SSRF漏洞之常见Bypass篇

SSRF–(Server-side Request Forge, 服务端请求伪造)
定义：由攻击者构造的攻击链接传给服务端执行造成的漏洞，一般用来在外网探测或攻击内网服务

SSRF漏洞思维导图如下，本篇主要介绍利用SSRF Bypass利用原理与方式

SSRF漏洞形成的原因主要是服务器端所提供的接口中包含了所要请求的内容的URL参数，并且未对客户端所传输过来的URL参数进行过滤

一般的防御措施是对URL参数进行过滤，或者使得URL参数用户不可控，但当过滤方法不当时，就存在Bypass的不同方式

通过CTFHub平台的SSRF技能树中的Bypass题目来利用思维导图中绕过涉及的知识点

URL Bypass

知识点：利用解析URL时的规则问题

一般情况下利用URL解析导致SSRF过滤被绕过基本上都是因为后端通过不正确的正则表达式对URL进行了解析

而在2017年的Blackhat大会上，Orange Thai 在blackhat中发表的演讲《A New Era of SSRF - Exploiting URL Parser in Trending Programming Languages! 》中介绍了SSRF攻击的一个新的角度———利用不同编程语言对URL的处理标准来绕过SSRF过滤，从而实施攻击

该方式主要是利用URL解析器和URL请求器之间的差异性发起攻击，由于不同的编程语言实现URL解析和请求是不一样的，所以很难验证一个URL是否合法

很难验证一个URL是否合法的原因在于：

在 RFC2396/RFC3986 中进行了说明,但是也仅仅是说明

WHATWG(网页超文本应用技术工作小组)定义了一个基于RFC协议的具体实现，但是不同的编程语言仍然使用他们自己的实现

在作者的实践中，受到这种攻击的编程语言包含了cURL、PHP和PYTHON。下图展示了cURL请求函数与其他语言解析函数结合使用时，由于差异性造成的漏洞

可以得知，NodeJS url、Perl URI、Go net/url、PHP parser_url以及Ruby addressable解析函数与cURL libcurl请求函数差异性都可能造成漏洞的产生

下图的实例中，我们看到上述所述编程语言的解析函数得到的IP是google.com，而cURL请求得到的却是evil.com:80

题目截图：

开启题目后，访问题目链接与提示相同

对其进行web目录扫描，发现flag.php

提示只可以使用127.0.0.1才可以访问，结合题目提示和前面的知识点实例，很快啊，可以意识到后端cURL请求函数验证如果不是notfound.ctfhub.com即返回Just View From 127.0.0.1

此时若想办法使PHP解析函数parser_url得到的值为127.0.0.1就可以成功绕过限制拿到flag，payload如下

http://notfound.ctfhub.com@127.0.0.1/flag.php

数字IP Bypass

知识点：IP进制转换/Enclosed Alphanumerics/特殊地址

IP进制转换：将点分十进制的IP格式转为其他【八进制】【十六进制】等格式

如
http://127.0.0.1  >>>  http://0177.0.0.1/
http://127.0.0.1  >>>  http://2130706433/
http://192.168.0.1  >>>  http://3232235521/
http://192.168.1.1  >>>  http://3232235777/
Enclosed Alphanumerics：由英文字母数字组成的Unicode字符集，位于圆圈，括号或其他未封闭的封闭空间内，或以句号结尾。如下
ⓔⓧⓐⓜⓟⓛⓔ.ⓒⓞⓜ  >>>  example.com
①②⑦.⓿.⓿.①  >>> 127.0.0.1
特殊地址:
http://0/  # 0.0.0.0可以直接访问到本地
http://127。0。0。1  # 绕过后端正则规则
http://localhost/

题目截图：

同样web目录下存在flag.php，必须从本地访问，尝试本地访问flag.php

多次尝试提示127|172|@|\.被禁止，结合题目提示和上述知识点，不讲wood，马上使用十进制整数格式拿到flag

同样，特殊地址也成功

经过验证，以下url值也都可以绕过爆出flag

http://0x7f000001/flag.php
http://localhost/flag.php

302跳转 Bypass

知识点：特殊域名xip.io/短网址

如果后端服务器在接收到参数后，正确的解析了URL的host，并且进行了过滤，这个时候可以尝试使用302跳转的方式来进行绕过

What is xip.io?
xip.io is a magic domain name that provides wildcard DNS
for any IP address. Say your LAN IP address is 10.0.0.1.
Using xip.io,即以如下规则进行域名解析
       10.0.0.1.xip.io   resolves to   10.0.0.1www.10.0.0.1.xip.io   resolves to   10.0.0.1
mysite.10.0.0.1.xip.io   resolves to   10.0.0.1
foo.bar.10.0.0.1.xip.io resolves to 10.0.0.1

