白帽黑客H师傅精彩分享：被低估的SSRF漏洞威力有多大！

感兴趣的小伙伴，识别二维码立即看课

PS：Web端看课体验更佳，看课地址：

https://www.ichunqiu.com/open/68667

<?php$url = $_GET['url'];;echo file_get_contents($url);?>

file_get_content函数从用户指定的url获取内容，然后指定一个文件名j进行保存，并展示给用户。file_put_content函数把一个字符串写入文件中。

（2）fsockopen( )

<?php function GetFile($host,$port,$link) {     $fp = fsockopen($host, intval($port), $errno, $errstr, 30);       if (!$fp) { echo "$errstr (error number $errno) n"; } else { $out = "GET $link HTTP/1.1rn"; $out .= "Host: $hostrn"; $out .= "Connection: Closernrn"; $out .= "rn"; fwrite($fp, $out); $contents=''; while (!feof($fp)) { $contents.= fgets($fp, 1024); } fclose($fp); return $contents; } }?>

fsockopen函数实现对用户指定url数据的获取，该函数使用socket（端口）跟服务器建立tcp连接，传输数据。变量host为主机名，port为端口，errstr表示错误信息将以字符串的信息返回，30为时限。

（3）curl_exec( )

<?php if (isset($_POST['url'])){$link = $_POST['url'];$curlobj = curl_init();// 创建新的 cURL 资源curl_setopt($curlobj, CURLOPT_POST, 0);curl_setopt($curlobj,CURLOPT_URL,$link);curl_setopt($curlobj, CURLOPT_RETURNTRANSFER, 1);// 设置 URL 和相应的选项$result=curl_exec($curlobj);// 抓取 URL 并把它传递给浏览器curl_close($curlobj);// 关闭 cURL 资源，并且释放系统资源

$filename = './curled/'.rand().'.txt';file_put_contents($filename, $result); echo $result;}?>

curl_exec函数用于执行指定的cURL会话。

注意：

①一般情况下PHP不会开启fopen的gopher wrapper；

②file_get_contents的gopher协议不能URL编码；

③file_get_contents关于Gopher的302跳转会出现bug，导致利用失败；

④curl/libcurl 7.43 上gopher协议存在bug(%00截断) 经测试7.49 可用；

⑤curl_exec( ) //默认不跟踪跳转；

⑥file_get_contents( ) // file_get_contents支持php://input协议。

2、协议

（1）file：在有回显的情况下，利用file协议可以读取任意内容；

（2）dict：泄露安装软件版本信息，查看端口，操作内网redis服务等；

（3）gopher：gopher支持发出GET、POST请求，可以先截获get请求包和post请求包，再构造成符合gopher协议的请求。gopher协议是SSRF利用中一个最强大的协议(俗称万能协议)，可用于反弹shell；

（4）http/s：探测内网主机存活。

在学习这块的时候，天真的以为只要存在这个页面就必有SSRF，结果当然是否定的，在借鉴了猪猪侠大佬的PPT之后，发现一共有如图四种回显状态：

那么可以通过构造：

http://xxx.com/uddiexplorer/SearchPublicRegistries.jsp?operator=http://

(要探测的内网地址)

&rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search

对其进行探测，观察其回显状态，判断是否存在目标网段，这个地方最主要的就是operator这个参数，主要思路就是通过修改这个参数，来探测内网地址和内网端口。不过问题来了，上面刚才说内网地址那么多，要怎么才能知道呢？

在WebLogicSSRF的漏洞页面点击这里：

就会来到这里，有时候由于配置不当的关系，这个地方会直接给出内网地址的网段：

有网段了，就可以一点一点的探测了，探测内网的telnet，ssh，redis，以及各个数据库，为以后的内网漫游做好信息收集。还有，在WebLogic的SSRF中，有一个比较大的特点，就是虽然它是一个“GET”请求，但是我们可以通过传入%0a%0d来注入换行符，而某些服务（如redis）是通过换行符来分隔每条命令，也就说可以通过该SSRF攻击内网中的redis服务器。

手动反弹shell，就是常规的发送redis命令，然后把弹shell脚本写入crontab中，最后用get发送命令，不过别忘了，get发送命令的时候要进行url编码，最后在服务器上进行监听就OK了。

End

— 往期回顾 —

Hacking Club 技术趴

▶ 浅析勒索病毒

▶ JAVA反序列化学习

▶ 回首白帽老兵十年网安之路

▶ 通读Linux提权原理和手法

▶ 浅析红队基础设施

▶ Windows域渗透之Kerberos委派

科普类公开课

▶浅析僵尸网络

▶信用卡安全

▶大数据的前世今生

▶大牛教你做好应急响应

▶免费的陷阱：警惕公共Wi-Fi

▶无线键盘有漏洞

▶0day危机，隐藏的攻防战

▶加密算法解析

▶DNS解析

▶ 红队建设之道

▶ 手机锁屏密码安全

▶ 中间人攻击

▶ 十分钟看懂隐写术

▶ 信息泄露问题

▶ 狡猾的漏洞利用

▶ RFID工作原理分析

▶ 披露世界顶级黑客的内心独白

▶ 一分钟看穿网络钓鱼

DC GROUP精品沙龙系列

▶ VPN设备的矛与盾

▶ CAN总线安全

▶ Windows 密码攻防

▶ 基于攻击链的威胁，工控安全如何防护

▶ 初窥IoT安全 浅析常规漏洞

i春秋官方公众号为大家提供

前沿的网络安全技术

简单易懂的实用工具

紧张刺激的安全竞赛

还有网络安全大讲堂

更多技能等你来解锁

本文始发于微信公众号（i春秋）：白帽黑客H师傅精彩分享：被低估的SSRF漏洞威力有多大！