SSRF服务端请求伪造
漏洞描述
SSRF,服务端请求伪造。是一种由攻击者构造请求,由服务端发起请求的安全漏洞,一般情况况下SSRF攻击的目标是从外网无法访问到的内部系统
漏洞原理
SSRF形成的原因大都是由于服务端提供了从 其他服务器 应用 获取数据 的功能且没有对服务器目标地址做过滤与限制,用户对目标地址可控。
漏洞分类
显示响应(basic):它显示对攻击者的响应,因此在服务器获取攻击者要求请求的URL后,他将会把响应发送回攻击者。返回结果到客户端。会返回这个网址的界面或对应的HTML代码。
不显示响应(Blind):不会返回结果到客户端。
漏洞函数
1、file_get_contents()
我们对发起的请求的参数是可控的。
2、curl_exec()
对远程的URL发起请求访问,并将请求的结果返回至前端页面。
3、fsockopen()
使用该函数实现获取用户制定url的数据(文件或者html);该函数会使用socket跟服务器建立TCP连接,进行传输原始数据
攻击方式
-
对外网服务器所在的内网/本机进行主机扫描、端口扫描、服务探测。
-
攻击运行在内网或本地的应用程序。
-
攻击内外网的web应用,主要是使用 get 参数就可以实现的攻击(比如struts2,sqli、thinkphp等);
-
利用File协议读取服务器文件。
-
各个协议调用探针: http,file,dict,ftp,gopher 等
漏洞探测
有回显类型:输入指定地址,如果将指定URL内容获取到了那么也存在SSRF
无回显类型:输入dnslog地址,如果dnslog地址有解析记录及代码存在SSRF
SSRF漏洞攻击
HTTP协议
http:// --通过http协议访问内网主机web服务,或发送Get数据包
file协议
file:// --本地文件传输协议,主要用于访问`本地计算机中`的文件 file:///var/logs/httpd/access.log
dict协议
dict:// --字典服务器协议,dict是基于查询相应的TCP协议 dict://127.0.0.1:22
Gopher协议
gopher:// --互联网上使用的分布型的文件搜集获取网络协议,出现在http协议之前 # Gopher协议格式 gopher://<host>:<port>/<gopher-path>_TCP数据流
由于Gopher协议的特殊格式,在SSRF利用Gopher攻击目标时,需要对数据包进行两次URL编码。
-
第一次URL将URL中的特殊字符进行转义,以便于传输和解析。
-
第二次编码是为了让Gopher协议能够正常解析,因为Gopher协议使用的ASCII编码。需要将URL中的所有字符都转换为ASCII码的可打印字符,才能被Gopher协议正确解析。
需要把原数据包转换为Gopher数据包,用python脚本转换
# -*- coding: utf-8 -* import urllib.parse payload =\ """ GET /?name=Margin HTTP/1.1 Host: 127.0.0.1 """ tmp = urllib.parse.quote(payload) new = tmp.replace('%0A','%0D%0A') result = 'gopher: ˾ 127.0.0.1:80/'+'_'+new result = urllib.parse.quote(result) print(result)