PHP下的SSRF攻防研究<\/h1>

前言<\/h2>
本文深入探讨PHP环境下SSRF(Server-Side Request Forgery)漏洞的攻击与防御，特别关注在限制条件下的利用技巧和防御方法。文章源自一个实际问题：为什么某些系统的SSRF漏洞无法攻击Redis服务，进而引发对SSRF攻击面及其局限性的全面思考。<\/p>

前台SSRF漏洞分析<\/h2>

漏洞点1：盲SSRF<\/h3>

位置：get_head<\/code>函数未过滤用户输入<\/li>
通过get_curl<\/code>可造成SSRF漏洞<\/li>
特点：盲SSRF，无回显，利用不直观<\/li> <\/ul> 漏洞点2：有回显的SSRF<\/h3> 文件位置：include\/file.php<\/code><\/li> 漏洞函数：download_img<\/code><\/li> 漏洞特点：未限制请求协议<\/li> 通过pathinfo<\/code>检查文件后缀(仅允许jpg\/gif\/png\/ico)<\/li> 请求结果会回显给客户端<\/li> <\/ul> <\/li> <\/ul> 测试环境与核心问题<\/h2> 环境条件<\/h3> curl未限制传入协议<\/li> curl开启跟随跳转(支持301)<\/li> 文件后缀限制为图片格式(jpg\/gif\/png\/ico)<\/li> <\/ol> 关键问题<\/h3> 是否可通过file:\/\/协议实现任意文件读取？<\/li> 能否利用跳转绕过后缀限制？<\/li> 如果限制只允许http协议，SSRF的攻击面和防御边界在哪里？<\/li> <\/ol> cURL协议深入研究<\/h2> 协议支持<\/h3> PHP内置curl模块(--with-curl<\/code>)<\/li> 测试环境curl版本7.52.1<\/li> 默认支持20种网络协议<\/li> <\/ul> 重要参数<\/h3> CURLOPT_REDIR_PROTOCOLS<\/code>：控制重定向允许的协议<\/li> 默认重定向支持除FILE和SCP外的所有协议(7.19.4之前版本例外)<\/li> <\/ul> SMB协议攻击面探索<\/h2> SMB协议版本<\/h3> cURL 7.40+支持SMB\/CIFS协议<\/li> 仅支持SMBv1.0(Windows 10默认禁用)<\/li> <\/ul> 攻击尝试<\/h3> Net-NTLM劫持<\/strong>：<\/p> 使用Responder工具<\/li> 需要目标启用SMBv1<\/li> 测试失败，无响应<\/li> <\/ul> <\/li> NTLM中继<\/strong>：<\/p> 需要SMB签名未开启<\/li> 受限于MS08-068补丁(无法中继自己)<\/li> 多机环境下可能利用<\/li> <\/ul> <\/li> <\/ol> cURL与SMB的限制<\/h3> 严格格式要求：smb:\/\/host\/sharename\/<\/code><\/li> 必须提供有效凭证(或Guest访问)<\/li> 仅支持SMBv1.0，现代系统默认禁用<\/li> <\/ul> Fuzz测试方法<\/h2> Fuzz 1：任意文件读取绕过<\/h3> 尝试绕过后缀限制<\/li> 测试file:\/\/\/etc\/passwd{1}{2}{3}jpg<\/code>等变形<\/li> 结果：无法绕过后缀检查<\/li> <\/ul> Fuzz 2：重定向状态码<\/h3> 测试不同状态码(301\/302\/303\/307\/308)的行为差异： 301-303：强制转为GET请求<\/li> 307-308：保持原始请求方法<\/li> <\/ul> <\/li> <\/ul> Fuzz 3：重定向协议支持<\/h3> 测试libcurl重定向支持的协议<\/li> 确认默认不支持file和smb协议重定向<\/li> <\/ul> 防御SSRF的最佳实践<\/h2> 安全配置建议<\/h3> curl_setopt<\/span>($ch, CURLOPT_PROTOCOLS<\/span>, CURLPROTO_HTTPS<\/span> |<\/span> CURLPROTO_HTTP<\/span>); <\/span><\/span>curl_setopt<\/span>($ch, CURLOPT_REDIR_PROTOCOLS<\/span>, CURLPROTO_HTTPS<\/span>); <\/span><\/span>curl_setopt<\/span>($ch, CURLOPT_MAXREDIRS<\/span>, 5<\/span>); <\/span><\/span>curl_setopt<\/span>($ch, CURLOPT_TIMEOUT<\/span>, 10<\/span>); <\/span><\/span>curl_setopt<\/span>($ch, CURLOPT_SSL_VERIFYHOST<\/span>, 2<\/span>); <\/span><\/span>curl_setopt<\/span>($ch, CURLOPT_SSL_VERIFYPEER<\/span>, true<\/span>); <\/span><\/span>curl_setopt<\/span>($ch, CURLOPT_SSLVERSION<\/span>, CURL_SSLVERSION_TLSv1_2<\/span>); <\/span><\/span><\/code><\/pre>防御要点<\/h3> 严格限制允许的协议(HTTP\/HTTPS)<\/li> 单独控制重定向协议<\/li> 设置合理的超时和重定向次数<\/li> 启用完整的SSL\/TLS验证<\/li> <\/ol> 结论<\/h2> 本文通过实际案例展示了PHP环境下SSRF漏洞的多种利用方式，特别是在限制条件下的攻击技巧。研究发现：<\/p> 即使有后缀限制，SSRF仍可能通过协议特性造成危害<\/li> SMB协议攻击面受限于协议版本和系统配置<\/li> 合理的cURL配置可有效防御SSRF漏洞<\/li> <\/ol> 参考资源<\/h2> PHP Curl Security Hardening<\/li> Responder\/SMB Relay技术<\/li> CVE-2019-15601: SMB access smuggling via FILE URL<\/li> NTLM Relay攻击技术<\/li> Potato家族提权技术<\/li> <\/ol>

PHP下的SSRF攻防研究<\/h1>

前台SSRF漏洞分析<\/h2>

测试环境与核心问题<\/h2>

cURL协议深入研究<\/h2>

SMB协议攻击面探索<\/h2>

Fuzz测试方法<\/h2>

防御SSRF的最佳实践<\/h2>

参考资源<\/h2> PHP Curl Security Hardening<\/li> Responder\/SMB Relay技术<\/li> CVE-2019-15601: SMB access smuggling via FILE URL<\/li> NTLM Relay攻击技术<\/li> Potato家族提权技术<\/li> <\/ol>

参考资源<\/h2>

PHP Curl Security Hardening<\/li>
Responder\/SMB Relay技术<\/li>
CVE-2019-15601: SMB access smuggling via FILE URL<\/li>
NTLM Relay攻击技术<\/li>
Potato家族提权技术<\/li> <\/ol>