pikachu靶场——SSRF(服务器端请求伪造)

Posted 2020-12-16 00xhuang

概述

SSRF(Server-Side Request Forgery:服务器端请求伪造)
其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制，导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据。
数据流:攻击者----->服务器---->目标地址

根据后台使用的函数的不同,对应的影响和利用方法又有不一样

php中下面函数的使用不当会导致SSRF:
file_get_contents()
fsockopen()
curl_exec()

如果一定要通过后台服务器远程去对用户指定("或者预埋在前端的请求")的地址进行资源请求,则请做好目标地址的过滤。

SSRF(curl)

 在pikachu靶场中，点击蓝色的a标签后，可以看到浏览器URL中它传了一个url参数

打开后端源代码，可以看到它是从前端获取了url请求，curl_init函数会对它进行初始化，然后curl_exec函数会去执行请求，最终又将请求结果返回到前端。

我们可以通过传入一个其他的地址来演示。

在URL中传入百度的地址(www.baidu.com)，可以看到页面显示出了百度的数据库 (它的流程和分析的源代码流程是一样的，前端传入参数，后端通过curl_exec去请求百度，最后把请求返回的百度数据返回到前端)

为了演示，我在pikachu的test文件夹中新建了一个txt文件，内容如图片所示

 

接下来把这个2.txt文件的地址输入到pikachu中

http://127.0.0.1/pikachu/test/2.txt

提交这个url后，pikachu页面显示出了2.txt文件中保存的内容

 

这样也就意味着我们可以通过SSRF这个漏洞，对后端服务器同一个网络的其他服务器进行相关的扫描、探测,获取更多的资源，然后更进一步的进行攻击。

 

SSRF(file_get_content)

打开pikachu靶场，点击蓝色标签，可以看到和前面是一样的，都是通过URL上传参数到后台获取信息的

查看后端代码，它和前面的逻辑是一样的，不同的是它这里使用file_get_contents函数进行文件的读取执行，而file_get_contents函数可以对本地文件进行读取，也可以对远程文件进行读取。

我们可以像前面测试的一样，在URL中去输入百度的地址。它一样也会通过http协议去获取百度的资源

 

 我们也可以像前面一样，去访问我们之前在pikachu保存的txt文件

接下来，比如我们想知道它后台的PHP是怎么写的，可以通过构造一个payload去获取后台的PHP源码

php://filter/read=convert.base64-encode/resource=ssrf.php

提交payload后，可以看到页面显示出了转换后的php的base64编码

然后我们可以复制获取的base64编码到相关的解码网站进行解码从而得到PHP的源码