ssrf

SSRF 概述 server-side request forgery服务器端请求伪造 主要是服务端能够帮你请求资源，这样就饶过了一些网络访问控制等限制。 形成的原因大都是由于服务端提供了从其他服务器应用数据的功能，但又没有对目标地址做严格过滤与限制，导致攻击者可以传入任意的地址来让后端服务器对其发起请求，并返回对该目标地址请求的数据。 利用SSRF能实现以下效果: 扫描内网（主机信息收集，Web应用指纹识别） 根据所识别应用发送构造的Payload进行攻击 Denial of service 常见位置 1）分享：通过URL地址分享网页内容 2）转码服务 3）在线翻译 4）图片加载与下载：通过URL地址加载或下载图片 5）图片、文章收藏功能 6）未公开的api实现以及其他调用URL的功能 7）从URL关键字中寻找 share wap url link src source target u 3g display sourceURl imageURL domain 利用 curl支持很多协议，有FTP, FTPS, HTTP, HTTPS, GOPHER, TELNET, DICT, FILE以及LDAP 后端代码 防护 限制协议为HTTP、HTTPS协议。 禁止30x跳转。 设置URL白名单或者限制内网IP。 限制请求的端口为http常用的端口。 来源： https://www

一、SSRF简介 SSRF （Server-Side Request Forgery，服务器端请求伪造）：通俗的来说就是我们可以伪造服务器端发起的请求，从而获取客户端所不能得到的数据。SSRF漏洞形成的原因主要是服务器端所提供的接口中包含了所要请求的内容的URL参数，并且未对客户端所传输过来的URL参数进行过滤。这个漏洞造成的危害有： (1)、可以对外网、服务器所在内网、本地进行端口扫描，获取一些服务的banner信息; (2)、攻击运行在内网或本地的应用程序（比如溢出）; (3)、对内网Web应用进行指纹识别，通过访问默认文件实现; (4)、攻击内外网的Web应用，主要是使用Get参数就可以实现的攻击（比如Struts2漏洞利用，SQL注入等）; (5)、利用File协议读取本地文件。 一般的防御措施是对URL参数进行过滤，或者使得URL参数用户不可控。 二、绕过SSRF过滤的几种方法 下文出现的192.168.0.1，10.0.0.1全部为服务器端的内网地址。 1、更改IP地址写法 一些开发者会通过对传过来的URL参数进行正则匹配的方式来过滤掉内网IP，如采用如下正则表达式： ^10(\.([2][0-4]\d|[2][5][0-5]|[01]?\d?\d)){3}$ ^172\.([1][6-9]|[2]\d|3[01])(\.([2][0-4]\d|[2][5][0-5]|

目录 刷题记录：[De1CTF 2019]SSRF Me 一、涉及知识点 1、MD5长度扩展攻击 2、Python 2.x - 2.7.16 urllib.fopen支持local_file导致LFI(CVE-2019-9948) 二、解题方法 三、总结 刷题记录：[De1CTF 2019]SSRF Me 题目复现链接： https://buuoj.cn/challenges 参考链接： De1CTF ssrf_me 的三种解法 浅析De1CTF 2019的两道web SSRF ME && ShellShellShell 一、涉及知识点 1、MD5长度扩展攻击 参考 MD5长度拓展攻击简要笔记 浅谈MD5扩展长度攻击 攻击场景： file=filename&hash=md5($secret_key.filename) 验证成功下载文件 目的：传入任意filename实现任意文件读取 条件： 已知任意一个 md5($secret_key.filename) ，并且知道filename的明文。 已知 secret_key 的长度。 用户可以提交md5值。 工具： HashPump/python模块:hashpumpy 2、Python 2.x - 2.7.16 urllib.fopen支持local_file导致LFI(CVE-2019-9948) https://bugs

