每一张图片最后的URL标识部分必定是不相同的。
  如果过滤器完全套用白名单的模式,则这项图片分享功能将会形同虚设。因此在基于白名单的SSRF过滤器中,采用的是只允许以白名单上标有的URL为前值进行的URL引用,这样就可以避免由于图片URL标识后缀不一致导致功能瘫痪。知道白名单过滤器的这一特性后,我们就可以利用URL的规范性进行SSRF白名单过滤器绕过,但不确定性太高。如果URL解析器不支持嵌入式URL凭据,则很难奏效。

  1. 利用@嵌入URL,如http://xxx/xx@http://yyy/yy(xxx:白名单限制的前值);
  2. 利用#嵌入UR,如http://yyy/yy#http://xxx/xx(xxx:白名单限制前值);
  3. 注册域名,如http://xxx.yyy;
  4. 使用URL编码字符干扰URL解析;

利用重定向漏洞对SSRF过滤器进行绕过

  针对黑名单模式的绕过较为简单,但白名单模式的绕过难度较高,但我们可以将SSRF与其它漏洞结合,以实现绕过SSRF过滤器的目的。现以SSRF结合重定向漏洞为例。
  在此之前先简单讲解什么是重定向漏洞。所谓的重定向就是重新跳转到一个新的URL地址,而重定向漏洞产生的原因,则是因为重新跳转的URL是用户可控的,因此称位重定向漏洞,一般用于钓鱼。其格式一般如下:

http://xxx/xx/?path=http://yyy/yy

  既然path后的URL用户可控,则可以将其指向内网IP。以下是SSRF结合重定向漏洞绕过SSRF过滤器。
  靶场首页:
靶场首页
  按照上篇的套路,点击商品查询库存后进行抓包:
抓包
  解码后可以发现stockAPI为/product/stock/check?productId=1&storeId=1,尝试修改使其指向内网IP后果然行行不通:
请求失败
  接着发现一个跳转功能:
其它功能
  当点击下一个商品时发现URL出现重定向(path:/xxx):
重定向
  尝试由此处为突破口,将其修改为http://baidu.com以确定是否存在重定向漏洞:
重定向到百度
  状态码为302 Found,表明确实可以重定向到百度,于是将先前查询库存时的stockAPI修改为:
/product/nextProduct?path=http://192.168.0.x:8080/admin
进行批量扫描,最终查得的IP地址为192.168.0.12:
请求成功
  状态码为200 OK,接着发现有删除用户功能,删除用户calos:
删除成功

总结

  常见的SSRF过滤器有两种原理,分别是黑名单和白名单。基于黑名单的SSRF过滤器相对容意绕过,基于白名单的SSRF过滤器则较难绕过,有一定的运气成分。此外,如果能过够同时将其它漏洞(如重定向漏洞)与SSRF相结合,则能达到意想不到的效果,起到事半功倍的作用。但这也要求漏洞挖掘者有较高的能力和意识,能够挖掘到其它类型的漏洞并加以利用。
  以上就是本篇的全部内容,我们下篇见。

