SSRF（服务器端请求伪造）全面教学文档<\/h1>

0x00 定义与成因<\/h2>

SSRF<\/strong>（Server-Side Request Forgery：服务器端请求伪造）是一种由攻击者构造形成由服务端发起请求的安全漏洞。其核心特点是：<\/p>

由服务端发起请求，而非客户端<\/li>
能够访问与服务器相连但与外网隔离的内部系统<\/li>
成因主要是服务端提供了从其他服务器获取数据的功能且未对目标地址做充分过滤与限制<\/li> <\/ul>
常见触发场景：<\/p>

从指定URL获取网页文本内容<\/li>
加载指定地址的图片<\/li>
文件下载功能<\/li> <\/ul>
注<\/strong>：除HTTP\/HTTPS外，TCP connect方式也可用于探测内网IP端口开放情况（危害较小）<\/p>
0x01 常见存在位置<\/h2>

社交分享功能<\/strong>：获取超链接标题等内容进行显示<\/li>
转码服务<\/strong>：通过URL调优网页内容适配移动设备<\/li>
在线翻译<\/strong>：翻译指定URL的网页内容<\/li>
图片处理<\/strong>：

富文本编辑器中的图片下载<\/li>
通过URL加载\/下载图片<\/li> <\/ul> <\/li>
收藏功能<\/strong>：获取URL中title和文本内容<\/li>
云服务厂商<\/strong>：远程执行命令判断网站存活状态<\/li>
网站采集\/抓取<\/strong>：对输入URL进行信息采集<\/li>
数据库功能<\/strong>：如MongoDB的copyDatabase函数<\/li>
邮件系统<\/strong>：接收邮件服务器地址<\/li>
文件处理<\/strong>：

FFmpeg<\/li>
ImageMagick<\/li>
docx\/pdf\/xml处理器<\/li> <\/ul> <\/li>
未公开API<\/strong>：可通过Google语法搜索（关键字见下）<\/li>
远程资源请求<\/strong>：

从URL上传（如Discuz!）<\/li>
RSS feed导入导出（如博客系统）<\/li>
XML引擎对象（如WordPress xmlrpc.php）<\/li> <\/ul> <\/li> <\/ol>
关键URL参数<\/strong>：share、wap、url、link、src、source、target、u、3g、display、sourceURl、imageURL、domain等<\/p>
0x02 漏洞验证方法<\/h2>

