SSRF漏洞的挖掘思路与技巧

什么是SSRF？

SSRF(Server-Side Request Forgery：服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容，加载指定地址的图片，下载等等。

通俗的说，如果我们将换为与该服务器相连的内网服务器地址会产生什么效果呢？比如127.0.0.1、10.0.0.1、192.168.1.1等等，如果存在该内网地址就会返回1xx 2xx 之类的状态码，不存在就会返回其他的状态码；如果应用程序对用户提供的URL和远端服务器返回的信息没有进行合适的验证和过滤，就可能存在这种服务端请求伪造的缺陷。

到这里先解决两个问题：

1、为什么要请求127.0.0.1、10.0.0.1、192.168.1.1，有什么区别呢？

答：127.0.0.1只是代表你的本机地址，如果该网站只有一个服务器的情况下，是可以访问127.0.0.1的来判断的，但要明确一点，127.0.0.1其实并不是内网地址，内网地址是有严格的地址段的，这是ipv4地址协议中预留的，分别是10.0.0.0--10.255.255.255、172.16.0.0--172.31.255.255 、192.168.0.0--192.168.255.255。

2、如果请求地址会返回状态码，那请求地址+端口会不会返回状态码呢？

答：当然会返回状态码，只是探测内网地址的话属实不够看的，所以如果一个点存在SSRF，那势必要尝试一下能不能探测内网端口，比如，假设10.0.0.1这个地址存在，那我们可以尝试请求10.0.0.1:21、10.0.0.1:3306、10.0.0.1:6379等内网的常用端口，如果探测结果有收获的话，那就可以为其他工作节省很多时间。

基础的SSRF漏洞利用

随便找了个输入点，大家就假装这个图中的点就是漏洞点吧，因为真正的漏洞点不好放出来，也不好打码，理解万岁。

不过可能会有疑问，如何知道这个点就是漏洞点呢？其实这个东西不好回答，因为没有成文的规定，经验成分居多吧，如果看到让用户输入url，导入外部链接的这些点，就可以去尝试一下。

进入正题，如果这是一个漏洞点，那我们怎么应用？最简单的方法，ceye.io。CEYE是一个用来检测带外流量的监控平台，如DNS查询和HTTP请求。一些漏洞类型没有直接表明攻击是成功的，就如同此处的SSRF，Payload触发了却不在前端页面显示。这时候使用CEYE平台，通过使用诸如DNS和HTTP之类的带外信道，便可以得到回显信息。

用法也很简单，登录CEYE.IO，在用户详情页可以看到自己的域名标识符 identifier，对于每个用户，都有唯一的域名标识符abcdef.ceye.io 。所有来自于abcdef.ceye.io或.abcdef.ceye.io/ 的DNS查询和HTTP请求都会被记录。通过查看这些记录信息，就可以判断漏洞详情。

比如我在此输入我的域名标识符，如图：

然后我就可以去ceye.io观察是否有请求记录，结果得到记录：

当然我们也可以通过抓包，在包里修改url的信息构造不同的请求，然后观察返回的状态码来探测信息。

所以通过上述两种方法，就可以确定这个地方确实是有SSRF漏洞的。不过仅仅到这是不够的，除非有进一步的操作证明危害，所以接下来会演示探测端口。

简单的SSRF绕过

上面说的漏洞点本身就是一个让用户输入链接的地方，那自然就不必绕过，但是如果漏洞点是一个加载图片的地方，想必大家都见过社区或者论坛有这样一个模块点，就是可以让用户导入外部的图片链接进行评论或者其他，比如下图：

那么这种地方，也是可能存在SSRF的，不过当我们输入ceye.io却发现并没有回显请求，这是因为这种地方一般会对后缀做一个检测，如果不是jpg或者其他图片后缀的话并不会通过，不过好在ceye.io是很强大的，我们可以随便构造，abcdef.ceye.io/ichunqiu.jpg, 对其进行输入，再去观察有无回显，结果有了：

