一,简介
全称:Server-Side Request Forgery(中文:服务器端请求伪造)
攻击者从服务端发起请求,让服务器连接任意外部系统,从而泄露敏感数据。主要利用各种协议的请求伪造,例如php协议,gopher协议(ssrf中最强的)
二,原理。
1.服务端允许从其他服务器应用获取数据,但没有对目标地址做过滤与限制,从而导致在服务端可以访问内网而丢失关键信息。(这样做可以绕过防火墙,因为是从内部攻击,而非外部)
2.攻击者主动使应用通过127.0.0.1或localhost向服务器发出 HTTP 请求,原本直接访问admin/url并不会出问题,但是当该请求来自本地时,访问控制就会被绕过,攻击者就可以随便浏览想要的内容了。
三,细节
1.可用的协议包括但不限于
file:/// 从文件系统中获取文件内容,如,file:///etc/passwd
dict:// 字典服务器协议,访问字典资源,如,dict:///ip:6739/info:
sftp:// SSH文件传输协议或安全文件传输协议
ldap:// 轻量级目录访问协议
tftp:// 简单文件传输协议
gopher:// 分布式文档传递服务,可使用gopherus生成payload
2.可以攻击的漏洞包括但不限于
提供url分享,可以收藏图片,视频,提供在线转码和翻译,等可以发送请求同时可以人为控制地址的位置都有可能
3.防范意见——不完全
最好的办法:避免用户在代表服务器发出请求的函数中输入
黑白名单:控制能够获取内网信息的ip,防止应用被用于攻击内网
端口限制:将端口号限制为常见的80,8080等,
协议禁用:仅允许http和https等协议生效,防止其他协议带来的不必要的麻烦
过滤返回信息:以免关键信息被有心值人利用
4.ssrf绕过——不完全
(1)没有限制请求ip为内网ip
短网址 eg:百度短地址https://dwz.cn/
进制转换 将ip地址转换为8,16进制等
特殊域名
(2)域名限制
利用@ 不同的函数对@的解析有不同的方式
(3)限制请求方式仅为http
302跳转 暂时性跳转,
短地址
(4)其他
符号 包括但不限于 。 (1) 【::】 将其插入或包裹ip地址即可
编码 CRLF 编码,将ip地址转换为crlf编码
ctfhub
一,内网访问
1.打开题目,上面有提示,尝试访问位于127.0.0.1的flag.php
2.构造url
二,伪协议读取文件
1.打开环境,有提示,尝试去读取一下Web目录下的flag.php
2.构造url,/?url=file:///var/www/html/flag.php,出现???
3.查看源码即可
三,端口扫描(工具:bp)
1.打开环境,提示说端口范围是8000-9000(dict协议:探测开放的端口——payload: ?url=dict://127.0.0.1:8000)
2.用bp截取后,在开头构造GET /?url=http://172.0.0.1:8000 HTTP/1.1
3.发送至inturder板块,修改payloads中的内容,扫了以后就可以得到flag
四,post请求
1.打开环境,提示说发一个HTTP POST请求,ssrf是用php的curl实现的.并且会跟踪302跳转。
2.构造伪协议,因为要通过172.0.0.1访问,我们需要bp抓包来修改,先访问一下302.php,没有什么,再访问flag.php,有一个key值,但是不是我们想要的东西。
3.看一下flag.php的源码,上面说使用gopher://协议进行传输,修改一下
4.放包以后发现我们的url符号被转换,进行二次编码,就可以得到flag