【漏洞挖掘】——33、SSRF攻防对抗(中)

已于 2024-06-06 09:55:21 修改
阅读量177 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 【WEB渗透】 文章标签: 安全 web安全 SSRF 渗透测试 信息安全 网络安全
于 2024-06-06 09:54:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Fly_hps/article/details/139489748
本文介绍了如何利用开放重定向漏洞规避SSRF过滤,并详细阐述了Blind SSRF的基本概念、检测方法及一个简易案例,通过靶场实战演示了攻击与防御策略。
重定向绕过检查
场景介绍

有时候通过利用开放重定向漏洞可以规避任何类型的基于过滤器的防御,在前面的SSRF示例中假设用户提交的URL经过严格验证以防止恶意利用SSRF行为,但是允许其URL的应用程序包含一个开放重定向漏洞,如果用于后端HTTP请求的API支持重定向,那么您可以构造一个满足过滤器的URL并构造一个到所需后端目标的重定向请求,例如:应用程序包含一个开放重定向漏洞,其中以下URL

/product/nextProduct?currentProductId=6&path=http://evil-user.net

将重定向返回到:

http://evil-user.net

您可以利用开放重定向漏洞绕过URL过滤器并利用SSRF漏洞,如下所示:

POST /product/stock HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 118

stockApi=http://weliketoshop.net/product/nextProduct?currentProductId=6&path=http://192.168.0.68/admin

