SSRF漏洞挖掘利用技巧

参考文章

• SSRF漏洞(原理&绕过姿势)
• SSRF绕过方法总结
• SSRF绕过IP限制方法总结
• Tag： #SSRF
• Ref：

---

概述

---

总结

利用一个可以发起网络请求的服务当作跳板来攻击内部其他服务。

---

一、漏洞介绍

SSRF(Server-Side Request Forgery:服务器端请求伪造)

---

二、漏洞原理

由于服务端提供了从其他服务器应用获取资源的功能，但又没有对目标地址做严格过滤与限制，导致攻击者可以传入任意的地址来让后端服务器对其发起请求，并返回对该目标地址请求的数据。

数据流：攻击者--->服务器--->目标地址

---

三、漏洞危害

• 内网信息泄露（端口、物理路径、配置信息、本地文件泄露等）
• 内网或本地其他服务收到攻击，（DDos）
• 穿透防火墙
• 对内网web应用进行指纹识别，通过访问默认文件实现；

---

四、利用前提

• 目标网站获取资源的方式
• 可以控制目标网站获取指定资源，或向指定站点获取资源
• 获取指定资源后，顺利通过过滤，成功执行
• 可以获取过滤后或执行后的内容

---

五、挖掘利用

1、使用curl会话请求

描述

利用curl会话请求，获取相关地址的资源。

挖掘

因为可以通过GET请求、POST请求等方式，获取用户想要的目标资源，所以该漏洞的挖掘思路只能是判断观察服务器用户什么数据并执行（如给定数据https://www.baidu.com，观察是否访问了百度）

支持的协议dict file ftp ftps gopher http https imap imaps ldap ldaps pop3 pop3s rtmp rtsp scp sftp smb smbs smtp smtps telnet tftp

利用

使用http、https等协议，搜寻我们想要的信息。下面以GET型举例

//探测端口、内网IP、等
?curl=http://127.0.0.1:80

//探测服务器物理目录、文件等
?curl=file:///C:/Windows/System32/drivers/etc/hosts

2、file_get_contents()

描述

该函数是用于把文件的内容读入到一个字符串中的首选方法。但是实际情况下，常常会输出它。且该函数时二进制安全的。可以用它获取相关地址的资源。

挖掘

同上。

利用

不明，可以使用file、http、https。

3、fsockopen()

4、SSRF in java

网络请求支持的协议如下：http，https，file，ftp，mailto，jar，netdoc

以下几种类引用不当会造成SSRF ：Request类，URL类的openStream，HttpClient类，URLConnection和HttpURLConnection类，

5、SSRF in python

当使用了Python 的urllib库，请求url为用户可控时，就可能存在ssrf漏洞，且可以通过漏洞python urllib http头注入实现对内网未授权仿问的redis 服务器getshell

6、挖掘方向

• 分享：通过url地址分享网页内容
• 转码服务：通过url地址把源地址的网页内容调优使其适合手机屏幕浏览
• 在线翻译：通过url地址翻译对应文本的内容
• 能够对外发起网络请求的地方
• 请求远程服务器资源的地方
• 图片、文章、文件收藏功能
• 未公开的api实现以及其他调用url的功能
• 寻找关键字：share wap url link src source target u 3g display sourceURl imageURL domain（配合谷歌语法寻找）

