Curl 导致 SSRF 及 WAF 绕过方式

最新推荐文章于 2025-09-20 20:15:03 发布
转载 最新推荐文章于 2025-09-20 20:15:03 发布 · 3.9k 阅读 · 8

本文深入探讨了Curl漏洞如何被用于SSRF攻击,不仅解释了基本原理,还详细列举了多种利用方式,包括操作Redis、任意文件读取、FTP爆破等,并介绍了如何绕过WAF进行攻击。

Curl 漏洞

背景

SSRF 一般用来探测内网服务,但由于应用层使用的 Request 服务(curl/filegetcontents)一般不只是支持 HTTP/HTTPS,导致可以深层次利用。

漏洞代码

function curl($url){  
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_HEADER, 0);
    $re = curl_exec($ch);
    curl_close($ch);
    return $re;
}
$url = $_GET['url'];
echo curl($url);

利用方式

  • dict (操作 Redis)
  • file (任意文件读取)
  • ftp、ftps (FTP 爆破)
  • tftp(UDP 协议扩展)
  • gopher (操作 Redis、Memcached)
  • imap/imaps/pop3/pop3s/smtp/smtps(爆破邮件用户名密码)
  • rtsp
  • smb/smbs (连接 SMB)
  • telnet - 连接 SSH/Telnet
  • http、https - 内网服务探测
    • 网络服务探测
    • ShellShock 命令执行
    • JBOSS 远程 Invoker war 命令执行
    • Java 调试接口命令执行
    • axis2-admin 部署 Server 命令执行
    • Jenkins Scripts 接口命令执行
    • Confluence SSRF
    • Struts2 一堆命令执行
    • counchdb WEB API 远程命令执行
    • mongodb SSRF
    • docker API 远程命令执行
    • php_fpm/fastcgi 命令执行
    • tomcat 命令执行
    • Elasticsearch 引擎 Groovy 脚本命令执行
    • WebDav PUT 上传任意文件
    • WebSphere Admin 可部署 war 间接命令执行
    • Apache Hadoop 远程命令执行
    • zentoPMS 远程命令执行
    • HFS 远程命令执行
    • glassfish 任意文件读取和 war 文件部署间接命令执行

访问 http://test/test.php?url=http://www.baidu.com

url 改成 file:///etc/passwd (权限够的前提下)

