1、漏洞簡介
SSRF(Server-Side Request Forgery:服務(wù)器端請求偽造) 是一種由攻擊者構(gòu)造形成由服務(wù)端發(fā)起請求的 一個安全漏洞����。一般情況下,SSRF攻擊的目標(biāo)是從外網(wǎng)無法訪問的內(nèi)部系統(tǒng)���。正是因為它是由服務(wù)端發(fā) 起的����,所以它能夠請求到與它相連而與外網(wǎng)隔離的內(nèi)部系統(tǒng)�����。
1.1 漏洞原理
SSRF形成的原因大都是由于服務(wù)端提供了從其他服務(wù)器應(yīng)用獲取數(shù)據(jù)的功能且沒有對目標(biāo)地址做過濾與 限制���。 通過控制功能中的發(fā)起請求的服務(wù)來當(dāng)作跳板攻擊內(nèi)網(wǎng)中其他服務(wù)���。比如,通過控制前臺的請求遠(yuǎn)程地 址加載的響應(yīng)���,來讓請求數(shù)據(jù)由遠(yuǎn)程的URL域名修改為請求本地����、或者內(nèi)網(wǎng)的IP地址及服務(wù)���,來造成對 內(nèi)網(wǎng)系統(tǒng)的攻擊��。
1.2 漏洞危害
1��、掃描內(nèi)網(wǎng)開放服務(wù) 2��、向內(nèi)部任意主機(jī)的任意端口發(fā)送payload來攻擊內(nèi)網(wǎng)服務(wù) 3��、DOS攻擊(請求大文件��,始終保持連接Keep-Alive Always) 4���、攻擊內(nèi)網(wǎng)的web應(yīng)用,例如直接SQL注入、XSS攻擊等 5�、利用file、gopher�、dict協(xié)議讀取本地文件、執(zhí)行命令等
2����、檢測與繞過
2.1 漏洞檢測
假設(shè)一個漏洞場景:某網(wǎng)站有一個在線加載功能可以把指定的遠(yuǎn)程圖片加載到本地,功能鏈接如下:http://www.xxx.com/image.php?image=http://www.xxc.com/a.jpg 那么網(wǎng)站請求的大概步驟應(yīng)該是類似以下: 用戶輸入圖片地址->請求發(fā)送到服務(wù)端解析->服務(wù)端請求鏈接地址的圖片數(shù)據(jù)->獲取請求的數(shù)據(jù)加載到 前臺顯示�����。 這個過程中可能出現(xiàn)問題的點就在于請求發(fā)送到服務(wù)端的時候���,系統(tǒng)沒有效驗前臺給定的參數(shù)是不是允 許訪問的地址域名��,例如����,如上的鏈接可以修改為:http://www.xxx.com/image.php?image=http://127.0.0.1:22 如上請求時則可能返回請求的端口banner���。如果協(xié)議允許��,甚至可以使用其他協(xié)議來讀取和執(zhí)行相關(guān) 命令����。例如 http://www.xxx.com/image.php?image=file:///etc/passwd http://www.xxx.com/image.php?image=dict://127.0.0.1:22/data:data2 (dict可以向服務(wù) 端口請求data data2) http://www.xxx.com/image.php?image=gopher://127.0.0.1:2233/_test (向2233端口發(fā)送數(shù) 據(jù)test,同樣可以發(fā)送POST請求) 對于不同語言實現(xiàn)的web系統(tǒng)可以使用的協(xié)議也存在不同的差異�����,其中:php: http���、https�、file���、gopher����、phar�、dict、ftp���、ssh��、telnet... java: http��、https�����、file���、ftp�、jar����、netdoc、mailto... 判斷漏洞是否存在的重要前提是���,請求是服務(wù)器發(fā)起的����,以上鏈接即使存在并不一定代表這個請求是服 務(wù)器發(fā)起的��。因此前提不滿足的情況下�,不需要考慮SSRF。http://www.xxx.com/image.php?image=http://www.xxc.com/a.jpg 前端獲取鏈接后�����,是由js來獲取對應(yīng)參數(shù)交由window.location來處理相關(guān)的請求����,或者加載到當(dāng)前的 iframe框架中�,此時并不存在SSRF ���,因為請求是本地發(fā)起�,并不能產(chǎn)生攻擊服務(wù)端內(nèi)網(wǎng)的需求�����。
