[系统运维]SSRF服务器端请求伪造

SSRF服务器端请求伪造

• SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造恶意数据，形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统，正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内部系统
• SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制，比如从指定URL地址获取网页文本内容，加载指定地址的图片，下载等等

SSRF常见场景

社交分享功能

• 获取超链接的标题等内容进行显示

转码服务

• 通过URL地址把原地址的网页内容调优使其适合手机屏幕浏览

在线翻译

• 给网址翻译对应网页的内容

图片加载/下载

• 例如富文本编辑器中的点击下载图片到本地；通过URL地址加载或下载图片

编码处理，属性信息处理，文件处理

• 如ffpmg，ImageMagick，docx，pdf，xml处理器等

url中的关键字:

• share、wap、url、link、src、source、target、u、3g、display、sourceURI、imageURL、domain

从远程服务器请求资源

• (upload from url 如discuz！; import & expost rss feed 如web blog；使用了xml引擎对象的地方 如wordpress xmlrpc.php )

SSRF危害

• 可以对外网服务器所在内网、本地进行端口扫描，获取服务端口的Banner信息
• 攻击运行在内网或本地的应用程序（如Fastcgi, redis等）
• 对内网Web应用进行指纹识别，通过访问默认文件实现（如Readme等文件）
• 攻击内外网的Web应用，使用GET就可以实现的攻击（比如 Struts2, Redis等）
• 利用File协议读取本地文件

SSRF漏洞产生

Curl命令

curl 是常用的命令行工具，可以用来请求 Web 、SFTP、Gopher、SCP、Telnet、DICT、FILE、LDAP、LDAPS、IMAP、POP3、SMTP和 RTSP，curl中也包含了用于程序开发的libcurl。

file_get_contents函数

通常file_get_contents在php函数中经常和**php://input**伪协议结合利用，当file_get_contents函数的参数为url地址加载文件或者图片时，也会造成远程文件包含，或者ssrf漏洞

fsockopen函数

打开一个网络连接或者一个Unix套接字连接

SSRF利用方式

Http和Https协议

File协议

• file协议主要用于访问本地计算机中的文件，命令格式为：file://文件路径
• 可以利用file协议读取目标机有权限且确定路径的文件

Dict协议

1. 可以利用dict协议探测本地服务器（127.0.0.1）的端口以及内网服务器存活以及开放端口

dict://serverip:port/命令:参数

• 向服务器的端口请求为【命令:参数】，并在末尾自动补上\r\n(CRLF)

Gopher协议

1. Gopher是Internet上一个非常有名的信息查找系统

• 它将Internet上的文件组织成某种索引，很方便地将用户从Internet的一处带到另一处。在WWW出现之前，Gopher是Internet上最主要的信息检索工具，Gopher站点也是最主要的站点，使用tcp70端口

1. gopher协议支持发出GET、POST请求

• 可以先截获get请求包和post请求包，在构成符合gopher协议的请求。gopher协议是ssrf利用中最强大的协议

Gopher协议格式

gopher://<host>:<post>/<gopher-path> 后接TCP数据流

• gopher的默认端口是70
• 如果发起post请求，回车换行需要使用%0d%0a，如果多个参数，参数之间的&也需要进行URL编码

Gopher协议使用限制条件

协议	支持情况
PHP	php版本>=5.3
Java	小于JDK1.7
Curl	低版本不支持
Perl	支持
ASP.NET	小于版本3

SSRF绕过技巧

攻击本地

http://127.0.0.1:80
http://localhost:22

利用[::]

利用[::]绕过localhost
http://[::]80/ <==> http://127.0.0.1

利用@

http://example.com@127.0.0.1/

利用短地址

https://bit.ly/2QyXEsz <==> http://127.0.0.1

在线短地址生成工具

http://dwz.chacuo.net/bitly

利用DNS解析

在域名上设置A记录，指向127.0.0.1

利用句号

127.0.0.1 <==> 127.0.0.1

利用进制转换

可以是十六进制，八进制等

http://127.0.0.1 <==> http://0177.0.0.1/

SSRF漏洞修复

禁止跳转

过滤返回信息
如果web应用是去获取某一种类型的文件。那么在把返回结果展示给用户之前先验证返回的信息是否符合标准

禁用不需要的协议，仅仅允许http和https请求
可以防止类似于file://, gopher://, ftp:// 等引起的问题

设置URL白名单或者限制内网IP
使用gethostbyname()判断是否为内网IP

限制请求的端口为http常用的端口
比如 80、443、8080、8090

统一错误信息
避免用户可以根据错误信息来判断远端服务器的端口状态

pikachu

1.使用http协议读info1.php

http://127.0.0.1/pikachu/vul/ssrf/ssrf_curl.php?url=http://127.0.0.1/pikachu/vul/ssrf/ssrf_info/info1.php

2.访问百度

http://127.0.0.1/pikachu/vul/ssrf/ssrf_curl.php?url=https://www.baidu.com

3.使用file协议读文件内容

http://127.0.0.1/pikachu/vul/ssrf/ssrf_curl.php?url=file:///C:2.txt

?4.存活ip探测

http://127.0.0.1/pikachu/vul/ssrf/ssrf_curl.php?url=http://192.168.5.78

http://127.0.0.1/pikachu/vul/ssrf/ssrf_curl.php?url=dict://192.168.5.78

?不存在则会一直加载

?5.端口探测

http://127.0.0.1/pikachu/vul/ssrf/ssrf_curl.php?url=dict://192.168.5.78:3306

http://127.0.0.1/pikachu/vul/ssrf/ssrf_curl.php?url=http://192.168.5.78:3306

?不存在则无特殊回显