如果知道网站目录,则可以读取网站配置文件

绕过 WAF

当 url 里出现 file:///etc/passwd 等敏感内容的时候,WAF 会拦截行为
我想到的思路是获取源站 IP,直接将请求发送到源站上。

url 改成自己的网站

查一下网站日志文件 access.log

拿到源站 IP 后,通过 Burp 修改请求即可绕过 cdn,绕过 Waf

ssrfcurl协议,以及查看curl支持协议的办法
qq_59020256的博客
12-29 1105
这里需要注意访问其他网站比如京东淘宝时是是不能直接访问进去的,因为这些网站的协议是https协议ssrf.php 的代码不能直接绕过https的证书所以需要。//判断是否存在url值,如果错存在则返回给$url不存在则返回空。这里需要注意小皮的版本和phpstorm的版本要一致,不然有些网站可能访问不成功。
ssrf漏洞waf绕过
My笔记的博客
04-05 1034
(1)扫描内部网络利用多线程脚本去fuzz可用的端口或者服务。(2)向内部的任意主机和任意端口发送精心构造的数据包。举个例子(soapclient类+crlf漏洞给内网发送任意数据包利用http攻击redis)(3)wordpress开启xmlrpc利用pingback.ping方法造成ddos漏洞。或者请求大文件,始终保持连接keep-alive always(4)利用协议进行暴力穷举(5)如果不知道一个cms是什么cms,让服务端去访问自己所处内网的一些指纹文件来判断是否存在相应的cms。
php curl ssrf,ssrf漏洞学习(PHP)
weixin_29963537的博客
03-16 1665
自己最近原本是想深入的学习一下关于xss、csrf的东西的,可是感觉这些东西需要有很好的js的基础来进行学习。。还有感觉自己感觉也差不多该要学习内网渗透了。。正好ssrf在内网这一块也是比较有用的。于是现在学习一下。我这里面是以php里面的curl为例子来学习的。漏洞代码如下$ch = curl_init();curl_setopt($ch, CURLOPT_URL, $_GET['url']);...
curl任意文件写入漏洞分析与技术细节
最新发布
分享技术点滴
09-20 615
提供的代码片段中的函数允许攻击者通过变量指定任意文件路径来输出生成的libcurl源代码。如果值未经过适当清理或限制,恶意用户可以提供敏感系统文件(如、用户的.bashrc等)或设备文件(如/dev/null)的路径。核心问题是直接调用,其中,且未对提供的路径进行任何检查。
SSRF漏洞以及其WAF绕过总结
b1ackc4t的博客
01-24 4034
SSRF基本介绍 SSRF(Server-Side Request Forgery),服务器端请求伪造,利用漏洞伪造服务端发起请求,从而突破客户端获取不到数据的限制 常见存在SSRF的功能点 在线翻译 图片加载 下载服务 网站采集 文件包含 预览内容 转码 收藏 分享 多媒体加载 在线编程 api demo 站长工具 扫一扫 markdown浏览 常见判断方法 有回显 有延时 比如?url=www.google.com,有大量延时,而访问有的很快,有差异 外带请求 可以利用dnslog平台测试(htt
WAF攻防之SSRF绕过
weixin_34248849的博客
05-17 1105
前言 简单整理一下漏洞中ssrf绕过的一些方法,希望在渗透测试中有更清晰的思路。 什么是SSRF SSRF(Server-Side Request Forgery:服务器端请求伪造)是从服务端获取其他服务器信息的的功能。使用指定的URL,web应用可以获取图片,下载文件,读取文件内容等。这个功能如果被恶意使用,可以利用存在缺陷的Web应用作为代理,访问内网,攻击远程服务器,读取敏感信息等...
php curl ssrf,CTFHUB技能树-SSRF【POST请求】
weixin_36043142的博客
03-16 772
CTFHUB SSRF POST请求废话首先开始解题构造gopher数据构造获取flag的请求废话最近ctfhub新添加了一些题目,看到有ssrf的题目便去试了一下,前面几个都比较简单就暂时先不写,post 请求那个折腾了几天终于弄懂了,把过程记录下。 首先我们看下题目描述,这个肯定是不能错过的。*描述:发一个HTTP POST请求.ssrf是用php的curl实现的.并且会跟踪302跳转.开始解...
反序列化漏洞 Waf 绕过技术:解析与执行的认知博弈
syg6921008的博客
04-08 1626
在当前的安全攻防实践中,针对反序列化漏洞的 WAF 检测机制仍存在诸多盲区与不完善之处。为了更深入地理解其绕过方式,我查阅了大量公开研究、实战案例与工具源码,并系统性地梳理出了9 类典型的反序列化漏洞 WAF 绕过技术策略。“在不被识别为恶意的前提下,如何让 payload 既具备混淆性,又能精准执行?WAF 绕过从来不只是编码和隐藏,更是一种关于解析、执行路径与安全策略认知的博弈。希望本文的内容,能为你的实战思路带来一些启发。💡。
SSRF服务器端请求伪造漏洞基础
..
02-17 2906
