SSRF漏洞

已于 2022-09-11 14:59:56 修改
阅读量1.7k 收藏 6
点赞数 2
分类专栏: 渗透测试 文章标签: 服务器 web安全
于 2022-09-02 00:44:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49472648/article/details/126653908
版权

SSRF(Server-Side Request Forgery:服务器端请求伪造)
严正声明:本文仅限于技术讨论,严禁用于其他用途。

文章目录

ssrf漏洞原理

  • 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞
  • SSRF漏洞形成的原因主要是服务端提供了从其他服务器应用获取数据的功能,并且未对客户端所传输过来的URL参数进行严格过滤与限制,导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据
  • 数据流:攻击者----->服务器---->目标地址

绕过方案

  • 一般情况下利用URL解析导致SSRF过滤被绕过基本上都是因为后端通过不正确的正则表达式对URL进行了解析。而在2017年的Blackhat大会上,Orange Thai 在blackhat中发表的演讲《A New Era of SSRF - Exploiting URL Parser in Trending Programming Languages! 》中介绍了SSRF攻击的一个新的角度———利用不同编程语言对URL的处理标准来绕过SSRF过滤,从而实施攻击。该方式主要是利用URL解析器和URL请求器之间的差异性发起攻击,由于不同的编程语言实现URL解析和请求是不一样的,所以很难验证一个URL是否合法

很难验证一个URL是否合法的原因在于:

1.在 RFC2396/RFC3986 中进行了说明,但是也仅仅是说明。2.WHATWG(网页超文本应用技术工作小组)定义了一个基于RFC协议的具体实现,但是不同的编程语言仍然使用他们自己的实现。

下图展示了cURL请求函数与其他语言解析函数结合使用时,由于差异性造成的漏洞
image.png
可以得知,NodeJS url、Perl URI、Go net/url、PHP parser_url以及Ruby addressable解析函数与cURL libcurl请求函数差异性都可能造成漏洞的产生
下图的实例中,我们看到上述所述编程语言的解析函数得到的IP是google.com,而cURL请求得到的却是evil.com:80
image.png

curl—命令行工具

  • 命令行工具,可以从shell或者脚本中运行该工具。
  • 提供了130多种不同的“flags”
  • 通常被用来模拟浏览器的行为
  • 跨平台

libcurl—库

  • 用作其他程序的开发库
  • 可以与许多语言想结合,如PHP、C++
  • 跨平台
  • 提供了多种不同的使用它的APIs

相同点

  • curl和libcurl都可以利用多种多样的协议来传输文件,包括HTTP, HTTPS, FTP, FTPS, GOPHER, LDAP, DICT, TELNET and FILE等。

不同点

  • curl是命令行工具,可以通过shell或脚本来运行curl。curl底层所使用的库是libcurl。
  • libcurl是一个库,通常与别的程序绑定在一起使用,如命令行工具curl就是封装了libcurl库。所以我们也可以在你自己的程序或项目中使用libcurl以获得类似CURL的强大功能。接下来将要介绍的PHP扩展就是对curl的一个封装。

①点分割符号替换

在浏览器中可以使用不同的分割符号来代替域名中的.分割,可以使用来代替:

http://www。qq。com
http://www。qq。com
http://www.qq.com
无效的绕过方式

②本地回环地址

127.0.0.1,通常被称为本地回环地址(Loopback Address),指本机的虚拟接口,一些表示方法如下(ipv6的地址使用http访问需要加[]):

http://127.0.0.1 
http://localhost 
http://127.255.255.254 
127.0.0.1 - 127.255.255.254 
http://[::1] 
http://[::ffff:7f00:1] 
http://[::ffff:127.0.0.1] 
http://127.1 
http://127.0.1 
http://0:80

image.png

③IP的进制转换

IP地址是一个32位的二进制数,通常被分割为4个8位二进制数。通常用“点分十进制”表示成(a.b.c.d)的形式,所以IP地址的每一段可以用其他进制来转换。 IPFuscator 工具可实现IP地址的进制转换,包括了八进制、十进制、十六进制、混合进制。在这个工具的基础上添加了IPV6的转换和版本输出的优化。

在脚本对IP进行八进制转换时,一些情况下会在字符串末尾多加一个L。

image.png

④封闭式字母数字 (Enclosed Alphanumerics)字符

封闭式字母数字是一个由字母数字组成的Unicode印刷符号块,使用这些符号块替换域名中的字母也可以被浏览器接受。在浏览器测试中只有下列单圆圈的字符可用:

