ssrf getshell（学习SSRF，这一篇就足够了）

php教程兄弟连

0x00 定义与成因SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞一般情况下，SSRF攻击的资源目标是从外网无法访问的内部系统。

（正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内部系统）SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做资源过滤与限制比如从指定URL地址获取网页文本内容，加载指定地址的图片，下载等等。

注释：除了http/https等方式可以造成ssrf，类似tcp connect 方式也可以探测内网一些ip 的端口是否开资源发服务，只不过危害比较小而已0x01 可能出现的地方1.社交分享功能：获取超链接的标题等内容进行显示。

2.转码服务：通过URL地址把原地址的网页内容调优使其适合手机屏幕浏览3.在线翻译：给网址翻译对应资源网页的内容4.图片加载/下载：例如富文本编辑器中的点击下载图片到本地；通过URL地址加载或下载图片5.图片/文章收藏功能：主要其会取URL地址中title以及文本的内容作为显示以求一个好的用具体验

6.资源云服务厂商：它会远程执行一些命令来判断网站是否存活等，所以如果可以捕获相应的信息，就可以进行ssrf测试7.网站采集，网站抓取的地方：一些网站会针对你输入的url进行一些信息采集工作8.数据库内置功能资源：数据库的比如mongodb的copyDatabase函数

9.邮件系统：比如接收邮件服务器地址10.编码处理, 属性信息处理，文件处理：比如ffpmg，ImageMagick，docx，pdf，xml资源处理器等11.未公开的api实现以及其他扩展调用URL的功能：可以利用google 语法加上这些关键字去寻找SSRF漏洞

一些的url中的关键字：share、wap、url、link、src、sourc资源e、target、u、3g、display、sourceURl、imageURL、domain……12.从远程服务器请求资源（upload from url 如discuz！；import & exp资源ost rss feed 如web blog；使用了xml引擎对象的地方 如wordpress xmlrpc.php）

0x02 漏洞验证1.排除法：浏览器f12查看源代码看是否是在本地进行了请求比如：资源该资源地址类型为 http://www.xxx.com/a.php?image=（地址）的就可能存在SSRF漏洞2.dnslog等工具进行测试，看是否被访问

--可以在盲打后台用例中将当前准备请求的ur资源i 和参数编码成base64，这样盲打后台解码后就知道是哪台机器哪个cgi触发的请求3.抓包分析发送的请求是不是由服务器的发送的，如果不是客户端发出的请求，则有可能是，接着找存在HTTP服务的内网地址资源。

--从漏洞平台中的历史漏洞寻找泄漏的存在web应用内网地址--通过二级域名暴力猜解工具模糊猜测内网地址4.直接返回的Banner、title、content等信息5.留意bool型SSRF0x03 资源利用方式

1.让服务端去访问相应的网址2.让服务端去访问自己所处内网的一些指纹文件来判断是否存在相应的cms3.可以使用file、dict、gopher[11]、ftp协议进行请求访问相应的文件4.攻击资源内网web应用（可以向内部任意主机的任意端口发送精心构造的数据包{payload}）

5.攻击内网应用程序（利用跨协议通信技术）6.判断内网主机是否存活：方法是访问看是否有端口开放7.DoS攻击（请求大资源文件，始终保持连接keep-alive always）0x04 绕过小技巧注：参考[8]会有更详细的绕过方式总结

1.http://baidu.com@www.baidu.com/与http://www资源.baidu.com/请求时是相同的2.各种IP地址的进制转换3.URL跳转绕过：http://www.hackersb.cn/redirect.php?url=http://192.168.0.1/资源

4.短网址绕过 http://t.cn/RwbLKDx5.xip.io来绕过：http://xxx.192.168.0.1.xip.io/ == 192.168.0.1 (xxx 任意）指向任意ip的资源域名：xip.io(37signals开发实现的定制DNS服务)

6.限制了子网段，可以加 :80 端口绕过http://tieba.baidu.com/f/commit/share/openShare资源Api?url=http://10.42.7.78:807.探测内网域名，或者将自己的域名解析到内网ip。

8.例如 http://10.153.138.81/ts.php , 修复时容易出现的获取ho资源st时以/分割来确定host，但这样可以用 http://abc@10.153.138.81/ 绕过0x05 漏洞示例

1.Wordpress3.5.1以下版本 xmlrpc.php pingback的资源缺陷与ssrf2.discuz！的ssrf （利用php的header函数来绕过，其实就是302跳转实现协议转换）3.weblogic的ssrf