短网址：顾名思义就是在形式上比较短的网址，借助短网址您可以用简短的网址替代原来冗长的网址，让使用者可以更容易的分享链接

访问短网址会自动跳转到原来冗长的网址，利用短网址这个特性，我们可以绕过URL参数检测的黑名单

题目截图：

同样的，web目录下存在flag.php，必须从本地访问

提示此内网IP被禁止，尝试使用特殊域名xip.io

观察到应该是对127.0.0.1本身做了过滤，尝试数字IP Bypass中的方式，成功拿到flag

http://0.xip.io/flag.php

我们也可以尝试使用短网址进行转化

# 短网址工具域名： https://www.985.so/
http://127.0.0.1/flag.php ---> http://r6d.cn/b2mk6

使用转化后的短网址访问得到flag

DNS重绑定 Bypass

知识点：DNS重绑定攻击

对于常见的IP限制，后端服务器通过下图的流程进行IP过滤：

根据流程图：对于用户请求的URL参数，首先服务器端会对其进行DNS解析，然后对于DNS服务器返回的IP地址进行判断，如果在黑名单中，就pass掉

但是在整个过程中，第一次去请求DNS服务进行域名解析到第二次服务端去请求URL之间存在一个时间差，利用这个时间差，我们可以进行DNS 重绑定攻击。我们利用DNS Rebinding技术，在第一次校验IP的时候返回一个合法的IP，在真实发起请求的时候，返回我们真正想要访问的内网IP即可

要完成DNS重绑定攻击，我们需要一个域名，并且将这个域名的解析指定到我们自己的DNS Server，在我们的可控的DNS Server上编写解析服务，设置TTL（TTL表示DNS记录在DNS服务器上缓存时间）时间为0，这是为了防止有DNS服务器对第一次的解析结果进行缓存

完整的DNS重绑定攻击流程为：

服务器端获得URL参数，进行第一次DNS解析，获得了一个非内网的IP

对于获得的IP进行判断，发现为指定范围IP，则通过验证

接下来服务器端对URL进行访问，由于DNS服务器设置的TTL为0，所以再次进行DNS解析，这一次DNS服务器返回的是内网地址

由于已经绕过验证，所以服务器端返回访问内网资源的内容

题目截图：

通过题目附件阅读，结合知识点~，使用测试dns重绑定漏洞的工具，可以让一个域名随机的绑定两个IP

# 工具域名： https://lock.cmpxchg8b.com/rebinder.html# 使用两个IP地址，分别为
163.177.151.109 # 作用：第一次DNS解析后IP判断在指定范围内（随意一个可访问的公网地址）
127.0.0.1       # 作用：第二次DNS解析，不用判断直接访问内网flag.php

设置好两个地址，就会自动生成域名7f000001.a3b1976d.rbndr.us

测试ping域名随机返回两个IP中的一个

到这，我们可以利用Burpsuite中Repeater模块或者爆破模块批量短间隔时间进行请求，当其中两次请求的顺序为：先返回163.177.151.109通过IP验证，后返回127.0.0.1即可获取flag内容

当然也可以直接在浏览器中使用插件（HackBar）或拼手速~

总结

通过4道题目的实践，对常见的Bypass原理与方式有了一定了解，也就可以简单总结下对应防御方法

对于URL Bypass，设置URL白名单，使用URL解析器和URL请求器时避免存在差异性
对于数字IP Bypass，限制内网IP或设置白名单
对于302跳转 Bypass，禁止跳转
对于DNS重绑定 Bypass，考虑使用DNS缓存或者Host白名单，或者设置DNS查询的请求间隔小于TTL值

参考

Web安全基础学习之SSRF漏洞利用

SSRF绕过方法总结

SSRF漏洞中绕过IP限制的几种方法总结

DNS TTL 值理解及配置

SSRF攻击的新角度–利用编程语言中的URL parser