7、绕过技巧

1.IP限制绕过

locahost绕过

攻击本地地址，过滤掉127.0.0.1的情况下，用locahost替代

[::]绕过

过滤掉locahost，可使用[::]替代

利用@

http://example.com@127.0.0.1

利用短地址

http://dwz.cn/11SMa （这个不太清楚）

进制转换绕过

十进制转换 八进制转换 十六进制转换  不同进制组合转换

例如将192.168.0.1改写成：

8进制格式：0300.0250.0.1
10进制整数格式：3232235521
16进制格式：0xC0.0xA8.0.1
16进制整数格式：0xC0A80001

利用Enclosed alphanumerics

利用Enclosed alphanumerics
ⓔⓧⓐⓜⓟⓛⓔ.ⓒⓞⓜ  >>>  example.com
List:
① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨ ⑩ ⑪ ⑫ ⑬ ⑭ ⑮ ⑯ ⑰ ⑱ ⑲ ⑳ 
⑴ ⑵ ⑶ ⑷ ⑸ ⑹ ⑺ ⑻ ⑼ ⑽ ⑾ ⑿ ⒀ ⒁ ⒂ ⒃ ⒄ ⒅ ⒆ ⒇ 
⒈ ⒉ ⒊ ⒋ ⒌ ⒍ ⒎ ⒏ ⒐ ⒑ ⒒ ⒓ ⒔ ⒕ ⒖ ⒗ ⒘ ⒙ ⒚ ⒛ 
⒜ ⒝ ⒞ ⒟ ⒠ ⒡ ⒢ ⒣ ⒤ ⒥ ⒦ ⒧ ⒨ ⒩ ⒪ ⒫ ⒬ ⒭ ⒮ ⒯ ⒰ ⒱ ⒲ ⒳ ⒴ ⒵ 
Ⓐ Ⓑ Ⓒ Ⓓ Ⓔ Ⓕ Ⓖ Ⓗ Ⓘ Ⓙ Ⓚ Ⓛ  Ⓝ Ⓞ Ⓟ Ⓠ Ⓡ Ⓢ Ⓣ Ⓤ Ⓥ Ⓦ Ⓧ Ⓨ Ⓩ 
ⓐ ⓑ ⓒ ⓓ ⓔ ⓕ ⓖ ⓗ ⓘ ⓙ ⓚ ⓛ ⓜ ⓝ ⓞ ⓟ ⓠ ⓡ ⓢ ⓣ ⓤ ⓥ ⓦ ⓧ ⓨ ⓩ 
⓪ ⓫ ⓬ ⓭ ⓮ ⓯ ⓰ ⓱ ⓲ ⓳ ⓴ 
⓵ ⓶ ⓷ ⓸ ⓹ ⓺ ⓻ ⓼ ⓽ ⓾ ⓿

利用句号

127。0。0。1  >>>  127.0.0.1

利用302跳转

如果后端服务器在接收到参数后，正确的解析了URL的host，并且进行了过滤，我们这个时候可以使用302跳转的方式来进行绕过。

http://xip.io 当我们访问这个网站的子域名的时候，例如192.168.0.1.xip.io，就会自动重定向到192.168.0.1。

DNS Rebinding

对于常见的IP限制，后端服务器可能通过下图的流程进行IP过滤

对于用户请求的URL参数，首先服务器端会对其进行DNS解析，然后对于DNS服务器返回的IP地址进行判断，如果在黑名单中，就pass掉。

但是在整个过程中，第一次去请求DNS服务进行域名解析到第二次服务端去请求URL之间存在一个时间查，利用这个时间差，我们可以进行DNS 重绑定攻击。

要完成DNS重绑定攻击，我们需要一个域名，并且将这个域名的解析指定到我们自己的DNS Server，在我们的可控的DNS Server上编写解析服务，设置TTL时间为0。这样就可以进行攻击了，完整的攻击流程为：

(1)、服务器端获得URL参数，进行第一次DNS解析，获得了一个非内网的IP

(2)、对于获得的IP进行判断，发现为非黑名单IP，则通过验证

(3)、服务器端对于URL进行访问，由于DNS服务器设置的TTL为0，所以再次进行DNS解析，这一次DNS服务器返回的是内网地址。

(4)、由于已经绕过验证，所以服务器端返回访问内网资源的结果。

2.协议限制绕过

当url协议限定只为http(s)时，可以利用follow redirect 特性

构造302跳转服务，

结合dict:// file:// gopher://

---

六、修复防范

如果一定要通过后台服务器远程去对用户指定("或者预埋在前端的请求")的地址进行资源请求，则请做好目标地址的过滤（黑白名单）。

• 限制协议为HTTP，HTTPS ，或禁止使用不需要的协议
• 设置URL白列表或限制内网IP
• 过滤返回信息
• 统一错误信息
• 限制请求的端口为http常用的端口

---

七、提出问题