SSRF漏洞的挖掘经验
封面图
•
2025-09-15
•
软件工程其他
165
0
0
0
SSRF(Server Side Request Forgery,服务器端请求伪造)是一种常见的Web安全漏洞,攻击者可以利用该漏洞让服务器向内部网络或外部系统发起请求,从而绕过防火墙、访问本地资源、窃取敏感信息等。以下是一些关于**SSRF漏洞挖掘的经验和技巧**,适用于安全测试人员和渗透测试者: --- ## 一、SSRF漏洞原理 SSRF漏洞的核心在于:**服务器端代码中使用了用户可控的URL进行HTTP请求**,而没有对目标地址进行严格校验。 例如: ```php // 示例代码(伪代码) $target = $_GET['url']; file_get_contents($target); ``` 如果用户传入 `http://127.0.0.1/admin/config`,服务器就会访问本机的 `/admin/config`,这可能暴露内部服务。 --- ## 二、SSRF漏洞常见场景 | 场景 | 描述 | |------|------| | 图片/文件上传功能 | 使用用户提供的URL下载图片或文件 | | 网站抓取功能 | 如爬虫、内容抓取、RSS订阅等 | | 接口调用 | 通过API调用其他服务(如微信支付回调、第三方登录等) | | 缓存/CDN配置 | 有时缓存服务器会处理用户请求,可能被滥用 | | 内部服务接口 | 如Redis、数据库、内网服务等 | --- ## 三、SSRF漏洞挖掘经验 ### 1. **识别可控参数** - 查找所有接受URL参数的地方,如: - `?url=` - `?redirect=` - `?image_url=` - `?callback=` - `?file=` - 常见字段:`url`, `link`, `target`, `uri`, `page`, `callback`, `src`, `img`, `api`, `token` 等 ### 2. **尝试访问本地资源** - 尝试访问 `http://127.0.0.1`、`http://localhost`、`http://169.254.169.254`(AWS元数据服务)、`http://internal.service` 等 - 如果能成功返回响应,说明存在SSRF漏洞 ### 3. **探测内网服务** - 通过SSRF访问内网服务(如 Redis、MongoDB、FTP、SSH、ZooKeeper、ElasticSearch 等) - 例如: ```text http://127.0.0.1:6379 http://127.0.0.1:27017 http://127.0.0.1:8080 ``` ### 4. **利用协议绕过限制** - 某些服务器对 `http` 协议有白名单限制,但允许 `file://`、`gopher://`、`dict://`、`ftp://` 等协议 - 例如: ```text file:///etc/passwd gopher://127.0.0.1:6379/_*1$%0d%0a$1%0d%0a$1%0d%0a ``` ### 5. **利用DNS重定向(DNS Rebinding)** - 攻击者控制域名解析,将域名指向内网IP,从而绕过某些限制 ### 6. **利用SSRF进行横向渗透** - 一旦发现SSRF漏洞,可以进一步利用它访问内网中的其他服务,比如: - 访问内网数据库 - 利用Redis写入WebShell - 访问内部API获取敏感数据 - 执行命令(结合其他漏洞) --- ## 四、SSRF漏洞防御建议 1. **禁止访问内网IP地址(如127.0.0.1, 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)** 2. **限制协议类型(仅允许http/https)** 3. **使用白名单机制,只允许特定的域名或IP** 4. **避免使用用户输入直接构造请求URL** 5. **设置合理的超时和大小限制,防止DDoS攻击** 6. **使用反向代理进行过滤** --- ## 五、工具推荐 | 工具 | 用途 | |------|------| | Burp Suite | 捕获请求,修改参数,进行SSRF测试 | | Postman | 快速测试不同URL | | nmap | 扫描内网开放端口 | | curl / wget | 测试本地访问 | | SSRFmap | 自动化SSRF探测工具 | | GoSubDomain / Sublist3r | 探测子域名(配合SSRF使用) | --- ## 六、实战案例(示例) ### 案例1:图片上传功能 ```php $image_url = $_GET['url']; file_get_contents($image_url); ``` - 测试:`?url=http://127.0.0.1:8080/admin/config` - 成功返回则存在SSRF ### 案例2:API调用 ```java String url = request.getParameter("callback"); HttpClient.get(url); ``` - 测试:`?callback=http://127.0.0.1:6379` - 成功访问Redis服务,则存在SSRF --- ## 七、总结 | 技巧 | 说明 | |------|------| | 参数分析 | 找到所有可控制的URL参数 | | 本地访问 | 测试是否能访问本地服务 | | 协议绕过 | 使用非http协议绕过限制 | | 内网扫描 | 探测内网服务和端口 | | 高级利用 | 结合其他漏洞进行横向渗透 | --- 如果你是刚开始接触SSRF,可以从简单的图片上传或API调用入手,逐步深入。如果你需要我帮你分析某个具体网站是否存在SSRF漏洞,也可以提供相关链接或代码片段。
上一篇:
uc_members用户密码加密规则
下一篇:
ShopNC学习笔记二:核心文件及常量介绍
SSRF漏洞的挖掘经验
标题录入,一次不能超过6条
留言
评论