知識(shí)梳理

1. SSRF(Server-Side Request Forgery:服務(wù)請(qǐng)求偽造)

是一種由攻擊者構(gòu)造，從而讓服務(wù)端發(fā)起請(qǐng)求的一種安全漏洞，
它將一個(gè)可以發(fā)起網(wǎng)絡(luò)請(qǐng)求的服務(wù)當(dāng)作跳板來(lái)攻擊其他服務(wù)，SSRF的攻擊目標(biāo)一般是內(nèi)網(wǎng);
通俗的來(lái)說(shuō)就是我們可以偽造服務(wù)器端發(fā)起的請(qǐng)求，從而獲取客戶端所不能得到的數(shù)據(jù)。
SSRF漏洞形成的原因主要是服務(wù)器端所提供的接口中包含了所要請(qǐng)求的內(nèi)容的URL參數(shù)，并且未對(duì)客戶端所傳輸過(guò)來(lái)的URL參數(shù)進(jìn)行過(guò)濾。

2. SSRF的危害

• (1)、可以對(duì)外網(wǎng)、服務(wù)器所在內(nèi)網(wǎng)、本地進(jìn)行端口掃描，獲取一些服務(wù)的banner信息;

• (2)、攻擊運(yùn)行在內(nèi)網(wǎng)或本地的應(yīng)用程序（比如溢出）;

• (3)、對(duì)內(nèi)網(wǎng)Web應(yīng)用進(jìn)行指紋識(shí)別，通過(guò)訪問默認(rèn)文件實(shí)現(xiàn);

• (4)、攻擊內(nèi)外網(wǎng)的Web應(yīng)用，主要是使用Get參數(shù)就可以實(shí)現(xiàn)的攻擊（比如Struts2漏洞利用，SQL注入等）;

• (5)、利用File協(xié)議讀取本地文件。

3. SSRF挖掘

以下業(yè)務(wù)場(chǎng)景容易出現(xiàn)這種漏洞

應(yīng)用從用戶指定的 URL 獲取圖片，然后把它用一個(gè)隨機(jī)名稱保存在硬盤上，并展示給用戶;
應(yīng)用獲取用戶指定 URL 的數(shù)據(jù)（文件或者 HTML）。這個(gè)函數(shù)會(huì)使用 socket 和 服務(wù)器建立 TCP 連接，傳輸原始數(shù)據(jù);
應(yīng)用根據(jù)用戶提供的 URL，抓取用戶的 Web 站點(diǎn)，并且自動(dòng)生成移動(dòng) Wap 站;
應(yīng)用提供測(cè)速功能，能夠根據(jù)用戶提供的 URL，訪問目標(biāo)站點(diǎn)，以獲取其在對(duì)應(yīng)經(jīng)緯度的訪問速度

其實(shí)只要能對(duì)外發(fā)起網(wǎng)絡(luò)請(qǐng)求就有可能存在SSRF漏洞。

1. 從WEB功能上尋找
    通過(guò)URL分享內(nèi)容
    文件處理、編碼處理、轉(zhuǎn)碼等服務(wù)
    在線翻譯
    通過(guò)URL地址加載與下載圖片
    圖片、文章的收藏
    設(shè)置郵件接收服務(wù)器
2. 從URL關(guān)鍵字尋找
    share、wap、url、link、src、source、target、u、3g、
    display、sourceURl、imageURL、domain...

可以通過(guò)谷歌語(yǔ)法(`inurl:url=),加上這些關(guān)鍵字去尋找 SSRF 漏洞

share
wap
url
image
link
src
source
target
u
3g
display
sourceUrl
imageUrl
domain

漏洞驗(yàn)證

http://www.douban.com/***/service?image=http://www.baidu.com/img/bd_logo1.png
1. 右鍵在新窗口打開圖片，若瀏覽器上URL地址為http://www.baidu.com/img/bd_logo1.png，
    說(shuō)明不存在SSRF漏洞。  
2. firebug看網(wǎng)絡(luò)連接信息，若沒有http://www.baidu.com/img/bd_logo1.png
    這個(gè)圖片請(qǐng)求，則證明圖片是豆瓣服務(wù)端發(fā)起的請(qǐng)求，則可能存在SSRF漏洞。

繞過(guò)過(guò)濾

有時(shí)漏洞利用時(shí)會(huì)遇到IP限制，可用如下方法繞過(guò)：

* 使用@：http://A.com@10.10.10.10 = 10.10.10.10
* IP地址轉(zhuǎn)換成十進(jìn)制、八進(jìn)制：127.0.0.1 = 2130706433
* 使用短地址：http://10.10.116.11 = http://t.cn/RwbLKDx
* 端口繞過(guò)：ip后面加一個(gè)端口
* xip.io：10.0.0.1.xip.io = 10.0.0.1
        www.10.0.0.1.xip.io = 10.0.0.1
        mysite.10.0.0.1.xip.io = 10.0.0.1
        foo.bar.10.0.0.1.xip.io = 10.0.0.1
* 通過(guò)js跳轉(zhuǎn)

參考文獻(xiàn)

鏈接：http://www.itdecent.cn/p/612c010e588e
鏈接：http://www.itdecent.cn/p/ad7b8079e0d5
鏈接：http://www.itdecent.cn/p/b263eb891893

靶場(chǎng)地址

http://59.63.200.79:8010/zf/upload/

• 通過(guò)dnslog平臺(tái)獲取域名，本地訪問獲取地址

http://dnslog.cn/

image

• 利用靶場(chǎng)進(jìn)行訪問，發(fā)現(xiàn)訪問地址發(fā)生變換

image

可驗(yàn)證時(shí)網(wǎng)頁(yè)服務(wù)端發(fā)起請(qǐng)求，存在SSRF漏洞

• 利用 dict://協(xié)議探測(cè)端口,通過(guò)burp跑包

image

image

端口22|80|81|3306端口開放

• 發(fā)現(xiàn)81端口開放,為http服務(wù)

image

訪問81端口,查看源碼獲得 flag{ssrf_good_hacking}

http://59.63.200.79:8019/index.php?url=http%3A%2F%2F127.0.0.1%3A81

image