这个SSRF漏洞之所以有效是因为应用程序首先验证所提供的stockAPI URL是否在允许的域中,事实也确实如此,然后应用程序请求所提供的URL,这将触发

了解本专栏 订阅专栏 解锁全文
网络安全 | 漏洞挖掘SSRF绕过实现窃取字节跳动LarkSuite元数据
等风来
01-22 4416
LarkSuite是字节跳动旗下的一款集成办公套件,提供团队协作、通讯、日程管理等功能的企业级应用。SSRF 通常存在于以下功能点:1、消息功能:部分聊天功能会渲染任何链接的预览。2、文件转换:将用户可控内容转换为PDF等文件类型。3、文件上传:SVG文件如果在服务器端渲染可能导致SSRF。4、文件导入:例如Excel文档、Word文档、Zip文件等通常需要服务器端处理。修改XML文件(存在于Excel、Word中)可能导致文档在服务器端处理时出现XXE/SSRF漏洞
漏洞挖掘】——34、SSRF攻防对抗()
Fly_鹏程万里
06-06 98
本篇文章我们续接前面的SSRF攻防对抗上、中篇对SSRF的防护绕过进行介绍。
pikachu练习—XXE/URL重定向/SSRF
ptxybird的博客
07-07 1072
pikachu练习—XXE/URL重定向/SSRF
渗透测试学习21:SSRF和URL重定向bypass
weixin_44315099的博客
03-15 2588
目录
burp靶场--ssrf
qq_33168924的博客
01-17 3417
服务器端请求伪造是一种 Web 安全漏洞,允许攻击者导致服务器端应用程序向非预期位置发出请求。在典型的 SSRF 攻击中,攻击者可能会导致服务器连接到组织基础设施内的仅供内部使用的服务。在其他情况下,他们可能能够强制服务器连接到任意外部系统。这可能会泄露敏感数据,例如授权凭据,或者代码执行。
网络安全第九天--XXE、URL重定向SSRF
2302_80097039的博客
11-14 421
什么是XXE既"xml外部实体注入漏洞"。概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题"也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。现在很多语言里面对应的解析xml的函数默认是禁止解析外部实体内容的,从而也就直接避免了这个漏洞。以PHP为例,在PHP里面解析xml用的是libxml,其在≥2.9.0的版本中,默认是禁止解析xml外部实体内容的。那么什么是xml。
漏洞挖掘】——32、SSRF攻防对抗()
Fly_鹏程万里
03-22 5050
SSRF(Server-Side Request Forgery,服务器端请求伪造)是一种由攻击者构造形成,由服务端发起请求的一个安全漏洞,产生的原因是由于服务端提供了从其他服务器应用获取数据的功能且没有对地址和协议等做过滤和限制,常见的一个场景就是通过用户输入的URL来获取图片,此功能如果被恶意使用就可以用存在缺陷的Web应用作为代理攻击远程和本地的服务器,这种形式的攻击称为服务端请求伪造攻击,SSRF攻击的目标是大多从外网无法访问的内部系统(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔
漏洞挖掘】——83、API接口安全问题刨析
Fly_鹏程万里
06-12 471
在HW期间的目标信息收集阶段,我们时而会遇到WSDL(Web Services Description Language)的XML格式文件,其定义了Web服务的接口、操作、消息格式和协议细节,在WSDL文件中很多时候都会指定服务的端口类型(Port Type)和绑定(Binding),绑定定义了如何使用 SOAP协议进行通信以及消息的格式和传输细节,而这很多时候会被对此不是很了解的红队队员会直接进行忽略,而部分对此有了解红队的会对接口进行Fuzzingc测试,试图找寻诸如命令执行、SQL诸如等漏洞,力争获取
【大学生版】AWD 赛事——网络安全攻防对抗竞赛
最新发布
锦鲤的博客
08-28 1482
AWD赛事是网络安全竞赛皇冠上的明珠,它将攻击的锋芒与防守的韧性完美结合,在高压、实时的环境下锤炼选手的综合实战能力。无论是“网鼎杯”、“强网杯”这样的国家级大赛,还是校内选拔赛,AWD都以其激烈的对抗性和极高的技术含量吸引着众多网络安全爱好者。理解其规则、流程,并通过真实案例体会其攻防博弈的精髓,是同学们迈向网络安全实战高手的重要一步。加油!
浅析SSRF的各种利用方式
m0_64583632的博客
11-10 1048
浅析SSRF的各种利用方式和绕过
pikachu通关教程(url重定向&SSRF
Bu2n的博客
12-15 2315
安全的url跳转SSRFSSRF(curl)SSRF(fgc) 不安全的url跳转 源码 $PIKA_ROOT_DIR = "../../"; include_once $PIKA_ROOT_DIR.'header.php'; $html=""; if(isset($_GET['url']) && $_GET['url'] != null){ $url = $_GET['url']; if($url == 'i'){ $html.="<p>.
SSRF的详解、复现与CTF下的SSRF
sGanYu
12-11 6849
借鉴于教父爱分享 SSRF 由攻击者构造,服务器端发起请求的安全漏洞漏洞属于信息泄露的一种。 一般情况下,SSRF的攻击目标大多是网站的内部系统(正因为请求是由服务器端发起的,所以服务器能请求到与自身相连而与外网隔离的内部系统),只要当前服务器有向其他服务器发送请求的地方都可能存在SSRF漏洞SSRF形成的原因 大多数都是由服务端提供了从其他服务器应用获取数据的操作,且没有对目标地址做过滤与限制,比如从指定URL地址获取网页文本内容,加载指定地址的图片文档等等 举个例子:假设现在有两个网站
SSRF跨协议重定向绕过漏洞分析
分享技术点滴
08-14 932
如上所述,我们在流行的request库中发现了一个可被利用的SSRF漏洞。尽管这个包已被弃用,但仍有超过50k个项目使用这个依赖,每周下载量超过1800万次。我们展示了攻击者如何通过简单地将请求重定向到另一个协议(例如HTTP到HTTPS)来绕过注入该库的任何反SSRF机制。虽然我们审查的许多库确实提供了针对此类攻击的保护,但像axios这样的库在存在类似错误配置时可能容易受到攻击。为了使这些问题更容易发现和避免,我们还发布了内部的Semgrep规则。
SSRF学习心得
m0_48294281的博客
11-21 665
SSRF(Server - Side Request Forgery),即服务器端请求伪造,是一种网络安全漏洞。它允许攻击者通过构造恶意请求,诱导服务器端应用程序向攻击者指定的目标发送请求,从而可能获取敏感信息或执行非预期的操作。
burpsuite靶场——SSRF
qq_61768489的博客
12-26 1830
