【漏洞挖掘】——32、SSRF攻防对抗(上)

已于 2024-06-06 09:44:06 修改
阅读量5k 收藏 2
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 【WEB渗透】 文章标签: 渗透测试 信息安全 网络安全
于 2018-03-22 18:37:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Fly_hps/article/details/79658059
本文详细介绍了SSRF漏洞的基本概念、挖掘方法以及攻防案例,包括攻击服务器本身和攻击其他后端系统。通过具体的靶场练习,展示了如何绕过黑名单和白名单过滤,实现对敏感接口的访问,揭示了SSRF攻击的严重性及其防范措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

基本介绍

SSRF(Server-Side Request Forgery,服务器端请求伪造)是一种由攻击者构造形成,由服务端发起请求的一个安全漏洞,产生的原因是由于服务端提供了从其他服务器应用获取数据的功能且没有对地址和协议等做过滤和限制,常见的一个场景就是通过用户输入的URL来获取图片,此功能如果被恶意使用就可以用存在缺陷的Web应用作为代理攻击远程和本地的服务器,这种形式的攻击称为服务端请求伪造攻击,SSRF攻击的目标是大多从外网无法访问的内部系统(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)

漏洞挖掘
业务逻辑

SSRF是由于服务端获取其他服务器的相关信息的功能中形成的,下面列举几种在web应用中常见的从服务端获取其他服务器信息的的功能:

  • XXE漏洞点
  • 其他加载URL的功能
  • JDBC数据库测试链接服务
  • 图片/文章收藏:通过URL获取目标的title等信息 
  • 图片加载/下载:通过URL加载网络图片(头像上传等)
  • 转码服务:适配手机屏幕大小并通过URL地址进行图片转码 
  • 分享功能:通过URL地址分享网页内容,通过URL获取目标页标签等内容 
筛关键字

在对功能上存在SSRF漏洞中URL地址特征进行观察发现大致都包含有以下关键字:

  • 3g
  • url
  • src
  • link
  • Wap
  • domain
  • s
了解本专栏 订阅专栏 解锁全文
漏洞挖掘】——33、SSRF攻防对抗()
Fly_鹏程万里
06-06 124
有时候通过利用开放重定向漏洞可以规避任何类型的基于过滤器的防御,在前面的SSRF示例中假设用户提交的URL经过严格验证以防止恶意利用SSRF行为,但是允许其URL的应用程序包含一个开放重定向漏洞,如果用于后端HTTP请求的API支持重定向,那么您可以构造一个满足过滤器的URL并构造一个到所需后端目标的重定向请求,例如:应用程序包含一个开放重定向漏洞,其中以下URL。
漏洞挖掘】——34、SSRF攻防对抗()
Fly_鹏程万里
06-06 86
本篇文章我们续接前面的SSRF攻防对抗上、中篇对SSRF的防护绕过进行介绍。
文件上传 00截断
qq_69100706的博客
08-05 1645
在CTF(Capture The Flag)竞赛中,00截断(Null Byte Truncation)是一种利用Web应用程序对上传文件处理不当的技巧,尤其是在处理文件名或文件内容时。00截断依赖于某些编程语言或系统在遇到ASCII null字节(\x00)时的行为,即终止字符串解析或文件处理。
文件上传-00截断
weixin_45711977的博客
07-18 2621
文件上传-00截断
文件上传漏洞(.htaccess、文件上传截断、条件竞争)
最新发布
2401_84168785的博客
07-16 209
1.(1)GET方式的%00会被服务器进行URL解码成null,而POST方式需要先自己进行URL解码成null后再发送报文,而本关卡为post型,故而需要使用bp将%00进行url解码,如下所示。截断的产生主要原因就是存在%00这个字符,PHP<5.3.4时,会把它当做结束符,导致后面的数据直接忽略,造成截断,上传时如果上传文件的路径可控,可以通过00截断,进行木马上传。(1)当上传文件时,会显示上传成功,但会立马显示文件已删除,如下图。(3)然后再将文件路径输入再抓包,多次请求,直到请求成功。
CTFHUB-文件上传()00截断
慢就是快
04-01 924
文章目录1.题目2.初次上传尝试3.再次上传4.蚁剑链接5.查找Flag 1.题目 根据提示去百度翻阅了解了一下PHP 5.2 00截断原理 2.初次上传尝试 上传了一个shell.php%00.jpg提示上传成功,并在响应包发现源码 if (!empty($_POST['submit'])) { $name = basename($_FILES['file']['name']); $info = pathinfo($name); $ext = $info['extension
CTFHub 文件上传-00截断
weixin_44732566的博客
03-05 4138
CTFHub 文件上传-00截断 00截断有限制,php版本得低于5.3,并且GPC得关闭,一般在url上。 两种,%00和0x00,后台读取是遇到%00就会停止。 举个例子,url中输入的是upload/post.php%00.jpg,那么后台读取到是upload/post.php,就实现了绕后目的。 进入题目,上传一个名为post.php%00.jpg的文件,弹出一个上传成功的弹窗,上传成...
网安入门12-文件上传(黑白名单,00截断)
m0_61499194的博客
01-09 2275
比如发送的htp包里把文件名改成test.asp.或test.asp_(下划线为空格),这种命名方式在windows系统里是不被允许的,所以需要在burp之类里进行修改,然后绕过验证后,会被windows.系统自动去掉后面的点和空格,但要注意Unix/Linux系统没有这个特性。原因在于GET传参和POST传参不同,post数据的特点是我们把包发过去之后,服务器会进行URL二次编码,编码后的参数到了后端再解码执行,相当于传到服务器的是%25%30%30,到了后端还是%00。
漏洞挖掘】——83、API接口安全问题刨析
Fly_鹏程万里
06-12 401
在HW期间的目标信息收集阶段,我们时而会遇到WSDL(Web Services Description Language)的XML格式文件,其定义了Web服务的接口、操作、消息格式和协议细节,在WSDL文件中很多时候都会指定服务的端口类型(Port Type)和绑定(Binding),绑定定义了如何使用 SOAP协议进行通信以及消息的格式和传输细节,而这很多时候会被对此不是很了解的红队队员会直接进行忽略,而部分对此有了解红队的会对接口进行Fuzzingc测试,试图找寻诸如命令执行、SQL诸如等漏洞,力争获取
记一次北京某大学逻辑漏洞挖掘,从零基础到精通,收藏这篇就够了!
A1_3_9_7的博客
07-07 854
逻辑漏洞挖掘主打一个BP抓包,看请求包和请求返回包,分析包的代码,看有没有可以利用的参数,更改参数,不断尝试,去测试所有功能点,就会有意想不到的结果。
文件上传绕过之00截断
weixin_44840696的博客
05-26 2万+
00截断是文件上传时的bypass手段之一,很多人知道这种绕过方法,但却知其然不知其所以然,对于其原理以及什么场合下适用并没有很好的了解,本文就来谈一谈00截断是怎么工作的,在什么场合下适合使用它 1. 【00截断原理】 谈到00截断我们都会想到,有什么0x00截断,%00截断,也有人对两个东西分析一大堆,那么它俩有什么区别呢,什么场合适用哪一个呢?这就要从00截断的原理说起: 其实截断的原理...
绕过权限拿shell 00截断
10-19
绕过权限拿shell 00截断 可以在网上找到这些利用过程,本过程是实战经验,建议在主机的主机上使用。
【文件上传】00截断详解
热门推荐
redwand的博客
02-03 2万+
00截断是操作系统层的漏洞,由于操作系统是C语言或汇编语言编写的,这两种语言在定义字符串时,都是以\0(即0x00)作为字符串的结尾。操作系统在识别字符串时,当读取到\0字符时,就认为读取到了一个字符串的结束符号。因此,我们可以通过修改数据包,插入\0字符的方式,达到字符串截断的目的。00截断通常用来绕过web软waf的白名单限制
iwebsec靶场 文件上传漏洞通关笔记6-文件截断上传
mooyuan的网络安全博客
04-21 1394
通过对iwebsec第六关卡讲解文件截断绕过的文件上传漏洞利用方法。magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,对POST、POST、__GET以及进行数据库操作的sql进行转义处理,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误,可以防止sql注入。
php截断上传,截断在文件包含和上传中的利用
weixin_39969257的博客
03-10 861
