★★免責(zé)聲明★★
文章中涉及的程序(方法)可能帶有攻擊性，僅供安全研究與學(xué)習(xí)之用，讀者將信息做其他用途，由Ta承擔(dān)全部法律及連帶責(zé)任，文章作者不承擔(dān)任何法律及連帶責(zé)任。

1、SSRF簡(jiǎn)介

SSRF全稱(chēng)：Server-Side Request Forgery，服務(wù)器端請(qǐng)求偽造，是指攻擊者能夠從易受攻擊的指攻擊者能夠從易受攻擊的。一般情況下，SSRF攻擊的目標(biāo)是從外網(wǎng)無(wú)法訪問(wèn)的內(nèi)部系統(tǒng)。利用一個(gè)可以發(fā)起網(wǎng)絡(luò)請(qǐng)求的服務(wù)，當(dāng)做跳板來(lái)攻擊其它服務(wù)。

2、SSRF成因

大部分是由于服務(wù)端提供了從其他服務(wù)器應(yīng)用獲取數(shù)據(jù)的功能但沒(méi)有對(duì)目標(biāo)地址做過(guò)濾與限制，利用存在缺陷的web應(yīng)用作為代理去攻擊遠(yuǎn)程和本地的服務(wù)器。

圖片來(lái)源網(wǎng)絡(luò)

3、SSRF原理

正常用戶(hù)訪問(wèn)網(wǎng)站的流程：

輸入網(wǎng)站URL --> 發(fā)送請(qǐng)求–> 服務(wù)器接受請(qǐng)求（沒(méi)有過(guò)濾），并處理 -->返回用戶(hù)

SRF漏洞：

就是通過(guò)篡改獲取資源的請(qǐng)求發(fā)送給服務(wù)器，但是服務(wù)器并沒(méi)有檢測(cè)這個(gè)請(qǐng)求是否合法，然后服務(wù)器以他的身份來(lái)訪問(wèn)其他服務(wù)器的資源。

圖片來(lái)源網(wǎng)絡(luò)

在PHP中使用下面函數(shù)不當(dāng)會(huì)導(dǎo)致SSRF：

# 這些函數(shù)可以通過(guò)網(wǎng)絡(luò)協(xié)議訪問(wèn)目標(biāo)服務(wù)器上的資源
file_get_ contents()
fsockopen()
curl_exec()

4、SSRF危害和漏洞挖掘

4.1、SSRF危害

1、可以對(duì)服務(wù)器所在內(nèi)網(wǎng)、本地進(jìn)行端口掃描，獲取一些服務(wù)的信息等
2、目標(biāo)網(wǎng)站本地敏感數(shù)據(jù)的讀取
3、內(nèi)外網(wǎng)主機(jī)應(yīng)用程序漏洞的利用
4、內(nèi)外網(wǎng)Web站點(diǎn)漏洞的利用

4.2、漏洞挖掘

1.在任何可以導(dǎo)入鏈接的地方都可以試試是否存在SSRF漏洞；
2.如果存在SSRF漏洞，看一看可不可以利用file協(xié)議，可以利用file協(xié)議讀取文件；
3.如果只能依靠返回信息，可以利用腳本來(lái)掃描內(nèi)網(wǎng)的存活主機(jī)和端口掃描，做一個(gè)內(nèi)網(wǎng)的信息收集。如果掃描到一些能利用的端口漏洞，就可以利用服務(wù)器做跳板對(duì)其進(jìn)行利用，比如redis服務(wù)。

5、SSRF防御及繞過(guò)

5.1、SSRF防御5個(gè)思路

1、過(guò)濾返回信息，驗(yàn)證遠(yuǎn)程服務(wù)器對(duì)請(qǐng)求的相應(yīng)，是比較容易的方法。如果 Web 應(yīng)用獲取某種類(lèi)型的文件，可以在把返回結(jié)果展示給用戶(hù)之前先驗(yàn)證返回信息是否符合標(biāo)準(zhǔn)。

2、統(tǒng)一錯(cuò)誤信息，避免用戶(hù)根據(jù)錯(cuò)誤信息來(lái)判斷遠(yuǎn)程服務(wù)器端口狀態(tài)。

3、黑名單內(nèi)網(wǎng) IP，避免應(yīng)用被用來(lái)獲取內(nèi)網(wǎng)數(shù)據(jù)，攻擊內(nèi)網(wǎng)。

4、禁用不需要的協(xié)議。僅僅允許HTTP和HTTPS請(qǐng)求。可以防止類(lèi)似于file://、ftp://等引起的問(wèn)題。

5.2、SSRF繞過(guò)技巧

1、利用@符號(hào)
http://example.com@127.0.0.1
2、添加端口號(hào)
http://127.0.0.1:8080
3、利用短地址
http://dwz.cn/11SMa
4、利用特殊域名
xip.io
5、利用封閉式字母數(shù)字
? ?? ?? ?? .? ??>>> example.com

清單：
① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨ ⑩ ? ? ? ? ? ? ? ? ? ?
⑴ ⑵ ⑶ ⑷ ⑸ ⑹ ⑺ ⑻ ⑼ ⑽ ⑾ ⑿ ⒀ ⒁ ⒂ ⒃ ⒄ ⒅ ⒆ ⒇
⒈ ⒉ ⒊ ⒋ ⒌ ⒍ ⒎ ⒏ ⒐ ⒑ ⒒ ⒓ ⒔ ⒕ ⒖ ⒗ ⒘ ⒙ ⒚ ⒛
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

6、利用句號(hào) ?；蚶?[::] 繞過(guò)
http：//127。0。0。1
7、利用進(jìn)制轉(zhuǎn)換
http://2130706433/

6、pikachu靶場(chǎng)實(shí)驗(yàn)

6.0、環(huán)境準(zhǔn)備

靶場(chǎng)環(huán)境搭建詳參考《靶場(chǎng)環(huán)境搭建【XP、pikachu、dvwa、sqli-labs】》

6.1、SSRF(curl)

先點(diǎn)：累了吧,來(lái)讀一首詩(shī)吧，然后看到url地址有變化有拼接了?url

把url后嘗試修改為www.baidu.com

在小皮WWW目錄下創(chuàng)建一個(gè)test.txt,里面添加寫(xiě)SSRF test1，使用偽協(xié)議file://來(lái)讀取

6.2、SSRF(file_get_content)

先點(diǎn)：反正都讀了,那就在來(lái)一首吧，然后看到url地址有變化有拼接了?file=

把file后嘗試修改為www.baidu.com

在小皮WWW目錄下創(chuàng)建一個(gè)test.txt,里面添加寫(xiě)SSRF test1，使用偽協(xié)議file://來(lái)讀取

7、下期內(nèi)容預(yù)告

下期內(nèi)容分享XXE相關(guān)內(nèi)容，敬請(qǐng)關(guān)注我的公眾號(hào)：大象只為你，持續(xù)更新中…文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-839407.html

到了這里，關(guān)于SSRF服務(wù)器請(qǐng)求偽造原理和pikachu靶場(chǎng)實(shí)驗(yàn)的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！