即使有一些HTTP流量会被拦截,也会因为不怎么拦截DNS流量而获取我们想要的结果。从名字就能看出来这个插件可以对每一个点都进行collaborator测试以发现可以使用带外技术发送请求的点,为了方便插件进行测试,我们将靶场地址添加到目标中。有的后端系统用户是无法直接访问的,但是服务器可以成功向其发送请求,所以如果利用ssrf同样可以向这些本不对用户开放的后端系统发出恶意请求。有的情况还可以利用SSRF盲打对目标后端系统进行探测,比如探测目标网络中开放的主机及端口之类的,这些同样也可以通过带外通道接收到。
SSRF详解(包含多种SSRF攻击)
Zyu0
11-28 6639
服务器端请求伪造(也称为 SSRF)是一种 Web 安全漏洞,允许攻击者诱导服务器端应用程序向非预期位置发出请求。在典型的 SSRF 攻击中,攻击者可能会导致服务器连接到组织基础设施内的仅供内部使用的服务。在其他情况下,他们可能会强制服务器连接到任意外部系统,从而可能泄露授权凭证等敏感数据。如果攻击者能够将url参数更改为localhost,这可能允许他们查看服务器上托管的本地资源,从而使其容易受到服务器端请求伪造的攻击。滥用易受攻击的服务器与其他系统之间的信任关系绕过 IP 白名单。
pikachu靶场 URL重定向SSRF
Al_1的博客
10-06 697
URL重定向,服务端请求伪造
网络安全-SSRF漏洞原理、攻击与防御
热门推荐
关注网络安全、云原生安全
09-05 3万+
概述 SSRF(Server-Side Request Forgery,服务器端请求伪造) 是一种由攻击者构造请求,由服务端发起请求的一个安全漏洞。一般情况下,SSRF是要目标网站的内部系统(因为他是从内部系统访问的,所以它能够请求到与它相连而与外网隔离的内部系统。)。 原理 SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,文档等等。SSRF漏洞通过篡改获取资源的请求发送给服务器(服...
SSRF、URL跳转Bypass
Ju0se
12-05 2267
  http://google.com:80+&amp;@127.88.23.245:22/#+@google.com:80/ http://127.88.23.245:22/+&amp;@google.com:80#+@google.com:80/ http://google.com:80+&amp;@google.com:80#+@127.88.23.245:22/ http://1...
ssrf漏洞挖掘
04-01
<think>好的,我现在需要帮助用户了解如何挖掘SSRF漏洞以及相关的扫描工具。首先,我应该回忆一下SSRF的基本概念,用户可能已经知道一些,但需要更深入的指导。 根据系统指令,我需要使用中文,并正确应用LaTeX格式。不过这个问题主要涉及网络安全,可能数学公式较少,但如果有变量或代码示例的话要注意格式。比如,提到的工具名称或命令可能需要用行内代码块。 接下来,查阅用户提供的引用资料。引用[1]提到SSRFire这个工具,可以用来扫描和发现SSRF漏洞。同时,其他引用中的例子,比如利用PHP脚本攻击内网服务,或者结合Redis未授权访问,说明SSRF的利用场景。这些可以作为挖掘方法的实例。 用户的问题分为两部分:挖掘方法和工具。我需要将回答分成这两个部分。对于挖掘方法,需要分步骤说明,比如参数测试、协议利用、绕过技巧等。工具部分则需要列出工具名称、功能及使用方法,比如SSRFire、Burp Suite等。 需要注意的是,用户可能对具体操作步骤不熟悉,因此要详细但不过于技术化。例如,在参数测试中,可以提到常见的URL参数如url、image、load等,并举例说明如何修改这些参数的值来测试响应。 另外,引用中的例子展示了如何利用SSRF漏洞攻击内网服务,比如通过注入SQL或者写入webshell。这些可以作为挖掘过程中的利用场景,说明在发现潜在漏洞后如何进一步验证。 关于工具部分,SSRFire需要满足一定的环境要求,比如Ruby环境,用户可能需要安装依赖库。Burp Suite的Collaborator功能可能对新手来说比较陌生,需要简单解释其作用,比如检测带外请求。 还要注意引用标识的正确添加,每个引用的地方在末尾自然标注,比如在提到SSRFire时添加[^1],在讨论内网攻击时引用[3]和[4]。 最后,生成相关问题需要考虑用户可能进一步想知道的内容,比如如何防御SSRF、常见漏洞案例、工具的比较等。确保问题覆盖漏洞挖掘的不同方面,帮助用户深入理解。</think>### SSRF漏洞挖掘方法与工具指南 #### 一、SSRF漏洞挖掘方法 1. **参数测试法** - 重点关注接收URL/路径的参数(如`url`、`image`、`load`),尝试修改其值为`http://127.0.0.1`、`file:///etc/passwd`或内网地址(如`http://192.168.1.1`)[^1][^2]。 - 观察响应是否包含目标服务器数据(如本地文件内容、内网服务报错信息)。 2. **协议利用法** - 测试支持的协议(如`dict://`、`gopher://`、`ftp://`),利用`dict://`探测内网端口状态: ```http http://example.com?url=dict://127.0.0.1:6379/info # 检测Redis服务 ``` 3. **绕过技巧** - 使用域名重定向(如短链接服务)、IPv6地址(`[::1]`)、进制编码绕过过滤规则[^4]。 4. **带外检测(OOB)** - 通过Burp Collaborator或DNSLog生成随机域名,观察服务器是否发起请求: ```http http://example.com?url=http://xxx.dnslog.cn ``` --- #### 二、常用SSRF扫描工具 1. **SSRFire** - **功能**:自动化参数探测、支持多协议测试、可结合XSS和SQLi等漏洞[^1]。 - **使用示例**: ```bash ruby ssrfize.rb -u "http://target.com?url=PAYLOAD" --payloads urls.txt ``` 2. **Burp Suite** - 通过`Intruder`模块批量测试参数,配合`Collaborator`监听带外请求。 3. **Gopherus** - 生成`gopher://`协议攻击载荷,针对Redis/MySQL等内网服务自动化攻击[^3]。 --- #### 三、实战场景示例 1. **内网Web应用攻击** - 通过SSRF注入SQL语句到内网CMS系统[^3]: ```http http://vuln.com/ssrf.php?url=http://127.0.0.1/cms/show.php?id=-33 UNION SELECT ... ``` 2. **Redis未授权利用** - 写入Webshell到可访问目录(如`/upload`),再通过SSRF触发[^4]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值