SSRF服务器端请求伪造漏洞基础,下面分四个专题来说 1、什么是ssrf? 2、ssrf的相关协议 3、ssrf如何利用? 4、ssrf漏洞的绕过 5、ssrf漏洞的加固 一、什么是ssrfSSRF是一种由攻击者构造形成并由服务器端发生的恶意请求的一个安全漏洞,正因为恶意请求由服务器端发起,而服务器端可以请求到与自身相连并且和外部网络隔绝的内部网络系统。所以一般情况下,SSRF的攻击目标是外网无法直接访问的内网系统。 借一下别人的图片展示一下这个过程: 由于业务需求
SSRF安全指北
Tencent_SRC的博客
01-26 1313
文|腾讯蓝军silence前言SSRF (Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成,由服务端发起请求的一个安全漏洞。SSRF是...
SSRF(10)302跳转 Bypass
m0_64417923的博客
05-22 2705
题目描述:SSRF中有个很重要的一点是请求可能会跟随302跳转。尝试利用这个来绕过对IP的检测,访问到位于127.0.0.1的flag.php吧。 相关知识 什么是HTTP 302 跳转? 首先我们要知道状态码,状态码是HTTP请求过程结果的描述,由三位数字组成。这三位数字描述了请求过程中所发生的情况。状态码位于响应的起始行中,如在 HTTP/1.0 200 OK 中,状态码就是 200。 每个状态码的第一位数字都用于描述状态(“成功”、“出错”等)。如200 到 299 之间的状态码表示成功;3
curl和gopher协议(ssrf的利用)
Z_Grant的博客
11-05 8206
文章目录一、基础知识的学习(1) cURL(2) PHP的curl函数(3) gopher协议3.1 用gopher协议get传数据3.2 用gopher协议post传数据3.3 在ssrf中使用gopher协议(4) file协议和dict协议 一、基础知识的学习 (1) cURL cURL是一个利用URL语法在命令行下工作的文件传输工具。它支持文件上传和下载,所以是综合传输工具。cURL还包...
利用SSRF漏洞内网探测来攻击Redis(通过curl命令 & gopher协议)
Time Will Tell
09-25 4482
有时候有些漏洞不存在与Get请求中,此时Header CRLF方法就不行了,下面给出第二种方式 Gopher协议支持发出GET、POST请求:可以先拦截get请求包和post请求包,再构造成符合Gopher协议的请求(利用BP)。gopher协议是ssrf利用中一个最强大的协议。 可以攻击内网的 FTP、Telnet、Redis、Memcache,也可以进行 GET、POST 请求,还可以攻击内网未授权MySQL。 gopher 协议的精髓就在于可以在特定的端口上进行相关命令的执行。 Gopher协议的优势
【CTF Web】Pikachu SSRF(curl) Writeup(SSRF+读取文件+探测端口)
HEX9CF的技术博客
10-15 780
其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据数据流:攻击者----->服务器---->目标地址根据后台使用的函数的不同,对应的影响和利用方法又有不一样PHP中下面函数的使用不当会导致SSRF:如果一定要通过后台服务器远程去对用户指定(“或者预埋在前端的请求”)的地址进行资源请求,则请做好目标地址的过滤。
pikachu靶场通关笔记43 SSRF关卡01-CURL(三种方法渗透)
mooyuan的网络安全博客
06-23 1326
本系列为通过《pikachu靶场通关笔记》的SSRF关卡(共2关)渗透集合,通过对SSRF关卡源码的代码审计找到安全风险的真实原因,讲解SSRF原理并进行渗透实践,本文为SSRF关卡01-CURL关卡的渗透部分。
SSRF
rita_rweb的博客
09-13 226
概述 SSRF Sever-Side Request Forgery:服务器端请求伪造 由于服务端提供了从其他服务器应用获取数据的功能,但又没用对目标地址做严格过滤与限制,导致攻击者可以传入任意的地址来,让后端服务器对其发送请求,并返回对该目标地址请求的数据。 数据流:攻击者 -> 服务器 -> 目标地址 根据后台使用的函数的不同,对应的影响和利用方法又不一样。 以下函数若使用不当会引起SSRF: file_get_contents() fsockopen() curl_exec() SSRF
服务端请求伪造SSRF---curl_exec()
Ethan024的博客
04-18 2265
服务端请求伪造SSRF: 其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制,进而导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据。 攻击者----->服务器(跳板)---->目标地址 PHP中可能导致SSRF漏洞的危险函数: (1)file_get_contents(); 支持多种协议,包括http,https等。并且可以从本地和远端服务器获取资源 (2)fsockopen(); (3)curl_exec()
linux curl get请求_SSRF(服务器请求伪造)
weixin_39641103的博客
12-22 394
