SSRF绕过姿势

0x00 什么是SSRF?

SSRF(Server-Side Request Forgery，服务器端请求伪造):是一种由攻击者构造形成由服务器端发起请求的一个漏洞。

SSRF 攻击的目标是从外网无法访问的内部系统

漏洞成因 服务端提供了从其他服务器应用获取数据的功能且没有对目标地址作过滤和限制。

0x01 SSRF的危害

攻击者可利用SSRF绕过防火墙，接触内部网络

攻击者可以利用 SSRF 实现的攻击主要有 5 种：

可以对外网、服务器所在内网、本地进行端口扫描，获取一些服务的 banner 信息

攻击运行在内网或本地的应用程序（比如溢出）

对内网 WEB 应用进行指纹识别，通过访问默认文件实现

攻击内外网的 web 应用，主要是使用 GET 参数就可以实现的攻击（比如 Struts2，sqli 等）

利用 file 协议读取本地文件等

0x02 SSRF出现场景

能够对外发起网络请求的地方，就可能存在 SSRF 漏洞

从远程服务器请求资源（Upload from URL，Import & Export RSS Feed）

数据库内置功能（Oracle、MongoDB、MSSQL、Postgres、CouchDB）

Webmail 收取其他邮箱邮件（POP3、IMAP、SMTP）

文件处理、编码处理、属性信息处理（ffmpeg、ImageMagic、DOCX、PDF、XML）

0x03 常见防御及绕过方法

一、检查IP是否为内网IP

很多开发者认为，只要检查一下请求url的host不为内网IP，即可防御SSRF。

通常使用正则过滤以下5个IP段：

192.168.0.0/16​10.0.0.0/8​172.16.0.0/12​127.0.0.0/8​0.0.0.0/8   #在Linux下，127.0.0.1与0.0.0.0都指向本地

这种防御方法通常可以用IP地址进制转换绕过

利用八进制IP地址绕过 0177.0.0.1

利用十六进制IP地址绕过 0x7f000001

利用十进制的IP地址绕过 2130706433

可以看到实际请求都是127.0.0.1，但他们一个都匹配不上正则表达式。

二、Host获取与DNS绕过

检查获取到的Host是否是内网IP防御SSRF

这种防御方法可以用DNS解析绕过

Host可能是IP形式，也可能是域名形式。

如果Host是域名形式，我们是没法直接比对的，只要其解析到内网IP上，就可以绕过。

网上有个神奇域名 http://xip.io (有墙)，www.127.0.0.1.xip.io,会自动解析到127.0.0.1

三、通过各种协议

GOPHER：通过GOPHER我们在一个URL参数中构造Post或者Get请求，从而攻击内网应用，例如Redis服务。

File：用File协议访问本地计算机中的文件,例如file:///etc/password.

四、利用URL解析器滥用问题

某些情况下，后端程序可能会对访问的URL进行解析，对解析出来的host地址进行过滤。

这时候可能会出现对URL参数解析不当，导致可以绕过过滤

http://www.baidu.com@127.0.0.1

当后端程序通过不正确的正则表达式,对上述URL的内容解析的时候

会认为访问URL的host为www.baidu.com,而实际上请求的是127.0.0.1上的内容

0x04 实验URL解析器滥用

搭建实验环境

Github上有一个SSRF防御的safe_code：https://github.com/chengable/safe_code/blob/master/ssrf_check.php

木有远程机器，本地搭建测试一下吧

将下面修改后的代码保存为index.php

<?php highlight_file(__FILE__);function check_inner_ip($url) {     $match_result=preg_match('/^(http|https|gopher|dict)?:\/\/.*(\/)?.*$/',$url);     if (!$match_result)     {         die('url fomat error');     }     try     {         $url_parse=parse_url($url);     }     catch(Exception $e)     {         die('url fomat error');         return false;     }     $hostname=$url_parse['host'];     $ip=gethostbyname($hostname);     $int_ip=ip2long($ip);     return ip2long('127.0.0.0')>>24 == $int_ip>>24 || ip2long('10.0.0.0')>>24 == $int_ip>>24 || ip2long('172.16.0.0')>>20 == $int_ip>>20 || ip2long('192.168.0.0')>>16 == $int_ip>>16; } ​function safe_request_url($url) { ​    if (check_inner_ip($url))     {         echo $url.' is inner ip';     }     else     {        $ch = curl_init();         curl_setopt($ch, CURLOPT_URL, $url);         curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);         curl_setopt($ch, CURLOPT_HEADER, 0);         $output = curl_exec($ch);         $result_info = curl_getinfo($ch);         if ($result_info['redirect_url'])         {             safe_request_url($result_info['redirect_url']);         }         curl_close($ch);         var_dump($output);     } ​} ​$url = $_POST['url']; if(!empty($url)){     safe_request_url($url); } ?>

新建一个flag.php,写一串字符串当作flag

程序对用户传来的数据，会先使用 safe_request_url 函数对URL的合法性进行判断。

而在 safe_request_url 函数中，使用 check_inner_ip 函数判断用户请求的IP是否为内部IP地址

如果是内部IP，则拒绝该请求；否则使用curl进行请求，并将请求结果进行输出。

利用URL解析器之间的差异处理，参考Orange师傅的PPT

构造payload:

curl -d "url=http://foo@127.0.0.1:80@www.baidu.com/flag.php" "http://192.168.43.157"