SSRF

0x01 ssrf原理与成因

 

SSRF　服务器端请求伪造)，是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。

 

SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容，加载指定地址的图片，下载等等。

 

（注：除了http/https等方式可以造成ssrf，类似tcp connect 方式也可以探测内网一些ip 的端口是否开发服务，只不过危害比较小而已）

 

0x02 ssrf可能出现的地方

 

1.社交分享功能：获取超链接的标题等内容进行显示

 

2.转码服务：通过URL地址把原地址的网页内容调优使其适合手机屏幕浏览

 

3.在线翻译：给网址翻译对应网页的内容

 

4.图片加载/下载：例如富文本编辑器中的点击下载图片到本地；通过URL地址加载或下载图片

 

5.图片/文章收藏功能：主要其会取URL地址中title以及文本的内容作为显示以求一个好的用具体验

 

6.云服务厂商：它会远程执行一些命令来判断网站是否存活等，所以如果可以捕获相应的信息，就可以进行ssrf测试

 

7.网站采集，网站抓取的地方：一些网站会针对你输入的url进行一些信息采集工作

 

8.数据库内置功能：数据库的比如mongodb的copyDatabase函数

 

9.邮件系统：比如接收邮件服务器地址

 

10.从远程服务器请求资源（upload from url 如discuz！；import & expost rss feed 如web blog；使用了xml引擎对象的地方 如wordpress xmlrpc.php）

0x03 ssrf利用

 

1.让服务端去访问相应的网址

 

2.让服务端去访问自己所处内网的一些指纹文件来判断是否存在相应的cms

 

3.可以使用file、dict、gopher[11]、ftp协议进行请求访问相应的文件

 

4.攻击内网web应用（可以向内部任意主机的任意端口发送精心构造的数据包{payload}）

 

5.攻击内网应用程序（利用跨协议通信技术）

 

6.判断内网主机是否存活：方法是访问看是否有端口开放

 

7.DoS攻击（请求大文件，始终保持连接keep-alive always）

 

0x04 绕过手法

 

1、 @ 例如：http://xxxxx.com@127.0.0.1

 

2、 利用句号 例如：127。0。0。1  >>>  127.0.0.1

 

3、 利用短地址址绕过

 

4、 特殊域名xip.io 例如：http://www.xxx.org.127.0.0.1.xip.io/

 

5、 利用进制转换 不同进制组合转换

 

0x05 漏洞修复

1.禁止跳转

2.过滤返回信息，验证远程服务器对请求的响应是比较容易的方法。如果web应用是去获取某一种类型的文件。那么在把返回结果展示给用户之前先验证返回的信息是否符合标准。

3.禁用不需要的协议，仅仅允许http和https请求。可以防止类似于file://, gopher://, ftp:// 等引起的问题

4.设置URL白名单或者限制内网IP（使用gethostbyname()判断是否为内网IP）

5.限制请求的端口为http常用的端口，比如 80、443、8080、8090

6.统一错误信息，避免用户可以根据错误信息来判断远端服务器的端口状态。

 

0x06 利用的协议

 

File协议： 在有回显的情况下，利用 file 协议可以读取任意内容

 

dict协议：泄露安装软件版本信息，查看端口，操作内网redis服务

 

gopher协议：支持发出GET、POST请求，可以截获get请求包和post请求包，构造成符合gopher协议的请求。

 

（注：gopher协议是ssrf利用中一个最强大的协议(俗称万能协议)。可用于反弹shell）

 

http及https协议：探测内网主机存活

 

0x07 ssrf的危害

 

1.内外网的端口和服务扫描

 

2.攻击运行在内网或本地的应用程序

 

3.对内网web应用进行指纹识别，识别重要资产信息

 

4.利用file协议读取本地敏感数据文件等