浅谈“服务端请求伪造攻击SSRF”

最新推荐文章于 2024-05-29 14:49:36 发布

红烧兔纸

最新推荐文章于 2024-05-29 14:49:36 发布

阅读量1.2k

点赞数

分类专栏： Web安全之信息泄露类

本文链接：https://blog.csdn.net/weixin_39934520/article/details/107961105

版权

Web安全之信息泄露类专栏收录该内容

14 篇文章 13 订阅

订阅专栏

一：漏洞名称：

服务端请求伪造攻击（SSRF）

描述：

(部分参考：https://www.cnblogs.com/csnd/p/11807726.html)

SSRF(Server-Side Request Forgery，服务器端请求伪造)漏洞，是一种由攻击者构造请求，由服务器端发起请求的安全漏洞，本质上是属于信息泄露漏洞。

SSRF漏洞原理: 很多web应用都提供了从其他的服务器上获取数据的功能。使用用户指定的URL，web应用可以获取图片，下载文件，读取文件内容等。这个功能如果被恶意使用，可以利用存在缺陷的web应用作为代理攻击远程和本地的服务器。这种形式的攻击称为服务端请求伪造攻击（Server-side Request Forgery）。一般情况下， SSRF攻击的目标是从外网无法访问的内部系统。（正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内部系统）.SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容，加载指定地址的图片，下载等等。

SSRF主要攻击方式如下：

攻击者想要访问主机B上的服务，但是由于存在防火墙或者主机B是属于内网主机等原因导致攻击者无法直接访问主机B。而主机A存在SSRF漏洞，这时攻击者可以借助主机A来发起SSRF攻击，通过主机A向主机B发起请求，从而获取主机B的一些信息。

攻击者利用ssrf可以实现的攻击主要有5种:

1.可以对外网、服务器所在内网、本地进行端口扫描，获取一些服务的banner信息;

2.攻击运行在内网或本地的应用程序（比如溢出）;

3.对内网web应用进行指纹识别，通过访问默认文件实现;

4.攻击内外网的web应用，主要是使用get参数就可以实现的攻击（比如struts2，sqli等）;

5.利用file协议读取本地文件等。

以下来自：https://www.cnblogs.com/bmjoker/p/9614789.html

SSRF形成的原因：服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。

比如从指定URL地址获取网页文本内容，加载指定地址的图片，下载等等。利用的是服务端的请求伪造。ssrf是利用存在缺陷的web应用作为代理攻击远程和本地的服务器

看不懂？？？？

换种理解就是，html，php，asp，jsp 具有这些文件后缀的文件通常储存在web服务器（网站服务器）中，而且web服务器都具有独立ip

其中网站访问大致步骤：

用户在地址栏输入网址    ------>     向目标网站发送请求 ------->   目标网站接受请求并在服务器端验证请求是否合法，然后返回用户所需要的页面 ------->    用户接收页面并在浏览器中显示

这里假设请求的网址为：www.xxx.com/a.php?image=http://www.abc.com/1.jpg

那么产生SSRF漏洞的环节在哪里呢？目标网站接受请求后在服务器端验证请求是否合法

产生的原因：服务器端的验证并没有对其请求获取图片的参数（image=）做出严格的过滤以及限制，导致可以从其他服务器的获取一定量的数据

例如：   www.xxx.com/a.php?image=http://www.abc.com/1.jpg

如果我们将http://www.abc.com/1.jpg  换为与该服务器相连的内网服务器地址会产生什么效果呢？

如果存在该内网地址就会返回1xx，2xx 之类的状态码，不存在就会其他的状态码

终极简析: SSRF漏洞就是通过篡改获取资源的请求发送给服务器，但是服务器并没有发现在这个请求是合法的，然后服务器以他的身份来访问其他服务器的资源。

检测条件：

1.Web业务运行正常

2.存在具有交互的功能点。

检测方法：

从WEB功能上寻找：我们从上面的概述可以看出，SSRF是由于服务端获取其他服务器的相关信息的功能中形成的，因此我们大可以列举几种在web 应用中常见的从服务端获取其他服务器信息的的功能。

