加载中...

SSRF

发表于2025-02-16|更新于2025-02-16|网安靶场Pikachu

|总字数:518|阅读时长:2分钟|浏览量:

SSRF(Server-Side Request Forgery:服务器端请求伪造)

PHP中下面函数的使用不当会导致SSRF:

1
2
3

file_get_contents()
fsockopen()
curl_exec()

file_get_contents() 将整个文件读入一个字符串
fsockopen() 打开 Internet 或者 Unix 套接字连接
curl_exec() 执行 cURL 会话

SSRF(curl)

curl 可以接收很多内容，不论是一个链接，还是一个文件路径。如果是一个链接，curl 就直接访问那个链接，如果是一个文件路径就直接访问那个文件。

我们发现超链接是

1	http://192.168.17.129:8000/vul/ssrf/ssrf_curl.php?url=http://127.0.0.1/vul/vul/ssrf/ssrf_info/info1.php

不过我们的端口是 8000 ，我们再设置一下，还是不行，我试了一下，必须是外部的 IP（不管是局域网 IP 还是公网 IP 也好，不能是本地回环地址）

1	http://192.168.17.129:8000/vul/ssrf/ssrf_curl.php?url=http://192.168.17.129:8000/vul/ssrf/ssrf_info/info1.php

所以很容易可以调用其他的 PHP 代码，是吧。

我们又会用到 pikachu RCE exec”eval”的页面 php 代码了。

1	192.168.17.129:8000/vul/ssrf/ssrf_curl.php?url=http://192.168.17.129:8000/vul/rce/rce_eval.php

页面有点错乱，没关系。不过，测了半天发现没用。

不过我们可以用这个干很多事情了。

源码分析

if(isset($_GET['url']) && $_GET['url'] != null){

    //接收前端URL没问题,但是要做好过滤,如果不做过滤,就会导致SSRF
    $URL = $_GET['url'];
    $CH = curl_init($URL);
    curl_setopt($CH, CURLOPT_HEADER, FALSE);
    curl_setopt($CH, CURLOPT_SSL_VERIFYPEER, FALSE);
    $RES = curl_exec($CH);
    curl_close($CH) ;
//ssrf的问是:前端传进来的url被后台使用curl_exec()进行了请求,然后将请求的结果又返回给了前端。
//除了http/https外,curl还支持一些其他的协议curl --version 可以查看其支持的协议,telnet
//curl支持很多协议，有FTP, FTPS, HTTP, HTTPS, GOPHER, TELNET, DICT, FILE以及LDAP
    echo $RES;

}

SSRF(file_get_content)

一样的，只不过是文件而已

file://文件路径

这个是服务器的本地文件路径

http://文件路径

是基于网站根目录的路径

文章作者: Mr.Virus

文章链接: http://example.com/posts/51037.html

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Mr.Virus's Blog！

相关推荐

CSRF(Cross-Site Request Forgery)跨站请求伪造 CSRF(GET)看一下提示，可以得到很多的用户与密码，这里以 vince 账户为实验。 12345姓名:vince性别:boy手机:18626545453住址:chain邮箱:vince@pikachu.com 将邮箱修改成 mov@pikachu.com 了。不过没看到它在 URL 有显示 GET 获取的数据罢了。我们看一下浏览器中表单中各个组件的 name 值我们简单构造一下 1?sex=boy&phonenum=18626545453&add=chain&email=mrvirus@qq.com&submit=submit 发现没有用。那我老老实实用 Burpsuite 去抓包看看有什么缺的。 **tips：**其实少写一个 submit 那个发送按键，因为 value 为 submit，所以后面再加一个 submit=submit。 1234567891011GET...

PHP反序列化

原理序列化 serialize()把一个对象变成可以传输的字符串反序列化 unserialize()把被序列化的字符串还原成对象魔法函数123456常见的几个魔法函数:__construct()当一个对象创建时被调用__destruct()当一个对象销毁时被调用__toString()当一个对象被当作一个字符串使用__sleep() 在对象在被序列化之前运行__wakeup将在序列化之后立即被调用题目一开局就然我们输入一个序列化数据，不知道想干啥，我们就随便写一个对象 123456class S{ public $text = 'pikachu';}$s = new S();$s = serialize($s);echo $s; 1O:1:"S":1:{s:4:"text";s:7:"pikachu";} 输入进去，发现下面文本有一个输出了一个 pikachu，真神奇，不知道怎么实现的？ 1234567class S{ public...

文件包含漏洞本地文件包含漏洞远程文件包含漏洞 include、include_once、require、require_once include 和 requrie 的区别 include 包含有错误还会继续运行，而 require 会中止。 xxx 和 xxx_once 的区别 once 只会运行一次下面的 local 和 remote 的区别就是，看一下代码 local 的 1include "include/$filename"; remote 的 1include "$filename"; 可以看到 local 的代码明显自由度不高，被 include/限制了，但是我们可以用.. .这样的符号在本地内 include。 remote 不仅可以在本地，还可以用 URL 引用互联网上的 php 以及其他的文件。 File Inclusion(local)File Inclusion(remote)

Croos-Site Scripting

XSS（跨站脚本）一种发生在前端浏览器端的漏洞，所以其危害的对象也是前端用户。类型：反射型 XSS 存储型 XSS DOM 型 XSS 反射型 XSS（GET）有输入框我们就可以试试一些 js 代码 1<script>alert("hello");</script> 输入进去，我们可以看到，前端限制了长度这个简单，这种就是用了 HTML 的语法限制。我们浏览器调试一下。把 maxlength 改成 100 甚至更大。解决这个题目有一个 GET，就是通过 URL 进行传输信息。说明我们不仅可以通过修改 HTML 语法进行绕过，还可以通过修改 URL 进行绕过。方法修改 HTML 修改 URL 反射型 XSS（POST）先看一下提示，我们获得了一个账号。我们进去之后，可以输入那串 js 代码即可。存储型 XSS看到一个文本框，老规矩，先输入我们的 js 代码。 ok 可以。并且每次刷新也不会消失。 DOM 型 XSS可以看到，这次简单输入 js...

SQL 注入前端的数据传入到后台处理时，没有做严格的判断，导致其传入的“数据”拼接到SQL语句中后，被当作SQL语句的一部分执行。 MySQL 通用查库、查表、查列我们直接使用 MySQL 命令行进行操作。使用库我们平时在进行 SQL 注入时，后端代码已经自己使用库了。但是，我们在使用 MySQL 命令行工具时，是需要通过命令来使用库的。 1use pikachu 我们就可以查看当前库了 1234567mysql> select database();+------------+| database() |+------------+| pikachu |+------------+1 row in set (0.00 sec) 查库1select schema_name from information_schema.schemata; 我们呢发现命令行输出了这两个数据库。原理是使用 select 读取了 information_schema 数据库中的 schemata 表中的 schema_name...

水平越权我们输入 kobe 的账号密码，进入进去，查看个人资料，我们发现 URL 上面的信息，我们可以尝试改成其他用户名(lucy/lili/kobe) 1http://192.168.17.129:8000/vul/overpermission/op1/op1_mem.php?username=kobe&submit=%E7%82%B9%E5%87%BB%E6%9F%A5%E7%9C%8B%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF 发现改成 lucy 的，在 kobe 页面也可以看到 lucy 的个人信息，这就是水平越权漏洞了。同样的可以看到 lili 的信息。垂直越权提供了 admin/123456、pikachu/000000，还说明了 admin 是超级用户，我们登录 admin 账号试试。同样的我们发现了添加用户和删除用户的 URL，我们就登录看 pikachu 这个账户看能不能利用即可。添加用户的...