渗透知识-SSRF漏洞

SSRF漏洞攻击原理及防御方案

01 概念

服务端请求伪造(Server-Side Request Forgery),指的是攻击者在未能取得服务器所有权限时，利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在内网。SSRF攻击通常针对外部网络无法直接访问的内部系统。

02 原理

很多web应用都提供了从其他的服务器上获取数据的功能。使用指定的URL，web应用便可以获取图片，下载文件，读取文件内容等。SSRF的实质是利用存在缺陷的web应用作为代理攻击远程和本地的服务器。一般情况下， SSRF攻击的目标是外网无法访问的内部系统，黑客可以利用SSRF漏洞获取内部系统的一些信息（正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内部系统）。SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。

03 主要攻击方式

攻击者想要访问主机B上的服务，但是由于存在防火墙或者主机B是属于内网主机等原因导致攻击者无法直接访问主机B。而服务器A存在SSRF漏洞，这时攻击者可以借助服务器A来发起SSRF攻击，通过服务器A向主机B发起请求，从而获取主机B的一些信息。

04 危害

1.内外网的端口和服务扫描

2.攻击运行在内网或本地的应用程序

3.对内网web应用进行指纹识别，识别企业内部的资产信息

4.攻击内网的web应用，主要是使用GET参数就可以实现的攻击（比如Struts2漏洞利用，SQL注入等）

5.利用file协议读取本地敏感数据文件等

05 漏洞复现

1.探测内部主机的任意端口

①利用vulhub进行漏洞复现，SSRF漏洞存在于http://your-ip:7001/uddiexplorer/SearchPublicRegistries.jsp

②提交参数值为url:port，根据返回错误不同，可对内网状态进行探测如端口开放状态等。

在brupsuite下测试该漏洞。访问一个可以访问的IP:PORT，如http://127.0.0.1:7001。根据返回错误不同，可对内网状态进行探测如端口开放状态等。

③当我们访问一个不存在的端口时，比如 http://127.0.0.1:7000，将会返回：could not connect over HTTP to server

④当我们访问存在的端口时，比如 http://127.0.0.1:7001。可访问的端口将会得到错误，一般是返回status code（如下图），如果访问的非http协议，则会返回：did not have a valid SOAP content-type

2.利用ssrf获取内网敏感文件信息

①在服务器上有一个ssrf.php的页面，该页面的功能是获取URL参数，然后将URL的内容显示到网页页面上。

②我们访问该链接：http://127.0.0.1/ssrf.php?url=http://127.0.0.1/test.php ，它会将test.php页面显示

③如果我们把url的参数换成 http://www.baidu.com ，页面则会返回百度的页面

④于是我们可以将URL参数换成内网的地址，则会泄露服务器内网的信息。将URL换成file://的形式，就可以读取本地文件。

06 防御方式

1、过滤返回的信息，如果web应用是去获取某一种类型的文件。那么在把返回结果展示给用户之前先验证返回的信息是否符合标准。

2、统一错误信息，避免用户可以根据错误信息来判断远程服务器的端口状态。

3、限制请求的端口，比如80,443,8080,8090。

4、禁止不常用的协议，仅仅允许http和https请求。可以防止类似于file:///,gopher://,ftp://等引起的问题。

5、使用DNS缓存或者Host白名单的方式。