分享SSRF漏洞的学习和利用
前言
本文主要記錄一次我們在復(fù)盤嘶吼網(wǎng)站滲透報告時遇到的一個SSRF漏洞。此漏洞并結(jié)合騰訊云的API接口,可以獲取大量嘶吼服務(wù)器的敏感信息。利用這些敏感信息,又可以進(jìn)行更為深入的滲透。
這篇文章將會發(fā)表在嘶吼網(wǎng)站上,滲透測試也是經(jīng)過了嘶吼的官方授權(quán),各位讀者可以放心食用。這里由衷感謝漏洞的提交者。本篇中提到的漏洞已于2019年修復(fù)完畢,大家就不要再嘗試了,此外,溫馨提示:未授權(quán)的滲透行為是非法的。
漏洞介紹
SSRF(Server-Side Request Forgery, 服務(wù)器端請求偽造) 是一種由攻擊者利用服務(wù)端發(fā)起請求的一個安全漏洞。一般情況下,SSRF攻擊的目標(biāo)是從外網(wǎng)無法訪問,僅能通過內(nèi)網(wǎng)訪問的資源。SSRF 形成的原因可以概述為:服務(wù)端提供了從其他服務(wù)器獲取數(shù)據(jù)的功能,但沒有對目標(biāo)服務(wù)器做任何限制。上述概念聽起來有點(diǎn)難度,我們舉個例子就能讓問題更為清晰:部署在騰訊云的服務(wù)器,是可以訪問騰訊提供的一個API接口,獲取該服務(wù)器的內(nèi)網(wǎng)地址。 我們自己的計(jì)算機(jī)不在騰訊云的內(nèi)網(wǎng)中,自然是無法訪問這個地址的。老版的嘶吼服務(wù)器存在一個SSRF漏洞,我們可以構(gòu)造特殊的HTTP請求包,使老版嘶吼服務(wù)器訪問騰訊云的API接口獲得內(nèi)網(wǎng)地址,并把這個地址返回給我們。這就造成了內(nèi)網(wǎng)地址的泄露,當(dāng)然利用此漏洞還可以泄露更多的東西。但作為一群愛國青年,我們不能做違法的事情。所以,例子就到此結(jié)束。
老版的嘶吼站點(diǎn)中引用了一個開源的編輯器項(xiàng)目laravel-u-editor (UEditor)。該編輯器是由百度web前端研發(fā)部開發(fā)的富文本web編輯器,擁有不小的使用量。
通過閱讀UEditor的源代碼,我們可以在LumenController.php發(fā)現(xiàn),參數(shù)$sources完全可以自己控制。代碼如下:
而且,在對$sources的值進(jìn)行判斷時,其代碼也有些簡單,可以在UploadCatch.php中找到關(guān)鍵點(diǎn),如下圖:
因此,可以通過“?.jpg”繞過這個判斷,導(dǎo)致讀取任何格式的內(nèi)容。
漏洞利用
正如在我們在第一章中舉的例子,這里我們就獲取一下嘶吼服務(wù)器的內(nèi)網(wǎng)地址試一試。其具體步驟如下:
A. 首先,我們要查看下騰訊云提供的API內(nèi)容。鏈接如下:
https://cloud.tencent.com/document/product/213/4934
內(nèi)容截圖如下:
在圖中,我們可以找到獲取內(nèi)網(wǎng)地址的騰訊云API接口,即圖中紅框部分。
B. 然后,我們需要構(gòu)造請求利用該SSRF漏洞使嘶吼訪問該 “圖片”。鏈接
如下:
https://www.4hou.com/laravel-u-editor-server/server?action=catchimage&source[]=http://metadata.tencentyun.com/latest/meta-data/loacl-ipv4?.jpg
構(gòu)造完畢之后,發(fā)送該請求,截圖如下:
在請求發(fā)送之后,該內(nèi)網(wǎng)的IPv4地址寫入jpg文件,并將jpg文件的路徑返回給瀏覽器。
C. 最后,訪問返回給我們的jpg文件鏈接,截圖如下:
上圖中,我們就很順利的拿到了老版嘶吼的一個內(nèi)網(wǎng)地址。需要告訴大家的是,該地址已經(jīng)更新了,不要總想著搞事情。
到此,我們就順利地利用該SSRF漏洞拿到一些我們感興趣的信息。當(dāng)然此SSRF漏洞還有很多其他的利用方式,但受限于當(dāng)?shù)胤煞ㄒ?guī),這里只能以404方式展示了。
漏洞修復(fù)
截止到我們整理這篇文章時,貌似UEditor并沒有修復(fù)這個漏洞。我們在這里只給出一些臨時的解決方案,一個簡單有效的臨時修復(fù)方法就是設(shè)置URL白名單以及更為嚴(yán)格的文件類型過濾措施。相信看到這里的各位讀者都能夠理解這個臨時解決方案的含義,這里就不再詳細(xì)解釋了。
結(jié)論
本次復(fù)盤到這里就算是結(jié)束了,相信認(rèn)真讀到這里的各位應(yīng)該會有一些收獲。在后續(xù)的文章中,我們也會陸陸續(xù)續(xù)地拿出其他的案例以及其他的漏洞分享給大家,希望各位讀者能有所收獲。
【免費(fèi)領(lǐng)取網(wǎng)絡(luò)安全學(xué)習(xí)資料】
總結(jié)
以上是生活随笔為你收集整理的分享SSRF漏洞的学习和利用的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 攻击者怎样使用HTML和CSS隐藏“外部
- 下一篇: 记一次渗透实例