0x06 漏洞修复1.禁止跳转2.过滤返回信息，验证远程资源服务器对请求的响应是比较容易的方法如果web应用是去获取某一种类型的文件那么在把返回结果展示给用户之前先验证返回的信息是否符合标准3.禁用不需要的协议，仅仅允许http和https请求。

可以防止类似于资源file://, gopher://, ftp:// 等引起的问题4.设置URL白名单或者限制内网IP（使用gethostbyname()判断是否为内网IP）5.限制请求的端口为http常用的端口，比资源如 80、443、8080、8090

6.统一错误信息，避免用户可以根据错误信息来判断远端服务器的端口状态0x07 漏洞利用中牵涉的小技巧crontab -l 显示当前计划任务crontab -r 清除资源当前计划任务端口转发工具 socat在Apache配置文件中写入下面的内容，就可以将jpg文件当做PHP文件来执行

AddType application/x-httpd-php .jpg……0x08 资源相关材料[1]http://blog.safebuff.com/2016/07/03/SSRF-Tips/[2]https://paper.seebug.org/393/

[3]https://www.资源hackerone.com/blog-How-To-Server-Side-Request-Forgery-SSRF[4]http://blog.blindspotsecurity.com/2017/资源02/advisory-javapython-ftp-injections.html

[5]https://medium.com/secjuice/php-ssrf-techniques-9d422cb资源28d51[6]http://byd.dropsec.xyz/2017/06/04/SSRF%E6%BC%8F%E6%B4%9E%E5%89%96%E6%9E%90%E4%B8%8E%E5%88%A9资源%E7%94%A8/

[7]https://www.leavesongs.com/PYTHON/defend-ssrf-vulnerable-in-python.html[8]https://www.s资源ecpulse.com/archives/65832.html

[9]https://www.cnblogs.com/s0ky1xd/p/5859049.html[10]https://www.t00l资源s.net/articles-41070.html[11]https://ricterz.me/posts/%E5%88%A9%E7%94%A8%20gopher%20%E5%8D%8F%E8%AE%资源AE%E6%8B%93%E5%B1%95%E6%94%BB%E5%87%BB%E9%9D%A2

[12]https://ricterz.me/posts/HITCON%202017%20SSRFme[1资源3]http://bobao.360.cn/learning/detail/240.html[14]

https://github.com/JnuSimba/MiscSecNotes/tree/mast资源er/%E6%9C%8D%E5%8A%A1%E7%AB%AF%E8%AF%B7%E6%B1%82%E4%BC%AA%E9%80%A0

[15]https://github.com/ring04h/pap资源ers/blob/master/build_your_ssrf_exp_autowork--20160711.pdf0x09 后记这篇是我整理了之前的一篇笔记，这篇笔记中没有给出案例。

后面有空了也会把资源自己的一些案例笔记整理下from:zeroyu.xyz点击左下角阅读原文学习更多渗透测试教程推荐学习教程CTF网络安全大赛学习从入门到精通教程、工具、writeup合集web渗透测试实战全5套完整版视资源频教程 推荐学习

渗透测试工程师基础+进阶2套视频学习教程 零基础入门到高手2018-2019零基础渗透测试web安全攻防网络安全漏洞讲解培训视频教程Python网络安全编程实战视频教程2018-201资源9安卓逆向Android安全反编译脱壳加固IDA调试实战培训教程5套

2019企业级网络安全与等保2.0视频教程【行业剖析+产品方案+项目实战】web安全从入门到精通视频教程Wireshark网络分析实资源践视频教程全新企业级Linux高端运维实战高薪就业课程高可用架构+负载均衡+企业安全

web渗透之SRC漏洞挖掘视频教程python从基础到网络爬虫数据分析人工智能机器学习深度学习24套视频教程IOS逆资源向与安全学习视频教程2019新软考网络信息安全工程师备考实战教程 软考安全工程师串讲【教程】升级版HCIA-Security V3.0认证课程 华为ICT领域网络安全工程师教程

IOS逆向与安全学习视频资源教程深度学习之神经网络 CNN/RNN/GAN 算法原理+实战视频教程2019年新逆向破解学习视频教程  十天入门逆向破解免责声明本公众号资源均通过网络等合法渠道获取，该资料仅作为技术学习交流使用，其资源版权归出版社或者原作者所有，本公众号不对所涉及的版权问题负责。

如原作者认为侵权，请留言联系小编，小编立即删除文章，谢谢扫描关注乌云安全

快戳阅读原文！获取更多视频教程

亲爱的读者们，感谢您花时间阅读本文。资源如果您对本文有任何疑问或建议，请随时联系我。我非常乐意与您交流。