大家好我是早上渗透工程师、晚上健身教练、凌晨工厂保安的铁人三项打工仔。1、漏洞原理SSRF(Server-Side Request Forgery,服务器请求伪造)是一种由攻击者构造请求,由服务端发起请求的安全漏洞,一般情况下,SSRF攻击的目标是外网无法访问的内网系统(正因为请求时由服务端发起的,所以服务端能请求到与自身相连而与外网隔绝的内部系统)2、漏洞利用方式1....
url中如何使用十六进制绕过
06-08
<think>嗯……用户想知道URL使用十六进制编码绕过的方法,这问题正好和我之前整理的4条引用完全匹配。用户引用中既有概念解释又有实际案例,看来已经做过功课但需要系统总结。引用[1]的URL编码原理是核心:那些特殊字符用%加十六进制替换。Python的ord()和hex()组合就是实操工具,比如用户例子里的#变%23。引用[2]提到的关键点很妙——某些URL解码器允许0-F范围外的字符,这就可能引发解析异常造成绕过。实战层面用户提供了两个方向:引用[3]的SSRF案例用curl演示了参数注入,引用[4]的SQL注入绕过思路更值得深挖。特别是内联注释和分离关键字的手法,比如把unionselect写成union/*123*/select,或者用%0a换行符分隔关键字都能让WAF失效。要提醒用户这种绕过的本质弱点:依赖目标系统URL解码器的实现瑕疵。比如如果对方严格执行只解码0-9A-F字符,或者进行二次验证,十六进制编码就会失效。最后生成相关问题特意加入了检测方法,因为用户明显是安全测试人员,肯定关心验证手段。</think> 在URL中使用十六进制编码绕过过滤或安全限制的核心是**利用URL编码的%xx格式对特殊字符进行转换**,使过滤器无法识别原始敏感字符。以下是具体方法及原理: --- ### 一、基础绕过的实现方式 1. **直接替换敏感字符** - 将关键词/符号转为`%xx`格式(xx为十六进制ASCII码): - `#` → `%23`(如引用[1]所示) - 空格 → `%20` 或 `+` - `<` → `%3C`, `>` → `%3E`(如引用[2]提到的符号) - **示例**: ```url http://test.com?query=SELECT%2A%20FROM%20users # 等价于 SELECT* FROM users ``` 2. **混淆关键语法结构**(针对SQL注入等场景) - 如引用[4]所述,可分离关键字避开正则过滤: ```url http://vuln.com?id=1%0AUNION%0ASELECT%201,2,3 ``` `%0A`(换行符)分隔`UNION`和`SELECT`,绕过`/union\sselect/g`检测。 3. **多层嵌套编码** - 对已编码字符二次编码:`#` → `%23` → `%2523` - 用于绕过简单解码器: ```url http://sec.com?path=..%252fetc%252fpasswd # 解码后为 ../etc/passwd ``` --- ### 二、进阶技巧:十六进制溢出(Hex Overflow) **适用场景**:目标系统URL解码器存在缺陷(引用[2]) 1. **插入非法十六进制字符** - 使用超出`0-9 A-F`范围的字符(如`G`、`%`后接符号): ```url http://target.com?cmd=%G1{;cat /etc/passwd} ``` 有缺陷的解码器可能因解析异常跳过过滤逻辑。 2. **利用特殊符号干扰解析** - 结合`[]{};<>`等符号制造溢出: ```url http://api.com/getfile?name=secret.txt%3B{/etc/passwd} ``` --- ### 三、安全绕过实践示例 1. **SSRF绕过路径限制**(引用[3]) ```url http://sec.com/ssrf.php?url=http://127.0.0.1%23@attacker.com ``` `%23`(#)使后半段被解析为片段标识符,访问`127.0.0.1`。 2. **SQL注入WAF绕过**(引用[4]) ```sql http://app.com?id=1%20%55%4E%49%4F%4E%20%53%45%4C%45%43%54%201,version() ``` 关键字`UNION SELECT`被转为十六进制:`%55%4E%49%4F%4E`=`UNION`, `%53%45%4C%45%43%54`=`SELECT` --- ### 四、关键注意事项 1. **编码范围限制** URL编码仅允许ASCII字符集,非ASCII字符需用UTF-8编码后再转换(如中文`中`→`%E4%B8%AD`)。 2. **目标环境差异** 某些系统会自动多次解码URL(如多次`urldecode()`),需测试多层编码: ```python # Python生成多层编码 import urllib.parse print(urllib.parse.quote(urllib.parse.quote("../etc/passwd"))) # %252E%252E%252Fetc%252Fpasswd ``` --- ### 总结 绕过效果取决于**目标系统解码逻辑的严格性**: ✅ **生效场景**:未标准化解码、未过滤非法十六进制字符、缺乏二次验证的系统 ❌ **失效场景**:严格仅处理`0-9 A-F`字符、执行多次解码后验证的系统
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值