目录 CTF SSRF(服务器端伪造请求) 一、概念 二、危害 三、漏洞挖掘与判断 四、相关函数 五、IP绕过 六、Gopher协议 1、使用限制 2、构造payload CTF SSRF(服务器端伪造请求) 一、概念 SSRF(Server-Side Request Forgery)，服务器端请求伪造，利用漏洞伪造服务器端发起请求，从而突破客户端获取不到数据的限制 对外发起网络请求的地方都可能存在SSRF漏洞 二、危害 1、可以对外网、服务器所在内网、本地进行端口扫描，获取一些服务的banner信息 2、攻击运行在内网或本地的应用程序（比如溢出） 3、对内网Web应用进行指纹识别，通过访问默认文件实现 4、攻击内外网的Web应用，主要是使用Get参数就可以实现的攻击（比如Struts2漏洞利用，SQL注入等） 5、利用file协议读取文件 三、漏洞挖掘与判断 从WEB功能上寻找 分享：通过URL地址分享网页内容 转码服务：通过URL地址吧原地址的网页内容调优使其适合手机屏幕浏览 在线翻译：通过URL地址翻译对应文本的内容。 图片加载与下载：通过URL地址加载或下载图片 未公开的api实现以及其他调用URL的功能 从URL关键字中寻找 share、wap、url、link、src、source、target、u、3g、display、sourceURL、imageURL

前言 什么是ssrf SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。 一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。 举一个例子： 比如一个添加图文的功能，填入标题内容和封面图然后提交在网站前台显示，对于这个功能的图片它除了可以让你上传以外，还支持填入远程图片地址，如果你填入了远程的图片地址，则该网站会加载远程图过来进行显示，而如果程序写法不严谨或者过滤不严格，则加载图片地址的这个功能可能就可以包含进行一些恶意的脚本文件，或者你输入内网的 ip 或者一些系统的文件都会被解析执行，这个我们一般叫它 SSRF 即服务端请求伪造。 危害：一般我们是无法请求到系统上的文件的，内网的 ip 我们也是无法访问的，有了 SSRF 后，我们提交的加载连接是用服务器进行加载解析，实际上相当于我们以存在 SSRF 这个服务器为跳板进行的一些加载操作。 一般ssrf漏洞的页面是get请求，访问内网地址的时候返回的是状态码，根据返回信息，我们可以对内网的IP和端口进行信息收集，可以收集到一些内网机子的断开开放情况 比如redis服务，如果内网有IP开启6379端口，那么我们就可以用存在ssrf的机子给含有redis服务的机子发送命令，然后反弹shell.

由于自己很懒，很多知识点都没有自己去整理，想着自己不整理总有大佬总结整理了，所以我这里就将我平时看到的好的文章链接发出来，用来大家学习。资料全为转载仅供学习，如有侵权请告知立即删除。 我会不间断更新，本次更新时间为：2019/3/8 1. 本次新收录的文章 一套实用的渗透测试岗位面试题 XSS漏洞解析与挖掘 Getshell姿势文章大集合 巧妙地绕过CSP：欺骗CSP执行任意代码 Andorid-APP 安全测试（一） Andorid-APP 安全测试（二） Andorid-APP 安全测试（三） Andorid-APP 安全（四）之流量分析与内外存储 Android-APP 安全（五）之android取证-文件系统与数据结构 2. 文章汇总 1. sql注入 2. xss XSS BYPASS备忘录 那些年我们一起学XSS 如何对 JavaScript 引擎进行 Fuzzing JavaScript源码审计(一) XSS漏洞解析与挖掘 3. csrf 4. 上传 Upload-labs 20关通关笔记 5. 代码执行/命令执行 6. 文件包含 7. 逻辑漏洞 8. 应急响应 1. Windows应急响应 windows 应急流程及实战演练 Windows 系统安全事件应急响应 2. Linux应急响应 Linux 应急响应流程及实战演练 9. 前端安全 1. ssi注入

1 概述 Gopher 协议可以做很多事情，特别是在 SSRF 中可以发挥很多重要的作用。利用此协议可以攻击内网的 FTP、Telnet、Redis、Memcache，也可以进行 GET、POST 请求。这无疑极大拓宽了 SSRF 的攻击面。 gopher：gopher协议支持发出GET、POST请求：可以先截获get请求包和post请求包，再构造成符合gopher协议的请求。gopher协议是ssrf利用中一个最强大的协议（俗称万能协议） Gopher 协议是 HTTP 协议出现之前，在 Internet 上常见且常用的一个协议。在ssrf时常常会用到gopher协议构造post包来攻击内网应用。其实构造方法很简单，与http协议很类似。 不同的点在于 gopher协议没有默认端口，所以需要指定web端口，而且需要指定post方法。回车换行使用%0d%0a。注意post参数之间的&分隔符也要进行url编码 基本协议格式： URL:gopher://<host>:<port>/<gopher-path>_后接TCP数据流 简单实例 gopher协议简单应用 gopher:// < host > : < port > / < gopher-path > _后接TCP数据流 $ curl gopher://localhost:2222/hello%0agopher $ nc -lvvp