累积超过10万美元的SSRF漏洞挖掘技巧

X上知名的@Rhynorater公开了他过去5年内SSRF漏洞挖掘的技巧，他仅在SSRF漏洞上赚了超过10万刀的赏金。SSRF的漏洞不只是指向 localhost 或 AWS 元数据服务这么简单，这样一篇技巧文章让你成为挖掘SSRF的高高手。

技巧总结：

• 首先和正常渗透测试一样，尽量测试覆盖所有应用（http、https、file、ftp、gopher 等）。真实测试很多情况中，像http 上存在 https 中没有的限制，反过来https有http不同限制导致的漏洞问题。类似CVE-2023-28155。 或者，如果有可以点击的文件或 FTP 等应用点就要下意识去尝试本地文件系统访问。
• 利用重定向（当目标有限时）， 当 SSRF 请求的目标仅限于特定域时，通常可以通过重定向绕过此目标。可以通过点击应用程序中的重定向功能位置并查看它是否做好防护，节点是否易受攻击。
• 尝试所有重定向状态代码（301、302、303、307、308 等） 当使用请求访问自己的服务器时，请尝试使用所有 HTTP 重定向状态代码重定向到敏感位置。我实际测试中遇到很多次有漏洞，只能说不要放过这个测试点。
• 替代 URL 结构 这是一个很大的问题。首先必须知道 URL 的格式。最大可能的漏洞点通常来自下图中使用 @ 符号部分，测试在各种特殊的地方使用反斜杠，以及在端口部分的 ：之后加上payload。

• URL 编码 （1层，2层，3层） 使用多层 URL 编码可以绕过很多限制。我通常只测试 1 或 2 层，但我最近看到一份漏洞报告，其中只有 3 层有效。所以测试中再编码一次没什么大不了的。
• .的正则表达式验证问题，正则表达式 /a.test.com/ 与 aXtest[.]com是属于匹配的。如果 SSRF 的目标将您限制在特定域中，请尝试在“.”所在的位置插入任何字符。如果有发现漏洞存在，可以购买域名并将其指向这个域名来利用漏洞。
• DNS重新绑定，这是一项更具挑战性的技术，但仍然是一个很好的技术。当目标解析域以确保它不指向 localhost 或其他内部域时，可以通过 DNS 重新绑定来绕过此设置，是很优质的攻击手段。
• 测试DMZ主机，测试中目标可能是无法访问 localhost 或其他专用 IP 空间，但请尝试访问位于 DMZ 中的服务器，这些服务器无法从外部访问，但当从网络内部请求时，可能没有相同的保护设置。
• 路由超时导致的基于时间的子网枚举，可以尝试枚举可以通过定时攻击访问哪些本地 IP 子网。如果存在路由问题，通常需要更长的时间才能超时。如果它快速返回，则可能已找到有效的子网。（类似时间盲注）
• 测试非 HTTP 服务（如 SSH） 这通常会导致奇怪的错误响应。此外，HTTP 可以与 SMTP 等服务进行交互，因为它是纯文本协议。可以参考@hacker_这篇巨精彩的文章https://corben.io/blog/17-12-17-hackertarget：
• 使用不同的 localhost 地址（0.0.0.0、127.0.0.2 等） 有时只有一个简单的黑名单来防止 SSRF。在这种情况下，使用备用 IP 地址绕过这些是微不足道的。
• IPv6 地址，有时，可以使用 IPv6 地址来绕过对可以与之通信的 IP 的限制
• 八进制和其他替代 IP 编码，许多人不知道可以通过各种方式对 IP 进行编码。查看这篇文章，了解如何使用这些时髦的编码绕过 SSRF 限制：https://www.hacksparrow.com/networking/many-faces-of-ip-address.html

其它补充：

Unicode 规范化https://www.hacksparrow.com/networking/many-faces-of-ip-address.html

原文始发于微信公众号（军机故阁）：累积超过10万美元的SSRF漏洞挖掘技巧