有其他限制的话都是一个道理，也可以在burp里截包改包达到此效果。

一个特殊的SSRF

有一次挖洞遇到一个站，就假设是www.xxx.com吧，是一个开源的系统，于是就在网上下载了这个开源的系统，一点一点的对其审计，在某个文件里发现这么一个链接：http://127.0.0.1/abc.php?url=http://www.baidu.com， 这可不是跳转，结合上下代码，发现此链接好像是服务器发起的请求操作，因为127.0.0.1是本机地址，所以尝试构造http://www.xxx.com/abc.php?url=http://www.baidu.com， 发现也可以成功访问，隐约觉得这是一个操作的地方，由于那个开源系统找不到了，所以没法贴图了，只能一步一步的详细说了。

总之通过分析上下的代码，发现这个链接的构成是由赋予abc.php一个外部的url参数，在没有任何过滤，任何防护的情况下读取这个外部url并发起请求，那么是否可以读取内网地址呢？

于是构造：

http://www.xxx.com/abc.php?url=http://127.0.0.1:80， 为什么第一次就要访问80端口？因为该站是可以访问的，所以80端口必开放，第一次探测80也是想看一看正确返回与错误返回的区别，访问完http://www.xxx.com/abc.php?url=http://127.0.0.1:80后， 得到正确的返回结果，就可以尝试继续访问90端口，100端口，等等。

不过这个地方既然存在SSRF，且url参数没有任何防护与过滤，那可不可以尝试读取文件呢？

继续构造：

http://www.xxx.com/abc.php?url=file:///C:/Windows/win.ini

发现读取成功，所以又成功探测到一枚文件读取。

WebLogic的SSRF漏洞

我们接下来聊一下WebLogic的SSRF漏洞。WebLogic的SSRF漏洞算是一个比较知名的SSRF漏洞，具体原理可以自行谷歌。本篇主要是通过复现该漏洞来加深对SSRF漏洞的理解。

WebLogic的SSRF漏洞的存在页面样子是这样的：

在学习这块的时候，天真的以为只要存在这个页面就必有SSRF，结果当然是否定的，在借鉴了猪猪侠大佬的PPT之后，发现一共有如图四种回显状态：

那么可以通过构造：

http://xxx.com/uddiexplorer/SearchPublicRegistries.jsp?operator=http://

(要探测的内网地址)

&rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search

对其进行探测，观察其回显状态，判断是否存在目标网段，这个地方最主要的就是operator这个参数，主要思路就是通过修改这个参数，来探测内网地址和内网端口。不过问题来了，上面刚才说内网地址那么多，我们要怎么才能知道呢？

在WebLogicSSRF的漏洞页面点击这里：

就会来到这里，有时候由于配置不当的关系，这个地方会直接给出内网地址的网段：

有网段了，就可以一点一点的探测了，探测内网的telnet，ssh，redis，以及各个数据库，为以后的内网漫游做好信息收集。还有，在WebLogic的SSRF中，有一个比较大的特点，就是虽然它是一个“GET”请求，但是我们可以通过传入%0a%0d来注入换行符，而某些服务（如redis）是通过换行符来分隔每条命令，也就说我们可以通过该SSRF攻击内网中的redis服务器。

手动反弹shell，就是常规的发送redis命令，然后把弹shell脚本写入crontab中，最后用get发送命令，不过别忘了，get发送命令的时候要进行url编码，最后在服务器上进行监听就OK了。

当然，作为一名脚本小子，手动探测以及反弹shell太累了，在此贴上一个大牛的脚本，可以很方便的探测SSRF的网段以及每个网段的端口，甚至还有反弹shell的功能，地址：

https://github.com/NoneNotNull/SSRFX

总结

SSRF这个漏洞虽然在各大SRC上都被评为低危，但是这是因为它本身的危害有限，若是与其他漏洞结合起来会对你的渗透过程方便很多，它的强大之处是在于探测到一些信息之后从而进一步加以利用。比如获取内网的开放端口信息，主机的信息收集和服务banner信息，攻击内网和本地的应用程序及服务，还有就是利用file协议读取本地文件等。