SSRF思路及步骤

什么是SSRF？

SERVER SIDE REQUEST FORGERY的简写

因为服务器本身提供了资源获取相关的服务，在资源地址能够被用户控制时，将可能导致攻击者利用服务器身份获取预期外的资源的后果

危害？

条件满足的情况下：突破网络防护边界，造成内部信息或资源1被外部攻击者获取，比如探测内网存活主机、获取信任身份、攻击内网服务等。

原理？

利用服务器能够发送网络请求的特点，攻击者控制了服务器指定的发送内容。

支持那些请求协议？各个协议作用？

http:// 探测内网主机存活、端口开放情况

gopher:// 发送GET和POST请求：用TCP包攻击内网应用，如FastCGI、Redis

dict:// 泄露安装软件版本信息，查看端口，操作内网redis访问等(需要加上端口号)

file:// 读取本地文件

相关PHP函数和类

file_get_contents():将整个文件或一个url所指向的文件内容读入一个字符串中
readfile():读取一个文件的内容并输出
fsockopen():打开一个网络连接或者Unix套接字连接
curl_exec():初始化一个新的会话，返回一个cURL句柄，供curlsetopt(),curlexec()和curlclose()函数使用
fopen():打开一个文件或者URL

上述函数使用不当造成SSRF漏洞。此外，PHP原生类SoapClient在触发反序列化时可导致SSRF

测试代码：

//ssrf1.php
<?php
show_source(_file_);
&url=&_GET['url'];
echo file_get_contents(&url);
?>

上述测试代码中，file_get_contents()函数将整个文件或一个url所指向的文件读入一个字符串中，并展示给用户，我们构造蕾丝ssrf.php?url=../../../../etc/passwd的paylaod即可读取服务器本地的任意文件。也可以进行远程访问。

readfile()函数与file_get_contents()函数相似

fsockopen()

不能读取文件、能发起网络请求

fsockopen(&hostname,&port,&errno,&errstr,&tieout)用于打开一个网络连接或者Unix套装接字连接，初始化一个套接字连接到指定主机（hostname）,实现对用户指定url数据的获取。改函数会使用socket跟服务器建立tcp连接，进行传输原始数据。fsockopen（）将返回一个文件句柄，之后可以被其他文件类函数调用（例如：fgets(),fgetss(),fwrite(),fclose()还有feof()）如果电泳失败，将返回false

测试代码：

<?
$host=$_GET['url'];
$fp = fsockopen($host,80,$errno,$errstr,30);
if(!$fp){echo"$errstr($errno)<br/>\n";
}else{$out="GET/HTTP/1.1\r\n";$out="Host:$host\r\n";$out="Connection:Close\r\n\r\n";fwrite($fp,$out);while(!feof($fp)){echo fgets($fp,128);    }ifclose($fp);
}
?>

构造ssrf,php?url=www.baidu.com即可成功触发ssrf并返回百度主页。但是该函数的ssrf无法读取本地文件

curl_exec()

能读文件、能发起网络请求

curl_init(url)函数初始化一个新的会话，返回一个cURL句柄，供curlsetopt(),curlexec()和curlclose()函数使用

测试代码：

<?
$url=$_REQUEST['url'];
$ch=curl_init($url);//创造一个curl资源
curl_setopt($ch,CURLOPT_HEADER,0);//设置url和响应的选项
curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);
$result=curl_exec($ch);//抓取curl并将其传递给浏览器
curl_close($ch);//关闭curl资源echo($result);
?>

构造ssrf.php?url=http://www.baidu.com/即可成功触发ssrf并返回百度主页

如何挖掘？挖掘场景？

看url、看功能、看代码

服务器调用三方资源时，其资源URL前端可控，比如：