2.2 漏洞出現(xiàn)點
分享 通過url 地址分享文章�,例如如下地址:http://share.magedu.com/index.php?url=http://127.0.0.1 通過url參數(shù)的獲取來實現(xiàn)點擊鏈接的時候跳到指定的分享文章�。如果在此功能中沒有對目標(biāo)地址的范圍 做過濾與限制則就存在著SSRF漏洞。
圖片加載與下載 通過URL地址加載或下載圖片 http://image.magedu.com/image.php?image=http://127.0.0.1 圖片加載存在于很多的編輯器中��,編輯器上傳圖片處��,有的是加載本地圖片到服務(wù)器內(nèi)���,還有一些采用 加載遠(yuǎn)程圖片的形式���,本地文章加載了設(shè)定好的遠(yuǎn)程圖片服務(wù)器上的圖片地址,如果沒對加載的參數(shù)做 限制可能造成SSRF�����。
圖片、文章收藏功能 http://title.magedu.com/title?title=http://title.magedu.com/as52ps63de 例如title參數(shù)是文章的標(biāo)題地址���,代表了一個文章的地址鏈接���,請求后返回文章是否保存、收藏的返回 信息���。如果保存����、收藏功能采用了此種形式保存文章��,則在沒有限制參數(shù)的形式下可能存在SSRF��。
利用參數(shù)中的關(guān)鍵字來查找 例如以下的關(guān)鍵字:share wap url link
src source target u 3g display sourceURl imageURL domain ...
2.3 漏洞繞過
部分存在漏洞��,或者可能產(chǎn)生SSRF的功能中做了白名單或者黑名單的處理�����,來達(dá)到阻止對內(nèi)網(wǎng)服務(wù)和資 源的攻擊和訪問���。因此想要達(dá)到SSRF的攻擊���,需要對請求的參數(shù)地址做相關(guān)的繞過處理��,常見的繞過方 式如下:
場景1:限制為http://www.xxx.com 域名時 可以嘗試采用http基本身份認(rèn)證的方式繞過���,http://www.xxx.com@www.xxc.com。在對@解析域名 中���,不同的處理函數(shù)存在處理差異,例如:http://www.aaa.com@www.bbb.com@www.ccc.com�, 在PHP的parse_url中會識別www.ccc.com,而libcurl則識別為www.bbb.com��。
場景2:限制請求IP不為內(nèi)網(wǎng)地址 即限制訪問所有內(nèi)網(wǎng)IP����,可采用短網(wǎng)址繞過,短網(wǎng)址轉(zhuǎn)換����。可以使用在線進(jìn)制轉(zhuǎn)換, 127轉(zhuǎn)換16進(jìn)制為7f��,系統(tǒng)中表示16進(jìn)制前面要加0x,8進(jìn)制前加0 可以解析為127.0.0.1采用進(jìn)制轉(zhuǎn)換�,127.0.0.1八進(jìn)制:0177.0.0.1。十六進(jìn)制:0x7f.0.0.1���。十進(jìn)制:2130706433
場景3:限制請求只為http協(xié)議 采用302跳轉(zhuǎn)�����,百度短地址��,或者使用短地址生成其他
場景4:利用句號繞過 127�。0��。0���。1 >>> 127.0.0.1 其他繞過形式可以查看:https://www.secpulse.com/archives/65832.html
3�����、查看是否存在SSRF漏洞
