前言

本文主要記錄一次我們在復(fù)盤嘶吼網(wǎng)站滲透報告時遇到的一個SSRF漏洞。此漏洞并結(jié)合騰訊云的API接口，可以獲取大量嘶吼服務(wù)器的敏感信息。利用這些敏感信息，又可以進行更為深入的滲透。

這篇文章將會發(fā)表在嘶吼網(wǎng)站上，滲透測試也是經(jīng)過了嘶吼的官方授權(quán)，各位讀者可以放心食用。這里由衷感謝漏洞的提交者。本篇中提到的漏洞已于2019年修復(fù)完畢，大家就不要再嘗試了，此外，溫馨提示：未授權(quán)的滲透行為是非法的。

漏洞介紹

SSRF(Server-Side Request Forgery, 服務(wù)器端請求偽造) 是一種由攻擊者利用服務(wù)端發(fā)起請求的一個安全漏洞。一般情況下，SSRF攻擊的目標(biāo)是從外網(wǎng)無法訪問，僅能通過內(nèi)網(wǎng)訪問的資源。SSRF 形成的原因可以概述為：服務(wù)端提供了從其他服務(wù)器獲取數(shù)據(jù)的功能，但沒有對目標(biāo)服務(wù)器做任何限制。上述概念聽起來有點難度，我們舉個例子就能讓問題更為清晰：部署在騰訊云的服務(wù)器，是可以訪問騰訊提供的一個API接口，獲取該服務(wù)器的內(nèi)網(wǎng)地址。 我們自己的計算機不在騰訊云的內(nèi)網(wǎng)中，自然是無法訪問這個地址的。老版的嘶吼服務(wù)器存在一個SSRF漏洞，我們可以構(gòu)造特殊的HTTP請求包，使老版嘶吼服務(wù)器訪問騰訊云的API接口獲得內(nèi)網(wǎng)地址，并把這個地址返回給我們。這就造成了內(nèi)網(wǎng)地址的泄露，當(dāng)然利用此漏洞還可以泄露更多的東西。但作為一群愛國青年，我們不能做違法的事情。所以，例子就到此結(jié)束。

老版的嘶吼站點中引用了一個開源的編輯器項目laravel-u-editor (UEditor)。該編輯器是由百度web前端研發(fā)部開發(fā)的富文本web編輯器，擁有不小的使用量。

通過閱讀UEditor的源代碼，我們可以在LumenController.php發(fā)現(xiàn)，參數(shù)$sources完全可以自己控制。代碼如下：

而且，在對$sources的值進行判斷時，其代碼也有些簡單，可以在UploadCatch.php中找到關(guān)鍵點，如下圖：

因此，可以通過“?.jpg”繞過這個判斷，導(dǎo)致讀取任何格式的內(nèi)容。

漏洞利用

正如在我們在第一章中舉的例子，這里我們就獲取一下嘶吼服務(wù)器的內(nèi)網(wǎng)地址試一試。其具體步驟如下：

A. 首先，我們要查看下騰訊云提供的API內(nèi)容。鏈接如下：

https://cloud.tencent.com/document/product/213/4934

內(nèi)容截圖如下：

在圖中，我們可以找到獲取內(nèi)網(wǎng)地址的騰訊云API接口，即圖中紅框部分。

B. 然后，我們需要構(gòu)造請求利用該SSRF漏洞使嘶吼訪問該 “圖片”。鏈接

如下：
https://www.4hou.com/laravel-u-editor-server/server?action=catchimage&source[]=http://metadata.tencentyun.com/latest/meta-data/loacl-ipv4?.jpg

構(gòu)造完畢之后，發(fā)送該請求，截圖如下：

在請求發(fā)送之后，該內(nèi)網(wǎng)的IPv4地址寫入jpg文件，并將jpg文件的路徑返回給瀏覽器。

C. 最后，訪問返回給我們的jpg文件鏈接，截圖如下：

上圖中，我們就很順利的拿到了老版嘶吼的一個內(nèi)網(wǎng)地址。需要告訴大家的是，該地址已經(jīng)更新了，不要總想著搞事情。

到此，我們就順利地利用該SSRF漏洞拿到一些我們感興趣的信息。當(dāng)然此SSRF漏洞還有很多其他的利用方式，但受限于當(dāng)?shù)胤煞ㄒ?guī)，這里只能以404方式展示了。

漏洞修復(fù)

截止到我們整理這篇文章時，貌似UEditor并沒有修復(fù)這個漏洞。我們在這里只給出一些臨時的解決方案，一個簡單有效的臨時修復(fù)方法就是設(shè)置URL白名單以及更為嚴(yán)格的文件類型過濾措施。相信看到這里的各位讀者都能夠理解這個臨時解決方案的含義，這里就不再詳細解釋了。

結(jié)論

本次復(fù)盤到這里就算是結(jié)束了，相信認真讀到這里的各位應(yīng)該會有一些收獲。在后續(xù)的文章中，我們也會陸陸續(xù)續(xù)地拿出其他的案例以及其他的漏洞分享給大家，希望各位讀者能有所收獲。

【免費領(lǐng)取網(wǎng)絡(luò)安全學(xué)習(xí)資料】

總結(jié)

以上是生活随笔為你收集整理的分享SSRF漏洞的学习和利用的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。