1.ssrf漏洞简介
ssrf(服务器端请求伪造),它是由攻击者构造形成的由服务端发起的一个较为安全的漏洞。
它攻击的目标是从外网无法访问的内部系统,因为它是从服务端发起的,所以它能够请求到与它相连并且与外网隔离的内部系统。
原理
ssrf漏洞形成的原理正常都是由于服务端发起了能够从其他服务器内部获取数据的功能但是没有对目标地址进行严格的过滤和限制
比如从服务端指定的URL地址下获取网页内容,并加载指定地址的图片、数据、下载等等。ssrf是利用存在缺陷的web应用作为代理攻击远程和本地的服务器
2.ssrf可以实现的一些典型效果
1)可以对服务器所在的内网、本地进行端口扫描,获取一些服务的banner信息
2)攻击运行在内网或本地的应用程序(比如溢出)
3)对内网web应用进行指纹识别,通过访问应用存在的默认文件实现;
4)攻击内外网的web应用,主要是使用get参数就可以实现的攻击(比如struts2漏洞利用等)
5)利用file协议读取本地文件
6)利用Redis未授权访问,HTTP CRLF注入达到getshell
7)DOS攻击(请求大文件,始终保持连接keep alive always)等等
3. 典型利用
1)攻击者向易受 SSRF 攻击且与目标服务器位于同一内部网络的 Web 服务器发送伪造请求。
2)易受攻击的 Web 服务器将攻击者控制的请求发送到受害者的服务器,绕过防火墙。
3)受害者的服务器用请求的数据响应网络服务器。
4)如果特定的 SSRF 漏洞允许,数据将被发送回攻击者。在大多数情况下,攻击者需要通过其他方式(带外)泄露或推断此信息。
产生SSRF漏洞的代码
在php中可能存在SSRF漏洞的函数。
file_get_content() 、fsockopen() 、curl_exec()
1)file_get_content()
使用file_get_contents函数可以从用户指定的url中获取图片。然后把它用一个随即文件名保存在硬盘上,并展示给用户。
2)fsockopen()
使用fsockopen函数实现获取用户制定url的数据(文件或者html)。这个函数会使用socket跟服务器建立tcp连接,传输原始数据。
3)curl_exec()
该函数可以使用curl发送请求获取数据
4.SSRF中url的伪协议
在进入网页或者题目环境时,一但遇上ssrf漏洞,我们就因应该判断并测试所有可用的url伪协议,就好比下面这些:
file:/// 从文件系统中获取文件内容,如,file:///etc/passwd
dict:// 字典服务器协议,访问字典资源,如,dict:///ip:6739/info:
sftp:// SSH文件传输协议或安全文件传输协议
ldap:// 轻量级目录访问协议
tftp:// 简单文件传输协议
gopher:// 分布式文档传递服务,可使用gopherus生成payload
绕过方法
url解析规则
IP地址进制转换
302跳转
DNS重绑定
2.1、@符
对于一个 url 的访问实际上是以 @符后为准的,比如说 xxxx.com@10.10.10.10,则实际*问的是 10.10.10.10 这个地址
2.2、302跳转
网址后加 xip.io
其原理是例如 10.10.10.10.xip.io 会被解析成 10.10.10.10
2.3、数字IP Bypass
IP进制转换/Enclosed Alphanumerics/特殊地址
进制转换
ip 转换为八进制十进制十六进制这种,同样也可以正常访问
5.实操
这里以ctfhub上的题目为例
1.内网访问
(1)打开题目
(2)进入环境后啥也没有
(3)既然题目说是一个网页访问那么我们直接尝试去访问位于127.0.0.1的flag.php
2.伪协议读取文件
(1)打开环境后还是跟前面一样啥也没有
(2)既然题目说是伪协议读取文件,那么在SSRF中常用的伪协议就是file:///协议了,其在ssrf中可以用来读取php源码,尝试直接利用它来读取flag
(3)出了回显,看看源码,flag就在里面
3.端口扫描
(1)进入环境
(2)根据题目提示说在线扫端口,并且范围在8000-9000
因为这是一道SSRF的题目,所以并不是用御剑或者其他网站后台目录扫描工具进行尝试,根据同一技能数下的前2道题目,可以想到这一题是需要扫描127.0.0.1这一内网地址下的端口所以这里直接用BP抓包,添加url头为http://127.0.0.1:8000
(3)然后只选择端口进行是扫描
(4)根据题目提示更改值
(5)然后开始攻击,即可找到含flag长度的文件
注:如何防范SSRF攻击
为防止 Web 应用程序中出现 SSRF 漏洞,我们应该对 Web 服务器获取的远程资源使用允许域和协议的白名单。甚至还应该避免在任何可以代表服务器发出请求的函数中直接使用用户输入。虽然清理和过滤用户输入是比较有效的措施,但我们不应将此作为唯一的保护措施,因为它几乎不可能涵盖所有不同的场景。
攻击者可以使用多种技巧来绕过 URL 过滤:
使用编码的 IP 地址,这些地址将被转换为内部网络中的 IP:
1-> 与本地主机相同
0x7f000001 -> 与本地主机相同
提供解析为内部 IP 地址的主机名
通过在主机名末尾应用点来绕过主机黑名单