1、通过分享功能：通过URL地址分享网页内容：

早期分享应用中，为了更好的提供用户体验，WEB应用在分享功能中，通常会获取目标URL地址网页内容中的<tilte></title>标签或者<meta name="description" content=“”/>标签中content的文本内容作为显示以提供更好的用户体验。例如人人网分享功能中：http://widget.renren.com/*****?resourceUrl=https://www.nsfocus.com

通过目标URL地址获取了title标签和相关文本内容。而如果在此功能中没有对目标地址的范围做过滤与限制则就存在着SSRF漏洞.

2、转码服务：通过URL地址把原地址的网页内容调优使其适合手机屏幕浏览：由于手机屏幕大小的关系，直接浏览网页内容的时候会造成许多不便，因此有些公司提供了转码功能，把网页内容通过相关手段转为适合手机屏幕浏览的样式。例如百度、腾讯、搜狗等公司都有提供在线转码服务。

3、在线翻译：通过URL地址翻译对应文本的内容。提供此功能的国内公司有百度、有道等。

4、图片加载与下载，通过URL地址加载或下载图片：图片加载远程图片地址此功能用到的地方很多，但大多都是比较隐秘，比如在有些公司中的加载自家图片服务器上的图片用于展示。（此处可能会有人有疑问，为什么加载图片服务器上的图片也会有问题，直接使用img标签不就好了？，没错是这样，但是开发者为了有更好的用户体验通常对图片做些微小调整例如加水印、压缩等，所以就可能造成SSRF问题）。

5、图片、文章收藏功能：此处的图片、文章收藏中的文章收藏就类似于功能一、分享功能中获取URL地址中title以及文本的内容作为显示，目的还是为了更好的用户体验，而图片收藏就类似于功能四、图片加载。

6、未公开的api实现以及其他调用URL的功能：此处类似的功能有360提供的网站评分，以及有些网站通过api获取远程地址xml文件来加载内容

以下来自https://www.cnblogs.com/20175211lyz/p/11408583.html

从URL关键字中寻找

share、wap、url、link、src、source、target、u、3g、display、sourceURL、imageURL、domain

基本判断

回显
直接观察
抓包
用vps监听
延时
DNS请求

漏洞修复：

通常有以下5个思路：

过滤返回信息，验证远程服务器对请求的响应是比较容易的方法。如果web应用是去获取某一种类型的文件。那么在把返回结果展示给用户之前先验证返回的信息是否符合标准。
统一错误信息，避免用户可以根据错误信息来判断远端服务器的端口状态。
限制请求的端口为http常用的端口，比如，80,443,8080,8090。
黑名单内网ip。避免应用被用来获取获取内网数据，攻击内网。
禁用不需要的协议。仅仅允许http和https请求。可以防止类似于file:///,gopher://,ftp:// 等引起的问题。

服务器开启 OpenSSL 使其无法进行交互利用

服务端需要鉴权（Cookies & User：Pass）使其不能完美利用

其他补充说明：

环境靶场复现以及参考答案：https://www.cnblogs.com/Qiuzhiyu/p/11912432.html

后端php常采用函数：（来自：https://www.cnblogs.com/20175211lyz/p/11408583.html）

file_get_contents

fsockopen

curl_exec

SSRF 漏洞出现的场景

能够对外发起网络请求的地方，就可能存在 SSRF 漏洞

从远程服务器请求资源（Upload from URL，Import & Export RSS Feed）

数据库内置功能（Oracle、MongoDB、MSSQL、Postgres、CouchDB）

Webmail 收取其他邮箱邮件（POP3、IMAP、SMTP）

文件处理、编码处理、属性信息处理（ffmpeg、ImageMagic、DOCX、PDF、XML）

API交互（JSON,XML等）

关于绕过：（可参考一下链接，以后会慢慢增添）

SSRF漏洞中绕过IP限制的几种方法总结

SSRF绕过方法总结