SSRF漏洞分析与利用

这段时间一直划水来着，突然看到SSRF漏洞，觉得新奇，我只知道csrf，SSRF是什么东西，还能穿透防火墙、主机信息收集、端口开放情况看到这些我准备一探究竟,参考一篇大佬文章，觉得博主挺好推荐给你们。

SSRF的原理与危害

SSRF（Server-Side Request Forgery）服务端请求伪造 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内部系统。
  正常情况下，我们无法从外网去访问一个公司的内部系统，但是如果服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容，加载指定地址的图片，下载等等。攻击者就可以利用该漏洞绕过防火墙等访问限制，进而将受感染或存在漏洞的服务器作为代理进行端口扫描，甚至是访问内部系统数据。

SSRF攻击利用主要有以下几种方式

1、内网、本地端口扫描，获取开放端口信息
2、主机信息收集，web应用指纹识别，获取服务banner信息
3、根据识别出的应用针对性的发送payload攻击，例如struts2
4、攻击内网和本地的应用程序及服务。
5、穿越防火墙
6、利用file协议读取本地文件，比如file:///etc/passwd

代码演示示例

以下是一个用curl获取数据的功能

<?php
     /*
        文件名称:ssrf.php
        curl_setopt函数说明：http://www.runoob.com/php/func-curl_setopt.html 
    */
if(isset($_POST['url'])){
   $link = $_POST['url'];
   $filename = 'D:xampphtdocstestuploadtxt'.rand().'.txt';
   $curlobj = curl_init($link);
   $fp = fopen($filename,"w");
   curl_setopt($curlobj,CURLOPT_FILE,$fp);
   curl_setopt($curlobj,CURLOPT_HEADER,0);
   curl_exec($curlobj);
   curl_close($curlobj);
   fclose($fp);
   $fp = fopen($filename,"r");
   $result = fread($fp,filesize($filename));
   fclose($fp);
   echo $result;
}
?>

<!DOCTYPE html>
<!-- 文件名：ssrf.html  -->
<html>
<head>
    <title>ssrf</title>
</head>
<body>
<center>
    <form name="input" action="http://localhost/test/ssrf.php" method="POST">
    <input type="text" name="url">
    <input type="submit" value="Submit">
    </form>
</center>
</body>
</html>

攻击案例

1、读取本地文件
file:///C:/Windows/win.ini（Linux下读取/etc/passwd）

image.png
2、 请求非http服务的开放端口，返回banner信息
request：http://ip:22/1.txt
image.png
image.png
3、服务探测
红色标注IP主机B与本机A在同一内网下
image.png

submit提交之后

image.png

主机B本来只有内网可以访问，但是由于curl请求资源的代码存在漏洞，导致对外网开放的主机A可以直接请求处于同一内网主机B的资源，导致内网应用服务探测。

SSRF挖掘和防御

ssrf漏洞一般存在于以下几种web功能：

1、在线分享：通过URL地址分享网页内容
2、在线识图
3、在线翻译：百度翻译，有道翻译
4、各大网站订阅
5、图片加载与下载：通过URL地址加载或下载图片
6、图片、文章收藏功能
7、接收邮件服务器地址的邮件系统
8、调用URL的功能
9、文件处理，如ImageMagick，xml
10、请求远程服务器资源，远程URL上传，静态资源图片文件等
11、数据库内置功能，比如mongodb的copyDatabase函数
12、从URL关键字中寻找：share，url，link，src，source，target，sourceURl，imageURL，domain...

漏洞验证的方式：

1、右键图片在新窗口打开，如果浏览器地址显示为 www.xxx.com/xx.jpg 类似格式的，说明不存在ssrf漏洞，但是如果资源地址类似 http://www.xxx.com/1.jsp?image= 的格式就有可能存在漏洞。
2、另一种方式是使用抓包工具burp fiddler来判断，SSRF漏洞是构造服务器发送请求的安全漏洞，所以就可以通过抓包分析请求是否有服务端发起的来判断是否存在漏洞。
下图转自土司：

image.png

防御措施

过滤返回的信息，甚至必要情况下不返回
限制http端口，仅可使用http https
检查IP是否为内网IP，进行黑名单过滤
禁止不需要的协议，gopher,ftp,file协议等

前言：总结了一些常见的姿势，以PHP为例，先上一张脑图，划√的是本文接下来实际操作的

image.png

0x01漏洞产生的原因