截断大概可以在以下情况适用include(require)file_get_contentsfile_exists所有url中参数可以用%00控制0x01. 本地文件包含1.1 截断类型:php %00截断截断条件:php版本小于5.3.4 详情关注CVE-2006-7243php的magic_quotes_gpc为OFF状态漏洞文件lfi.php要include的password文件Passwo...
文件上传 00截断 (windows)
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
02-22 731
再将空格的十六进制改为00(系统在对文件名进行读取时,如果遇到0x00,就会认为读取已经结束,系统按二进制或十六进制读取文件,遇到ASCII码为0的位置就停止,而这个ASCII为0的位置在十六进制中是00);正常上传 文件名是xiaoxiaohhuee.php .jpg。把文件名改成 php .jpg。
2024.3.26日报(文件上传漏洞利用)
2302_80946742的博客
03-26 1033
在这种题型中,服务器对上传的文件没有任何验证措施。这意味着攻击者可以随意上传任何类型的文件,包括恶意脚本或可执行文件。这为攻击者提供了直接的机会来利用服务器资源。这种题目涉及到Apache服务器的配置文件.htaccess。攻击者需要利用.htaccess文件来改变服务器的行为,例如允许执行PHP代码。这种题型要求攻击者利用00截断漏洞上传恶意文件。
linux截断文件的方法
james@BJ的专栏
07-09 1万+
  truncate(src,len) src是文件名,len是文件长度,如果len超过当前文件长度,会通过补0将文件延长到len   http://topic.youkuaiyun.com/u/20090708/10/b74d8b79-762a-428d-a227-371862139331.html?1167657142
php大文件上传支持断点上传
weixin_52041354的博客
02-25 191
最近遇见一个需要上传超大大文件的需求,调研了七牛和腾讯云的切片分段上传功能,因此在此整理前端大文件上传相关功能的实现。 在某些业务中,大文件上传是一个比较重要的交互场景,如上传入库比较大的Excel表格数据、上传影音文件等。如果文件体积比较大,或者网络条件不好时,上传的时间会比较长(要传输更多的报文,丢包重传的概率也更大),用户不能刷新页面,只能耐心等待请求完成。 下面从文件上传方式入手,整理大文件上传的思路,并给出了相关实例代码,由于PHP内置了比较方便的文件拆分和拼接方法,因此服务端代码使用PHP进
ssrf漏洞挖掘
04-01
<think>好的,我现在需要帮助用户了解如何挖掘SSRF漏洞以及相关的扫描工具。首先,我应该回忆一下SSRF的基本概念,用户可能已经知道一些,但需要更深入的指导。 根据系统指令,我需要使用中文,并正确应用LaTeX格式。不过这个问题主要涉及网络安全,可能数学公式较少,但如果有变量或代码示例的话要注意格式。比如,提到的工具名称或命令可能需要用行内代码块。 接下来,查阅用户提供的引用资料。引用[1]提到SSRFire这个工具,可以用来扫描和发现SSRF漏洞。同时,其他引用中的例子,比如利用PHP脚本攻击内网服务,或者结合Redis未授权访问,说明SSRF的利用场景。这些可以作为挖掘方法的实例。 用户的问题分为两部分:挖掘方法和工具。我需要将回答分成这两个部分。对于挖掘方法,需要分步骤说明,比如参数测试、协议利用、绕过技巧等。工具部分则需要列出工具名称、功能及使用方法,比如SSRFire、Burp Suite等。 需要注意的是,用户可能对具体操作步骤不熟悉,因此要详细但不过于技术化。例如,在参数测试中,可以提到常见的URL参数如url、image、load等,并举例说明如何修改这些参数的值来测试响应。 另外,引用中的例子展示了如何利用SSRF漏洞攻击内网服务,比如通过注入SQL或者写入webshell。这些可以作为挖掘过程中的利用场景,说明在发现潜在漏洞后如何进一步验证。 关于工具部分,SSRFire需要满足一定的环境要求,比如Ruby环境,用户可能需要安装依赖库。Burp Suite的Collaborator功能可能对新手来说比较陌生,需要简单解释其作用,比如检测带外请求。 还要注意引用标识的正确添加,每个引用的地方在末尾自然标注,比如在提到SSRFire时添加[^1],在讨论内网攻击时引用[3]和[4]。 最后,生成相关问题需要考虑用户可能进一步想知道的内容,比如如何防御SSRF、常见漏洞案例、工具的比较等。确保问题覆盖漏洞挖掘的不同方面,帮助用户深入理解。</think>### SSRF漏洞挖掘方法与工具指南 #### 一、SSRF漏洞挖掘方法 1. **参数测试法** - 重点关注接收URL/路径的参数(如`url`、`image`、`load`),尝试修改其值为`http://127.0.0.1`、`file:///etc/passwd`或内网地址(如`http://192.168.1.1`)[^1][^2]。 - 观察响应是否包含目标服务器数据(如本地文件内容、内网服务报错信息)。 2. **协议利用法** - 测试支持的协议(如`dict://`、`gopher://`、`ftp://`),利用`dict://`探测内网端口状态: ```http http://example.com?url=dict://127.0.0.1:6379/info # 检测Redis服务 ``` 3. **绕过技巧** - 使用域名重定向(如短链接服务)、IPv6地址(`[::1]`)、进制编码绕过过滤规则[^4]。 4. **带外检测(OOB)** - 通过Burp Collaborator或DNSLog生成随机域名,观察服务器是否发起请求: ```http http://example.com?url=http://xxx.dnslog.cn ``` --- #### 二、常用SSRF扫描工具 1. **SSRFire** - **功能**:自动化参数探测、支持多协议测试、可结合XSS和SQLi等漏洞[^1]。 - **使用示例**: ```bash ruby ssrfize.rb -u "http://target.com?url=PAYLOAD" --payloads urls.txt ``` 2. **Burp Suite** - 通过`Intruder`模块批量测试参数,配合`Collaborator`监听带外请求。 3. **Gopherus** - 生成`gopher://`协议攻击载荷,针对Redis/MySQL等内网服务自动化攻击[^3]。 --- #### 三、实战场景示例 1. **内网Web应用攻击** - 通过SSRF注入SQL语句到内网CMS系统[^3]: ```http http://vuln.com/ssrf.php?url=http://127.0.0.1/cms/show.php?id=-33 UNION SELECT ... ``` 2. **Redis未授权利用** - 写入Webshell到可访问目录(如`/upload`),再通过SSRF触发[^4]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值