排除法:瀏覽器F12查看源代碼看是否是在本地進(jìn)行了請求 舉例:該資源地址類型為 http://www.xxx.com/a.php?image=(地址)的就可能存在SSRF漏洞���。2、Dnslog等工具進(jìn)行測試�����,查看是否被訪問 生成一個域名用于偽造請求,看漏洞服務(wù)器是否發(fā)起 DNS 解析請求����,若成功訪問在 http://DNSLog.cn 上就會有解析日志。3�、抓包分析發(fā)送的請求是不是由服務(wù)器的發(fā)送的,如果不是客戶端發(fā)出的請求��,則有可能是���,接著找 存在HTTP服務(wù)的內(nèi)網(wǎng)地址��。4、訪問日志檢查:偽造請求到自己控制的公網(wǎng)服務(wù)器���,然后在服務(wù)器上查看訪問日志是否有來自漏洞 服務(wù)器的請求����。5�����、掃描工具
4、Pikachu演示
4.1 SSRF(curl)
首先我們大概了解一下在PHP中curl函數(shù)是用來干什么的����。curl是一個庫,能讓你通過URL和許多不同種 的服務(wù)器進(jìn)行交流���,并且還支持許多協(xié)議�,重點是可以用來請求Web服務(wù)器�����。curl可以支持https認(rèn)證��、 http post�����、ftp上傳�����、代理�����、cookies、簡單口令認(rèn)證等等功能�����。
觀察URL����,發(fā)現(xiàn)它傳遞了一個URL給后 臺
我們可以把 url 中的內(nèi)容改為百度 http://127.0.0.1/vul/ssrf/ssrf_fgc.php?url=https://www.baidu.com
還可以利用file協(xié)議讀取本地文件
http://10.0.0.7:81/vul/ssrf/ssrf_curl.php?url=file:///etc/passwd
4.2 SSRF(file_get_content)
file_get_contents() 函數(shù)把整個文件讀入一個字符串中,是用于將文件的內(nèi)容讀入到一個字符串中的首 選方法�����。如果操作系統(tǒng)支持����,還會使用內(nèi)存映射技術(shù)來增強(qiáng)性能。php://filter:是一種元封裝器��, 設(shè)計用于數(shù)據(jù)流打開時的篩選過濾應(yīng)用��。 對于一體式(all-in-one)的 文件函數(shù)非常有用��,類似 readfile()����、 file() 和 file_get_contents(),在數(shù)據(jù)流內(nèi)容讀取之前沒有機(jī)會應(yīng) 用其他過濾器��。php://filter 目標(biāo)使用以下的參數(shù)作為它路徑的一部分���。復(fù)合過濾鏈能夠在一個路徑上指定����。詳細(xì)使用 這些參數(shù)可以參考具體范例���。PHP: php:// - Manual
file_get_contents里面帶有php://filter 我們用這個就可以來讀取php源碼�����,所以我們來構(gòu)造URL:
http://127.0.0.1/vul/ssrf/ssrf_fgc.php?file=php://filter/resource=ssrf.php http://127.0.0.1:8000/vul/ssrf/ssrf_fgc.php? file=php://filter/read=convert.base64-encode/resource=ssrf.php
直接使用 resource 指定 ssrf.php 文件�,可以看到訪問成功
但是php文件被解析了���,我們希望拿到網(wǎng)站的源代碼��,那么我們需要對代碼做一層編碼��,不讓他解析��, 拿到之后我們再進(jìn)行解碼���,這樣就拿到了網(wǎng)站的源代碼�����;在read參數(shù)中加入 convert.base64-encode PHP: 轉(zhuǎn)換過濾器 - Manual
http://127.0.0.1:8000/vul/ssrf/ssrf_fgc.php?file=php://filter/read=convert.base64-encode/resource=ssrf.php
然后網(wǎng)頁出現(xiàn)了base64編碼的代碼
利用解碼工具或hackbar:
該文章在 2023/12/7 11:47:23 編輯過
400 186 1886
