<?php
function curl($url){
	$ch = curl_init();
	curl_setopt($ch, CURLOPT_URL, $url);
	curl_setopt($ch, CURLOPT_HEADER, 0);
	curl_exec($ch);
	curl_close($ch);
}

$url = $_GET['url'];
curl($url);
?>

SSRF漏洞的利用

访问URL：

http://127.0.0.1/web/ssrf.php?url=www.baidu.com

可以看到，用GET请求让服务端请求百度的URL成功

当我们设置参数URL为内网的时候，那就会泄露/探测到内网的信息

比如内网下有一个http://127.0.0.1/phpmyadmin/

我们尝试让服务端请求这个phpmyadmin,其构造URL:

http://localhost/web/ssrf.php?url=127.0.0.1/phpmyadmin/

BurpSuite - Intruder模块探测内网端口

首先访问URL：

http://localhost/web/ssrf.php?url=127.0.0.1

然后打开BurpSuite抓包：

数据包如下：

GET /web/ssrf.php?url=127.0.0.1 HTTP/1.1
Host: localhost
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36 SE 2.X MetaSr 1.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8
Connection: close

右键 - Send to Inturder:

设置变量:

GET /web/ssrf.php?url=127.0.0.1:§port§

设置字典：

Number: From:1 - To:65535 - Step:1

数字类型（Number）——这种类型的Payload是指根据配置，生成一系列的数字作为Payload

Type表示使用序列还是随机数

From表示从什么数字开始

To表示到什么数字截止

Step表示步长是多少

…… 具体的可以看看BurpSuite实用手册

Start Attack：

Intruder attack 结果：

扫描/探测后，开放了：80、8080、912、902、3306端口

80：HTTP

8080：代理服务器端口(因为打开了BurpSuite)

912：虚拟机监听端口

902：Vmware使用的端口

3306：Mysql服务默认端口

SSRF漏洞修复建议

过滤返回信息，验证远程服务器对请求的响应是比较容易的方法。如果web应用是去获取某一种类型的文件。那么在把返回结果展示给用户之前先验证返回的信息是否符合标准。

统一错误信息，避免用户可以根据错误信息来判断远端服务器的端口状态。

限制请求的端口为http常用的端口，比如，80,443,8080,8090。

黑名单内网ip。避免应用被用来获取获取内网数据，攻击内网。

禁用不需要的协议。仅仅允许http和https请求。可以防止类似于file:///,gopher://,ftp://等引起的问题。

web vul

SSRF漏洞原理与利用

什么是SSRF？

Know IT, SSRF有什么能耐？

怎么找到SSRF漏洞？

测试靶场PHP源码

SSRF漏洞的利用

BurpSuite - Intruder模块探测内网端口

Start Attack：

SSRF漏洞修复建议

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