List:
① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨ ⑩ ⑪ ⑫ ⑬ ⑭ ⑮ ⑯ ⑰ ⑱ ⑲ ⑳ 
⑴ ⑵ ⑶ ⑷ ⑸ ⑹ ⑺ ⑻ ⑼ ⑽ ⑾ ⑿ ⒀ ⒁ ⒂ ⒃ ⒄ ⒅ ⒆ ⒇ 
⒈ ⒉ ⒊ ⒋ ⒌ ⒍ ⒎ ⒏ ⒐ ⒑ ⒒ ⒓ ⒔ ⒕ ⒖ ⒗ ⒘ ⒙ ⒚ ⒛ 
⒜ ⒝ ⒞ ⒟ ⒠ ⒡ ⒢ ⒣ ⒤ ⒥ ⒦ ⒧ ⒨ ⒩ ⒪ ⒫ ⒬ ⒭ ⒮ ⒯ ⒰ ⒱ ⒲ ⒳ ⒴ ⒵ 
Ⓐ Ⓑ Ⓒ Ⓓ Ⓔ Ⓕ Ⓖ Ⓗ Ⓘ Ⓙ Ⓚ Ⓛ Ⓜ Ⓝ Ⓞ Ⓟ Ⓠ Ⓡ Ⓢ Ⓣ Ⓤ Ⓥ Ⓦ Ⓧ Ⓨ Ⓩ 
ⓐ ⓑ ⓒ ⓓ ⓔ ⓕ ⓖ ⓗ ⓘ ⓙ ⓚ ⓛ ⓜ ⓝ ⓞ ⓟ ⓠ ⓡ ⓢ ⓣ ⓤ ⓥ ⓦ ⓧ ⓨ ⓩ 
⓪ ⓫ ⓬ ⓭ ⓮ ⓯ ⓰ ⓱ ⓲ ⓳ ⓴ 
⓵ ⓶ ⓷ ⓸ ⓹ ⓺ ⓻ ⓼ ⓽ ⓾ ⓿
ⓧⓘⓐⓝⓞⓤⓟⓔⓝⓖ.ⓒⓞⓜ 
①⑦②.①⑥.⑥⓪.①⑥⑥
经测试,不可行,也许有其他方式

浏览器访问时会自动识别成拉丁英文字符:

ⓔⓧⓐⓜⓟⓛⓔ.ⓒⓞⓜ  >>>  example.com

⑤URL十六进制编码

URL十六进制编码可被浏览器正常识别,编码脚本:

#-*- coding:utf-8 -*- 
data = "www.qq.com"; 
alist = [] 
fo
最低0.47元/天 解锁文章
共黄昏
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WebLogic SSRF 及漏洞修复
11-25
WebLogic SSRF 及漏洞修复方法 CVE-2014-4210 10.0.2,10.3.6
SSRF_ex:SSRF漏洞测试、利用 SSRF vulnerability testing and utilization
05-08
SSRF_exSSRF漏洞测试、利用 SSRF vulnerability testing and utilizationSSRF[+] 服务端请求伪造,当作跳板攻击内网服务[+] 扫描内部网络、服务[+] 访问本机敏感文件[+] 向特定端口发送数据包、payload.├── ...
Gopherus工具的下载、使用
最新发布
weixin_68416970的博客
06-08 912
Gopherus工具是网络安全领域中针对SSRF漏洞的一种有效利用手段,通过自动化地生成Gopher协议Payload,攻击者能够在一定程度上简化内网资源的探测和利用过程。然而,需要注意的是,此类工具的使用应当严格遵守法律法规,仅在授权情况下用于正当的安全评估目的。
php代码审计之ssrf漏洞
qq_42307546的博客
06-04 849
ssrf
Apache 文件解析漏洞SSRF漏洞原理介绍及代码
qq_49433473的博客
05-30 1243
Apache 文件解析漏洞 SSRF漏洞原理介绍及代码 1. Apache 环境简介 2. Apache 解析漏洞介绍 3. 解析漏洞利用演示 4.利用场景介绍 1. Apache 环境简介 ​ Apache 和 PHP 采用 module 的方式结合(Apache2.2) 2. Apache解析漏洞介绍 ​ Apache 认为一个文件夹可以拥有多个扩展名,哪怕没有文件名,也可以拥有多个扩展名。 Apache 认为应该从右边到左开始判断解析方法的。如果最右侧的拓展名为不可识
SSRF漏洞学习笔记
ghost
08-08 2659
学习SSRF之前,需要先了解下什么是SSRF! 原理:SSRF漏洞(Server-Side Request Forgery:服务端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。 形成原因:由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制 漏洞原理演示: 使用百度查询本机IP: 同样是本机IP,但是如果使用百度翻译这个网页: 出现这样的...
SSRF漏洞(原理&绕过姿势)
2301_76694151的博客
04-07 945
当使用了Python 的urllib库,请求url为用户可控时,就可能存在ssrf漏洞,且可以通过漏洞python urllib http头注入实现对内网未授权仿问的redis 服务器getshell。Request类,URL类的openStream,HttpClient类,URLConnection和HttpURLConnection类,需要注意的是,回显是能否成功利用的重要的条件,在某些场景协议限定为HTTP模式且没有回显,利用。1/4的概率,当第一次解析为外网ip,第二次解析为内网ip,就会成功。
【ctfhub-ssrf】端口扫描
weixin_52116519的博客
04-28 731
题目 1、手动测试端口。/127.0.0.1:8000,端口用的是:,而不是/ 2、手动太慢,用bp爆破
104-web漏洞挖掘之SSRF漏洞1
08-03
1.禁用不需要的协议 2.统一错误信息,避免用户可以根据错误信息来判断远端服务器的端口状态 3.禁止302跳转,或者每跳转一次,就检查一次新的Host是否是内网
【技术分享】SSRF漏洞学习 .pdf
09-05
SSRF漏洞详解】 SSRF(Server-Side Request Forgery,服务器端请求伪造)是一种网络安全漏洞,它允许攻击者利用服务器的身份,发起对外部资源的请求。这些请求可能原本是服务器内部网络的一部分,对外不可见,...
31-浅谈SSRF漏洞1
08-03
1、获取web应用可达服务器服务的banner信息以及收集内网web应用的指纹识别, 2、攻击运行在内网的系统或应用程序,获取内网各系统弱口令进行内网漫游、对有
ssrf漏洞利用(内网探测、打redis)
Javachichi的博客
02-06 1733
声明该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。滑至文末,获取“searchall”下载链接!
数仓安全测试之SSRF漏洞
华为云官方博客
03-30 523
SSRF (Server-Side Request Forgery,服务器端请求伪造)是指由攻击者构造请求,然后利用服务器漏洞以服务端的身份向内网发送请求对内网发起攻击。
Kali中常用打靶工具及命令(随时补充)
zg_111的博客
04-14 1759
Gopherus工具是用来专门生成gopher协议的payload工具,通过gopher协议的以及各种被攻击应用的tcp包特点来构造payload。
Nginx安全优化详细总结
toplanxue的博客
06-01 878
隐藏Nginx软件版本号信息 Nginx 每个版本都有特定的漏洞,通过隐藏版本可以增加被入侵的难度 只需要在Nginx配置文件nginx.conf 的http 标签段内加入“server_tokens off; ” 当然更有效的方法就是更改源码隐藏的Nginx软件名及版本号 修改的第一个文件为/nginx-1.10.3/src/core/nginx.h 如下 [root@2kb.com]# sed...
Nginx 配置解决host头攻击漏洞
热门推荐
如果说你每一步都细心的话,其实你的效率是很快的
10-30 1万+
SSRF最全总结(协议,绕过)
weixin_50464560的博客
01-13 1万+
https://www.anquanke.com/post/id/262430#h3-46   SSRF-Labs配置 有些初学者喜欢用这个靶场,讲下怎么搭建 我用的是Ubuntu18;docker和docker-compose配置可以参考vulhub官网的配置;下面是谷歌搜的 $ curl -sSL https://get.docker.com/ | sh #脚本安装docker $ apt install docker-compose #安装docker compose Basic关和
Web安全Web安全Java代码审计总结
m0_61572518的博客
04-23 3498
《网络安全Java代码审计实战》笔记。 一、SQL注入 1.1 常见的sql注入场景 1.预编译错误编程方式 String username = ""; String id = "2"; String sql = "SELECT * FROM user where id = ?"; if(!CommonUtils.isEmptyStr(username)) sql += "and username like '%" + username + "%'"; PreparedStatement pst
ctf web方向与php学习记录24(SSRF续)
这周末在做梦的博客
11-07 701
一,FastCGI协议 根据附件提示,只要找到9000端口并监听,然后构造可执行任意代码的playload上传即可。这里推荐一款神器Gopherus,安装简单,装在kali里就可以了。 工具会对playload进行两次url转码,为了绕过网址访问时进行的url解码,故必须再次对工具构造的playload进行url编码。 1工具的使用 首先,输入python gopherus.py --exploit fastcgi明确攻击协议,然后构造访问用的playload。工具提示先设置可访问的网页文件地址,然后加载命
ssrf漏洞内网渗透_ssrf漏洞分析
06-06
SSRF (Server-Side Request Forgery) 漏洞是一种常见的 Web 安全漏洞,攻击者通过构造恶意的请求,从而使服务器发起非预期的请求,可能导致敏感信息泄露、服务器受到攻击等后果。 在内网渗透中,SSRF 漏洞可以用来发起内网扫描、访问内部系统等攻击。通常情况下,攻击者会构造恶意请求,将目标网站的请求地址改为内部 IP 或者域名,从而让服务器发起请求,从而得到内部系统的信息。 下面是一个简单的 SSRF 漏洞利用的步骤: 1. 扫描目标网站:使用端口扫描工具扫描目标网站开放的端口,确定是否存在可利用的服务。 2. 构造恶意请求:构造一个包含内网地址的恶意请求,将请求地址改为内网地址。 3. 触发漏洞:将恶意请求发送给目标网站,从而触发 SSRF 漏洞。 4. 收集信息:利用 SSRF 漏洞,收集内部系统的信息,如端口、服务、操作系统等。 5. 利用漏洞:根据收集到的信息,选择合适的漏洞利用方式,从而取得系统权限。 在实际攻击中,攻击者还可能会采用其他方式来利用 SSRF 漏洞,如访问内部 Web 应用、获取敏感文件等。因此,网站开发人员需要注意防范 SSRF 漏洞,如过滤用户输入、限制请求地址等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值