csrf和ssrf总结

Posted 2021-04-25 young青年生活

1.csrf跨站请求伪造

CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。

在没有关闭相关网页的情况下，点击其他人发来的CSRF链接，利用客户端的cookie直接向服务器发送请求。

原理：

攻击者通过盗用用户身份悄悄发送一个请求，或执行某些恶意操作。 

CSRF 漏洞产生的主要原因：

1、请求所有的参数均可确定

2、请求的审核不严格，如：只验证了 Cookie

我们知道，当我们使用 img 等标签时，通过设置标签的 src 等属性引入外部资源，是可以被浏览器认为是合法的跨域请求，也就是说是可以带上 Cookie 访问的。 

CSRF的攻击流程如下

1.受害者登录了目标网站

2.攻击者向受害者发送恶意链接

3.受害者点击链接, 链接中的js代码执行, 向目标网站发送某个请求

4.由于用户已登录, 请求会被成功执行

GET型的csrf

试想一下，如果我们在 a.com 上放置一个 img 标签。当 b.com 的用户在 cookie 为过期的情况下访问 a.com，此时浏览器会向 b.com 发送一个指向http://b.com/del?id=1的GET请求，并且这个请求是带上 Cookie 的，而 b.com 的服务器仅仅是通过 cookie 进行权限判断，那么服务器就会进行相应的操作，比如假设此处为删除某个文章，用户在不知情的情况下便已完成操作。

POST型的csrf

 /coures/use/test/1111/buy.php

通过提交表单，buy.php处理购买的信息，这⾥的25532为视频ID。那么攻击者现在构造⼀个链接，链接中包含以下内容。

<form action=/coures/user/handler/25332/buy method=POST>
<input type="text" name="xx" value="xx" />
</form>
<script> document.forms[0].submit(); </script>

当⽤户访问该⻚⾯后，表单会⾃动提交，相当于模拟⽤户完成了⼀次POST操作，⾃动购买了id为11111的视频，从⽽导致受害者余额扣除。

csrf造成的危害

1、篡改目标网站上的用户数据；

2、盗取用户隐私数据；

3、作为其他攻击向量的辅助攻击手法；

4、传播 CSRF 蠕虫。

csrf的利用方式

1、通过 html 标签发送合法的跨域请求

2、通过 Ajax 发送请求（由于 CORS 机制的存在，一般不使用）

这里涉及到同源策略，如果不是很清楚可以先去了解一下。

其实csrf的主要还是和xss连接在一起，但这并不是意味着csrf不能单独进行攻击，我在学习的过程中在一个靶场中成功通过csrf获得了管理员账户，这里我放到之后的实战中进行详细解释

csrf总结

csrf怎么找

黑盒

打开非静态操作的页面，抓包查看是否存在token，如果没有token，直接请求这个页面，不带referer，如果返回的数据是一样的话，那说明很有可能有CSRF漏洞了。

白盒

读代码的时候看看核心文件里有没有验证token和referer相关的代码。可以直接搜索token关键字。

csrf怎么防御

1. 加验证码

2. 尽量使用POST，少用GET

3. 验证HTTP Referer字段

csrf怎么攻击

攻击方法在上面阐释了，如果浏览器或者服务器进行了访问以及跳转控制，csrf就比较难进行攻击了，所以这也是为什么csrf在2017年的owa top10中落选的原因。

个人操作的话是本人找到相同的网站，找到一些请求的报文，通过报文分析出对应链接，让受害者点击这个链接（这个方法是比较简单的，但是限制很大），或者自己搭建一个平台，构造合适的url请求，当用户进行这个请求时，获取对应的cookie，这样可以通过cookie进行一些操作，不过这些攻击方式对于现在的网络环境来说是很难有施展的，瓶颈较大。

2.ssrf

因SSRF通常被用来进行端口扫描，所以这个漏洞也叫XSPA，全称cross site port attack，跨站点端口攻击。

漏洞危害

1.读取或更新内部资源，造成本地文件泄露；

2.扫描内网主机端口并获取服务器上运行的服务版本，不得不提的案例是Weblogic SSRF探测内网Redis端口并结合CRLF写shell

3.将含有漏洞防主机用作代理/跳板攻击内网主机，绕过防火墙等；

ssrf查找

以下业务场景容易出现这种漏洞：

指定URL获取图片：加载/下载/上传

预览：预览图片文章等

文件下载：通过URL进行资源下载

远程加载资源：discuz的upload from url；web blog的import & expost rss feed；wordpress的xmlrpc.php