排除法<\/strong>：<\/p>

检查浏览器F12源代码，确认请求是否由本地发起<\/li>
观察资源地址格式（如http:\/\/www.xxx.com\/a.php?image=(地址)<\/code>）<\/li> <\/ul> <\/li>
DNSlog工具<\/strong>：<\/p> 将准备请求的URI和参数编码为base64，便于追踪<\/li> <\/ul> <\/li> 抓包分析<\/strong>：<\/p> 确认请求是否由服务器发出<\/li> 从历史漏洞中寻找泄漏的内网地址<\/li> 使用二级域名暴力猜解工具推测内网地址<\/li> <\/ul> <\/li> 直接信息反馈<\/strong>：<\/p> 检查返回的Banner、title、content等信息<\/li> <\/ul> <\/li> 留意bool型SSRF<\/strong>：无回显但实际存在漏洞的情况<\/p> <\/li> <\/ol> 0x03 利用方式<\/h2> 基本利用<\/strong>：<\/p> 使服务端访问指定网址<\/li> 探测内网指纹文件判断CMS类型<\/li> <\/ul> <\/li> 协议利用<\/strong>：<\/p> 使用file、dict、gopher、ftp等协议访问文件<\/li> 示例：file:\/\/\/etc\/passwd<\/code><\/li> <\/ul> <\/li> 内网攻击<\/strong>：<\/p> 向内部任意主机的任意端口发送精心构造的payload<\/li> 利用跨协议通信技术攻击应用程序<\/li> <\/ul> <\/li> 主机探测<\/strong>：<\/p> 通过端口访问判断内网主机存活状态<\/li> <\/ul> <\/li> DoS攻击<\/strong>：<\/p> 请求大文件并保持长连接（keep-alive always）<\/li> <\/ul> <\/li> <\/ol> 0x04 绕过技巧<\/h2> 基础绕过<\/strong>：<\/p> http:\/\/baidu.com@www.baidu.com\/<\/code> 等价于 http:\/\/www.baidu.com\/<\/code><\/li> IP地址进制转换（十进制、十六进制等）<\/li> <\/ul> <\/li> URL跳转<\/strong>：<\/p> http:\/\/www.hackersb.cn\/redirect.php?url=http:\/\/192.168.0.1\/<\/code><\/li> <\/ul> <\/li> 短网址<\/strong>：<\/p> http:\/\/t.cn\/RwbLKDx<\/code><\/li> <\/ul> <\/li> xip.io服务<\/strong>：<\/p> http:\/\/xxx.192.168.0.1.xip.io\/<\/code> 解析为 192.168.0.1<\/code><\/li> <\/ul> <\/li> 端口绕过<\/strong>：<\/p> 当限制子网段时，添加:80<\/code>端口<\/li> 示例：http:\/\/10.42.7.78:80<\/code><\/li> <\/ul> <\/li> 域名解析<\/strong>：<\/p> 探测内网域名或将自己的域名解析到内网IP<\/li> <\/ul> <\/li> host分割绕过<\/strong>：<\/p> 当修复方案以\/<\/code>分割确定host时，可使用http:\/\/abc@10.153.138.81\/<\/code><\/li> <\/ul> <\/li> <\/ol> 0x05 经典漏洞示例<\/h2> WordPress 3.5.1以下版本<\/strong>：<\/p> xmlrpc.php的pingback功能缺陷导致SSRF<\/li> <\/ul> <\/li> Discuz!<\/strong>：<\/p> 利用PHP的header函数实现302跳转和协议转换<\/li> <\/ul> <\/li> WebLogic<\/strong>：<\/p> 存在SSRF漏洞的历史案例<\/li> <\/ul> <\/li> <\/ol> 0x06 修复方案<\/h2> 禁止跳转<\/strong>：防止通过跳转绕过限制<\/p> <\/li> 响应验证<\/strong>：<\/p> 验证远程服务器返回的信息是否符合预期格式<\/li> <\/ul> <\/li> 协议限制<\/strong>：<\/p> 仅允许HTTP\/HTTPS，禁用file、gopher、ftp等危险协议<\/li> <\/ul> <\/li> 访问控制<\/strong>：<\/p> 设置URL白名单<\/li> 使用gethostbyname()判断并限制内网IP访问<\/li> <\/ul> <\/li> 端口限制<\/strong>：<\/p> 限制为常用Web端口（80、443、8080、8090等）<\/li> <\/ul> <\/li> 统一错误信息<\/strong>：<\/p> 避免通过错误信息泄露端口状态<\/li> <\/ul> <\/li> <\/ol> 0x07 相关工具与技巧<\/h2> 系统命令<\/strong>：<\/p> crontab -l<\/code> 查看计划任务<\/li> crontab -r<\/code> 清除计划任务<\/li> <\/ul> <\/li> 端口转发<\/strong>：<\/p> 使用socat工具<\/li> <\/ul> <\/li> Apache配置<\/strong>：<\/p> AddType application\/x-httpd-php .jpg <\/span><\/span><\/code><\/pre>可将jpg文件当作PHP执行<\/p> <\/li> <\/ol> 0x08 扩展阅读材料<\/h2> SSRF Tips<\/a><\/li> SSRF漏洞的利用与拓展<\/a><\/li> HackerOne SSRF指南<\/a><\/li> FTP注入漏洞<\/a><\/li> PHP SSRF技术<\/a><\/li> SSRF漏洞剖析与利用<\/a><\/li> Python防御SSRF<\/a><\/li> SSRF绕过技巧<\/a><\/li> SSRF学习笔记<\/a><\/li> SSRF漏洞利用<\/a><\/li> Gopher协议利用<\/a><\/li> HITCON 2017 SSRFme<\/a><\/li> SSRF学习资料<\/a><\/li> 服务端请求伪造笔记<\/a><\/li> 自动化SSRF利用<\/a><\/li> <\/ol>