SSRF漏洞的挖掘经验

SSRF（Server Side Request Forgery，服务器端请求伪造）是一种常见的Web安全漏洞，攻击者可以利用该漏洞让服务器向内部网络或外部系统发起请求，从而绕过防火墙、访问本地资源、窃取敏感信息等。以下是一些关于**SSRF漏洞挖掘的经验和技巧**，适用于安全测试人员和渗透测试者：

---

## 一、SSRF漏洞原理

SSRF漏洞的核心在于：**服务器端代码中使用了用户可控的URL进行HTTP请求**，而没有对目标地址进行严格校验。

例如：
```php
// 示例代码（伪代码）
$target = $_GET['url'];
file_get_contents($target);
```

如果用户传入 `http://127.0.0.1/admin/config`，服务器就会访问本机的 `/admin/config`，这可能暴露内部服务。

---

## 二、SSRF漏洞常见场景

| 场景 | 描述 |
|------|------|
| 图片/文件上传功能 | 使用用户提供的URL下载图片或文件 |
| 网站抓取功能 | 如爬虫、内容抓取、RSS订阅等 |
| 接口调用 | 通过API调用其他服务（如微信支付回调、第三方登录等） |
| 缓存/CDN配置 | 有时缓存服务器会处理用户请求，可能被滥用 |
| 内部服务接口 | 如Redis、数据库、内网服务等 |

---

## 三、SSRF漏洞挖掘经验

### 1. **识别可控参数**
- 查找所有接受URL参数的地方，如：
  - `?url=`
  - `?redirect=`
  - `?image_url=`
  - `?callback=`
  - `?file=`
- 常见字段：`url`, `link`, `target`, `uri`, `page`, `callback`, `src`, `img`, `api`, `token` 等

### 2. **尝试访问本地资源**
- 尝试访问 `http://127.0.0.1`、`http://localhost`、`http://169.254.169.254`（AWS元数据服务）、`http://internal.service` 等
- 如果能成功返回响应，说明存在SSRF漏洞

### 3. **探测内网服务**
- 通过SSRF访问内网服务（如 Redis、MongoDB、FTP、SSH、ZooKeeper、ElasticSearch 等）
- 例如：
  ```text
  http://127.0.0.1:6379
  http://127.0.0.1:27017
  http://127.0.0.1:8080
  ```

### 4. **利用协议绕过限制**
- 某些服务器对 `http` 协议有白名单限制，但允许 `file://`、`gopher://`、`dict://`、`ftp://` 等协议
- 例如：
  ```text
  file:///etc/passwd
  gopher://127.0.0.1:6379/_*1$%0d%0a$1%0d%0a$1%0d%0a
  ```

### 5. **利用DNS重定向（DNS Rebinding）**
- 攻击者控制域名解析，将域名指向内网IP，从而绕过某些限制

### 6. **利用SSRF进行横向渗透**
- 一旦发现SSRF漏洞，可以进一步利用它访问内网中的其他服务，比如：
  - 访问内网数据库
  - 利用Redis写入WebShell
  - 访问内部API获取敏感数据
  - 执行命令（结合其他漏洞）

---

## 四、SSRF漏洞防御建议

1. **禁止访问内网IP地址（如127.0.0.1, 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16）**
2. **限制协议类型（仅允许http/https）**
3. **使用白名单机制，只允许特定的域名或IP**
4. **避免使用用户输入直接构造请求URL**
5. **设置合理的超时和大小限制，防止DDoS攻击**
6. **使用反向代理进行过滤**

---

## 五、工具推荐

| 工具 | 用途 |
|------|------|
| Burp Suite | 捕获请求，修改参数，进行SSRF测试 |
| Postman | 快速测试不同URL |
| nmap | 扫描内网开放端口 |
| curl / wget | 测试本地访问 |
| SSRFmap | 自动化SSRF探测工具 |
| GoSubDomain / Sublist3r | 探测子域名（配合SSRF使用） |

---

## 六、实战案例（示例）

### 案例1：图片上传功能
```php
$image_url = $_GET['url'];
file_get_contents($image_url);
```
- 测试：`?url=http://127.0.0.1:8080/admin/config`
- 成功返回则存在SSRF

### 案例2：API调用
```java
String url = request.getParameter("callback");
HttpClient.get(url);
```
- 测试：`?callback=http://127.0.0.1:6379`
- 成功访问Redis服务，则存在SSRF

---

## 七、总结

| 技巧 | 说明 |
|------|------|
| 参数分析 | 找到所有可控制的URL参数 |
| 本地访问 | 测试是否能访问本地服务 |
| 协议绕过 | 使用非http协议绕过限制 |
| 内网扫描 | 探测内网服务和端口 |
| 高级利用 | 结合其他漏洞进行横向渗透 |

---

如果你是刚开始接触SSRF，可以从简单的图片上传或API调用入手，逐步深入。如果你需要我帮你分析某个具体网站是否存在SSRF漏洞，也可以提供相关链接或代码片段。