01SSRF概念
服務(wù)端請(qǐng)求偽造(Server-Side Request Forgery),指的是攻擊者在未能取得服務(wù)器所有權(quán)限時(shí),利用服務(wù)器漏洞以服務(wù)器的身份發(fā)送一條構(gòu)造好的請(qǐng)求給服務(wù)器所在內(nèi)網(wǎng)。SSRF攻擊通常針對(duì)外部網(wǎng)絡(luò)無法直接訪問的內(nèi)部系統(tǒng)。
02SSRF的原理
很多web應(yīng)用都提供了從其他的服務(wù)器上獲取數(shù)據(jù)的功能。使用指定的URL,web應(yīng)用便可以獲取圖片,下載文件,讀取文件內(nèi)容等。SSRF的實(shí)質(zhì)是利用存在缺陷的web應(yīng)用作為代理攻擊遠(yuǎn)程和本地的服務(wù)器。一般情況下, SSRF攻擊的目標(biāo)是外網(wǎng)無法訪問的內(nèi)部系統(tǒng),黑客可以利用SSRF漏洞獲取內(nèi)部系統(tǒng)的一些信息(正是因?yàn)樗怯煞?wù)端發(fā)起的,所以它能夠請(qǐng)求到與它相連而與外網(wǎng)隔離的內(nèi)部系統(tǒng))。SSRF形成的原因大都是由于服務(wù)端提供了從其他服務(wù)器應(yīng)用獲取數(shù)據(jù)的功能且沒有對(duì)目標(biāo)地址做過濾與限制。
03SSRF的主要攻擊方式
攻擊者想要訪問主機(jī)B上的服務(wù),但是由于存在防火墻或者主機(jī)B是屬于內(nèi)網(wǎng)主機(jī)等原因?qū)е鹿粽邿o法直接訪問主機(jī)B。而服務(wù)器A存在SSRF漏洞,這時(shí)攻擊者可以借助服務(wù)器A來發(fā)起SSRF攻擊,通過服務(wù)器A向主機(jī)B發(fā)起請(qǐng)求,從而獲取主機(jī)B的一些信息。
04SSRF的危害
1.內(nèi)外網(wǎng)的端口和服務(wù)掃描
2.攻擊運(yùn)行在內(nèi)網(wǎng)或本地的應(yīng)用程序
3.對(duì)內(nèi)網(wǎng)web應(yīng)用進(jìn)行指紋識(shí)別,識(shí)別企業(yè)內(nèi)部的資產(chǎn)信息
4.攻擊內(nèi)網(wǎng)的web應(yīng)用,主要是使用GET參數(shù)就可以實(shí)現(xiàn)的攻擊(比如Struts2漏洞利用,SQL注入等)
5.利用file協(xié)議讀取本地敏感數(shù)據(jù)文件等
05SSRF漏洞復(fù)現(xiàn)
1.探測內(nèi)部主機(jī)的任意端口
①利用vulhub進(jìn)行漏洞復(fù)現(xiàn),SSRF漏洞存在于http://your-ip:7001/uddiexplorer/SearchPublicRegistries.jsp
②提交參數(shù)值為url:port,根據(jù)返回錯(cuò)誤不同,可對(duì)內(nèi)網(wǎng)狀態(tài)進(jìn)行探測如端口開放狀態(tài)等。
在brupsuite下測試該漏洞。訪問一個(gè)可以訪問的IP:PORT,如http://127.0.0.1:7001。根據(jù)返回錯(cuò)誤不同,可對(duì)內(nèi)網(wǎng)狀態(tài)進(jìn)行探測如端口開放狀態(tài)等。
③當(dāng)我們?cè)L問一個(gè)不存在的端口時(shí),比如 http://127.0.0.1:7000,將會(huì)返回:could not connect over HTTP to server
④當(dāng)我們?cè)L問存在的端口時(shí),比如 http://127.0.0.1:7001。可訪問的端口將會(huì)得到錯(cuò)誤,一般是返回status code(如下圖),如果訪問的非http協(xié)議,則會(huì)返回:did not have a valid SOAP content-type
2.利用ssrf獲取內(nèi)網(wǎng)敏感文件信息
①在服務(wù)器上有一個(gè)ssrf.php的頁面,該頁面的功能是獲取URL參數(shù),然后將URL的內(nèi)容顯示到網(wǎng)頁頁面上。
②我們?cè)L問該鏈接:http://127.0.0.1/ssrf.php?url=http://127.0.0.1/test.php ,它會(huì)將test.php頁面顯示
③如果我們把url的參數(shù)換成 http://www.baidu.com ,頁面則會(huì)返回百度的頁面
④于是我們可以將URL參數(shù)換成內(nèi)網(wǎng)的地址,則會(huì)泄露服務(wù)器內(nèi)網(wǎng)的信息。將URL換成file://的形式,就可以讀取本地文件。
06防御方式
1、過濾返回的信息,如果web應(yīng)用是去獲取某一種類型的文件。那么在把返回結(jié)果展示給用戶之前先驗(yàn)證返回的信息是否符合標(biāo)準(zhǔn)。
2、統(tǒng)一錯(cuò)誤信息,避免用戶可以根據(jù)錯(cuò)誤信息來判斷遠(yuǎn)程服務(wù)器的端口狀態(tài)。
3、限制請(qǐng)求的端口,比如80,443,8080,8090。
4、禁止不常用的協(xié)議,僅僅允許http和https請(qǐng)求。可以防止類似于file:///,gopher://,ftp://等引起的問題。
5、使用DNS緩存或者Host白名單的方式。
