web安全漏洞之ssrf入门
web安全漏洞之ssrf入门
1.什么是ssrf
SSRF(Server Side Request Forgery,服务端请求伪造)是一种通过构造数据进而伪造成服务端发起请求的漏洞。因为请求是由服务器内部发起,所以一般情况下SSRF漏洞的目标往往是无法从外网访问的内系统。
SSRF漏洞形成的原理多是服务端提供了从外部获取数据的功能但没有对目标地址、协议等重要参数进行过滤和限制,从而导致可以自由构造参数并发出预期之外的请求。
2.URL结构
URL的结构如下: URL = scheme:[//authority]path[?query][#fragment]
scheme由一串大小写不敏感的字符组成,表示获取资源所需的协议。
authority中,userinfo用于进行身份验证,格式为username:password
host表示服务器地址,一般是域名,也可能是ipv4或者ipv6地址
port表示服务器端口,如果不填,则使用协议的默认端口,比如http的80,ftp的21
path为资源路径,一般用"/"来分层 ,表示目录
query为查询字符串,接收用户输入参数,以"? "作为起点标识,比如"?name=crane"
fragment为片段ID,与query不同的是,它不会发送到服务端,只作为一个标记
3.ssrf漏洞利用方式
1.以PHP为例,实现了个包含SSRF漏洞的代理程序(帮你转发你的请求),代码如下:
```php
<?php $url = $_GET['url'];//从get参数中获取url的值
$ch = curl_init();//然后创建了curl这个对象
curl_setopt($ch, CURLOPT_URL, $url);//通过curl_setopt函数来给这个curl设置一些参数
curl_setopt($ch,CURLOPT_HEADER,false);//输出中不包含HTTP的header
curl_setopt($ch,CURLOPT_FOLLOWLOCATION,true); //表示跟随跳转
curl_setopt($ch, CURLOPT_TIMEOUT, 3);//大于3秒后会强制结束
curl_exec($ch);//开始执行
curl_close($ch);//关闭
?>
```
如果url=https://www.baidu.com,可以代理访问 www.baidu.com
2.但是因为代理程序的url未作任何过滤处理,所以可以修改url协议来发起SSRF。例如, 修改访问URL为:"file:///etc/passwd ",即可使用FILE协议访问本地文件/etc/passwd
这是SSRF最常见的利用方式,但更多的是读他的源码
3.SSRF漏洞通常出现在应用程序中,当它调用外部资源时可能会出现这种问题。
比如在社交服务中的分享功能、图片识别服务、网站采集服务以及远程资源请求或文件处理服务等场景下。
针对存在SSRF漏洞的应用程序进行测试的方法包括尝试控制和支持常见的协议:
file:从本地文件系统中读取文件的例子为file:///etc/passwd.
dict:字典服务器协议,原本用于查询词典信息,但由于支持自定义内容,因此可以用来探测端口并获取banner(例如Redis), 或者发送一些简单的流量给其他服务(比如MySQL)。
gopher:gopher是一种分布式文档传递服务,在SSRF攻击中有重要作用。通过使用gopher协议向特定IP地址及端口号发送任意内容,这可能模拟HTTP、Redis或者Mysql等网络请求行为。
4.在CTF和实战中,如果发现了目标存在SSRF漏洞,首先可以尝试通过file协议读取本地文件,了解目标系统的相关信息。
常见的文件路径如下:
/etc/passwd 几乎所有的linux发行版都会有这个文件,可以作为是否能读取本地文件的评判标准。同时他还保存了系统中有哪些用户
/etc/apache2/* 这个目录包含了apache2的配置文件,可以了解web目录,开放端口等信息
/etc/issue 这个文件一般表示该系统是什么linux发行版
/proc 这个目录存放着系统运行的状态信息,其中含有以pid命名的文件夹,保存着这个进程的信息。
还有一个self软连接指向当前运行的进程
/proc/[pid]/cmdline 程序运行的命令行
/proc/[pid]/env 程序运行的环境变量
/proc/[pid]/fd/* 程序打开的文件
/proc/net 系统的网络状态信息