在线翻译：通过URL进行网页翻译

文章分享/收藏：从分享的URL中读取其原文的标题等

编码处理, 属性信息处理，文件处理：比如ffpmg，ImageMagick，docx，pdf，xml处理器等

爬虫：某些网站可以对输入的URL进行信息爬取,而且有些爬虫会对爬到的内容进行渲染，在渲染的时候也可能造成ssrf

未公开的api:share、wap、url、link、src、source、target、display、sourceURl、imageURL等

数据库内置功能

mongodb: db.copyDatabase
oracle:UTL_HTTP,UTL_TCP,UTL_SMTP
postgressql:dblink_send_query
MSSQL:OpenRowset,OpenDatasource

利用方式

ssrf 主要还是作用于内网，比如探测主机，扫描端口，读取文件等

接下来的内容为了方便区分把数据库内置功能的部分单独列出来

让服务端去访问相应的网页、探测内网服务

可以使用file、dict、gopher、ftp等伪协议进行请求访问相应的文件

例如

127.0.0.1/ssrf.php?url=dict://team.wishsec.com:22

泄露了软件的版本

伪协议：

file：读取服务器上任意文件内容*
ssrf.php?url=file:///etc/password*
dict：dict://@:/d:可以用来操作内网Redis等服务*
ssrf.php?url=dict://attacker:11111/*
ftp、ftps：FTP匿名访问、爆破*
tftp：UDP协议扩展*
imap/imaps/pop3/pop3s/smtp/smtps：爆破邮件用户名密码*
phar://协议来触发反序列化漏洞*
telnet：SSH/Telnet匿名访问及爆破*
smb/smbs：SMB匿名访问及爆破*
LDAP：ldap:// or ldaps:// or ldapi://代表轻量级目录访问协议
Gopher：gopher://:/_后接TCP数据流在，SSRF中属于万金油，可以攻击内网的 FTP、Telnet、Redis、Memcache，也可以进行 GET、POST 请求，还可以攻击内网未授权mysql。*

ssrf绕过

1.http://baidu.com@www.baidu.com与http://www.baidu.com`请求时是相同的

2.各种IP地址的进制转换
例如：192.168.0.1
(1)、8进制格式：0300.0250.0.1
(2)、16进制格式：0xC0.0xA8.0.1
(3)、10进制整数格式：3232235521
(4)、16进制整数格式：0xC0A80001
(5)、特殊写法（0可省略，在linux中127.0.0.1可以写成0.0.0.0）
http://0/
http://127.1/
利用ipv6绕过，http://[::1]/
 http://127.0.0.1./
 
 3.302跳转
可以使用 xip.io或者是xip.name 进行302跳转

4.短网址绕过 http://t.cn/RwbLKDx

5.限制了子网段，可以加 :80 端口绕过。http://tieba.baidu.com/f/commit/share/openShareApi?url=http://10.42.7.78:80

6.dns解析
如果目标对域名或者IP进行了限制，那么可以使用dns服务器将自己的域名解析到内网ip

ssrf总结

ssrf怎么找

1.分享
通过URL地址分享网页内容

2.转码服务
通过URL地址把源地址的网页内容调优使其适合手机屏幕浏览

3.在线翻译
通过URL地址翻译对应文本的内容，例如有道、百度等

4.图片的加载或下载
通过URL地址加载或者下载图片，查看图片来源是否是同源的url

5.图片、文章的收藏功能（这个本人没有尝试过）

6.未公开的api

7.从url的关键字寻找
存在share、url、wap、display等可能存在

ssrf怎么防御

1.禁用其他协议，允许http、https
2.统一错误回显信息
3.过滤返回的信息
4.限制请求的端口
5.对内网的IP做白名单

ssrf怎么攻击

攻击方式上面以及说了，这里说一下绕过的技巧

添加端口号
短网址绕过
指向任意IP的域名xip.io：
10.0.0.1.xip.io   resolves to   10.0.0.1
www.10.0.0.1.xip.io   resolves to   10.0.0.1
mysite.10.0.0.1.xip.io   resolves to   10.0.0.1
foo.bar.10.0.0.1.xip.io   resolves to   10.0.0.1

IP限制绕过：
十进制转换 八进制转换 十六进制转换  不同进制组合转换

协议限制绕过：
当url协议限定只为http(s)时，可以利用follow redirect 特性
构造302跳转服务，
结合dict:// file:// gopher://

DNS重绑定
1.特定域名实现TTL=0
2.域名绑定两条记录（ceye.io即可）
3.自己搭建DNS服务器