VodkaDL
关注
专栏目录
web安全渗透测试十大常规项(一):web渗透测试SSRF服务端请求伪造
HACKONE的博客
06-16 90
可以防止类似于file:///,gopher://,ftp:// 等引起的问题。10.编码处理, 属性信息处理,文件处理:比如ffpmg,ImageMagick,docx,pdf,xml处理器等。file:/// 从文件系统中获取文件内容,如,file:///etc/passwd。3,限制请求的端口为http常用的端口,比如,80,443,8080,8090。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)http:// Web常见访问,如http://127.0.0.1。
SSRF漏洞(原理&绕过姿势)
2301_76694151的博客
04-07 1040
当使用了Python 的urllib库,请求url为用户可控时,就可能存在ssrf漏洞,且可以通过漏洞python urllib http头注入实现对内网未授权仿问的redis 服务器getshell。Request类,URL类的openStream,HttpClient类,URLConnection和HttpURLConnection类,需要注意的是,回显是能否成功利用的重要的条件,在某些场景协议限定为HTTP模式且没有回显,利用。1/4的概率,当第一次解析为外网ip,第二次解析为内网ip,就会成功。
SSRF原理及漏洞演示
dzqxwzoe的博客
03-07 1168
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。正是因为它是由服务端发 起的,所以它能够请求到与它相连而与外网隔离的内部系统。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
SSRF漏洞】——http协议常见绕过
最新发布
qq_74350234的博客
09-13 1176
改变的确很难,但结果值得冒险 本文如有错误之处,还请各位师傅指正 一.ssrf概述 SSRF全称为Server-side Request Fogery,中文含义服务器端请求伪造 SSRF是一种由攻击者构造形成由目标服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统(防火墙隔绝)。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) 原由:大都是由于服务端提供了从其它服务器获取数据的功能,比如使用户从指定的URL web应用获取
Web通用漏洞--SSRF
weixin_74985952的博客
07-08 138
SSRF(Server-Side Request Forgery:服务器端请求伪造) 一种由攻击者构造形成由服务端发起请求的一个安全漏洞;一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。
ssrf 过滤.php,SSRF技巧之如何绕过filter_var( )
weixin_42478292的博客
03-22 451
0x00 前言前几天我读了两篇非常棒的论文:第一篇是发表在blackhat.com上的“A New Era of SSRF ”,讲述的是不同编程语言的SSRF问题;第二篇是由Positive Technology发表的一篇名为“PHP Wrapper” 的论文,它主要讲述的是如何以多种不同的方式使用PHP Wrapper来绕过过滤器以及受过滤的输入(您可以在结尾处找到这两个链接)。在本文中,我将深...
SSRF绕过总结
weixin_38168198的博客
02-27 1283
漏洞代码如下ssrf.php <?php $URL = $_GET['url']; $CH = CURL_INIT(); CURL_SETOPT($CH, CURLOPT_URL, $URL); CURL_SETOPT($CH, CURLOPT_HEADER, FALSE); CURL_SETOPT($...
SSRF绕过域名白名单的一种方式——CVE-2024-24806(影响大量nodejs服务)
ooooooih的博客
04-29 1397
挖SRC也有一段时间了,除了逻辑漏洞就是XSS,感觉没啥提升的样子(叠甲:没有瞧不起逻辑漏洞的意思,我挖得最多的就是逻辑!!),所以最近空闲时间去看了看历史的CVE报告,学习一下大佬们的思路的技巧,前段时间看到一个很有意思的漏洞,分享一下。
ssrf绕过
HoAd'blog
08-16 1888
ssrf绕过 当涉及到SSRF(服务器端请求伪造)时,可以使用以下5种有效负载绕过防御: 1)使用CIDR绕过SSRF: http://127.127.127.127 http://127.0.0.0 2)使用稀有地址绕行: http://127.1 http://0 3)使用技巧组合绕过: http://1.1.1.1&@2.2.2.2# @3.3.3.3/ urllib: 3.3.3.3 4)绕过弱解析器: http://127.1.1.1:80\@127.2.2.2:80/ 5)用[
[ 渗透测试面试篇 ] 渗透测试面试题大集合(详解)(4-4)SSRF相关面试题
qq_51577576的博客
11-29 1593
[ 渗透测试面试篇 ] 渗透测试面试题大集合(详解)(4-4)SSRF相关面试题 渗透方向的岗位,涉及到的知识点是很广泛的。 这里我总结了整个一系列的面试题,可能没有覆盖到全部的知识面,但是应该是比较全面的,本文主讲解web漏洞SSRF方向的面试题。 如果整个系列的问题搞懂了大部分,那找个网安方向的工作基本上没什么问题了。 当然了,可能也不是说这些问题都会被问到,但这些题目都是和网安岗位相契合的。
web安全渗透测试十大常规项(一):web渗透测试之MySQL注入
HACKONE的博客
03-12 1446
渗透测试之SQL注入基础SQL注入类型按照数据类型类型来分类按照执行效果来分类(页面回显效果)按照数据提交的方式来分类判断注入类型的方法MySQL注入基础联合查询注入布尔注入时间盲注注入报错注入宽字节注入二次注入偏移注入DNSlog注入注入写webshellSQL注入绕过空格绕过(过滤空过)关键字过滤SQL注入绕WAF SQL注入类型 按照数据类型类型来分类 数字型注入点 在 Web 端大概是 http://xxx.com/news.php?id=1 这种形式,其注入点 id 类型为数字,所以叫数字型注
【漏洞挖掘】——33、SSRF攻防对抗(中)
Fly_鹏程万里
06-06 60
有时候通过利用开放重定向漏洞可以规避任何类型的基于过滤器的防御,在前面的SSRF示例中假设用户提交的URL经过严格验证以防止恶意利用SSRF行为,但是允许其URL的应用程序包含一个开放重定向漏洞,如果用于后端HTTP请求的API支持重定向,那么您可以构造一个满足过滤器的URL并构造一个到所需后端目标的重定向请求,例如:应用程序包含一个开放重定向漏洞,其中以下URL。
web安全攻防渗透测试实战指南
weixin_67846882的博客
04-07 5084
1.Nmap的基本 Nmap + ip 6+ ip Nmap -A 开启操作系统识别和版本识别功能 – T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现 -v 显示信息的级别,-vv显示更详细的信息 192.168.1.1/24 扫描C段 192.168.11 -254 =上 nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 --exclude 19...
ssrf 过滤.php,[CTFSHOW]SSRF
weixin_33359523的博客
03-22 377
文章目录web351首先代码审计,简简单单的使用php的curl,发现没有过滤,尝试读取本地文件error_reporting(0);highlight_file(__FILE__);$url=$_POST['url'];$ch=curl_init($url);curl_setopt($ch, CURLOPT_HEADER, 0);curl_setopt($ch, CURLOPT_RETURNTR...
ssrf学习2——内网ip绕过
m0_73756016的博客
05-10 1268
要完成DNS重绑定攻击,我们需要一个域名,并且将这个域名的解析指定到我们自己的DNS Server,在我们的可控的DNS Server上编写解析服务,设置TTL时间为0,这是为了防止有DNS服务器对解析结果进行缓存。服务器端获得URL参数,进行第一次DNS解析,获得了一个非内网的IP 对于获得的IP进行判断,发现为非黑名单IP,则通过验证 服务器端对于URL进行访问,由于DNS服务器设置的TTL为0,所以再次进行DNS解析,这一次DNS服务器返回的是内网地址。也可以用八进制或者十六进制的点分式。
ssrf 过滤.php,SSRF详细利用方式及getshell
weixin_33955394的博客
03-22 581
本文将分为三个部分讲解0x01 ssrf本地远程及其他验证漏洞方式0x02 ssrf利用redis未授权getshell0x03 ssrf常见的绕过方式0x01 ssrf本地及远程验证方式重新复现一下 顺便复习一下curl和监听端口的命令无回显的ssrf验证本地开启apache服务 在存在ssrf处访问http://10.1.1.200(本机服务地址)查看kali机器服务器日志信息:tail -...
ssrf的绕过
2302_79119987的博客
04-12 1799
1、同源策略/SOP(Same origin policy)是一种约定,由 Netscape 公司 1995 年引入浏览器,它是浏览器最核心也最基本的安全功能,现在所有支持 JavaScript 的浏览器都会使用这个策略。2、在这个策略下,web浏览器允许第一个页面的脚本访问第二个页面里的数据,但是也只有在两个页面有相同的源时。开头,因为http://www.baidu.com@127.0.0.1/与http://127.0.0.1请求的页面一致,考虑用这种结构来绕过本来的地址应该是。
SSRF漏洞深入利用与防御方案绕过技巧
道阻且长,行则将至。
07-11 1303
本文借助 CTFHub 与 portswigger 两个 SSRF 靶场,实践练习了 SSRF 漏洞的基础利用(内网访问、文件读取、端口探测)和进阶利用(Gopher 协议发送 post 请求、攻击 Redis 实现 RCE 等),最后实践了常见的防御方案绕过手段(黑白名单绕过、重定向、DNS 绑定等)。
Web应用中的SSRF漏洞:file_get_contents与fsockopen
Web开发中,XSS和SSRF是两种常见的安全威胁,它们允许攻击者通过滥用应用程序的功能来执行恶意操作。 XSS(跨站脚本)通常发生在Web应用未能正确过滤或编码用户输入的情况下,使得攻击者能够注入恶意脚本到页面中。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值