SSRF繞過方法詳解

當我們成功發現了一個應用存在SSRF漏洞後，我們又發現了應用後端有一個WAF，需要在不觸發WAF的情況下繼續利用該漏洞。這個時候，我們可以首先嘗試一些常規的繞過辦法，例如：

1、使用已知的繞過方式，例如使用CRLF繞過等

http://target.com/url.php?url=http://example.com%0d%0aAllowHeader:header1

2、使用已知的WAF規則繞過方式，例如對URL進行編碼等

http://target.com/url.php?url=http://example.com/%2f../%2f../%2f../etc/passwd

3、使用HTTPS繞過方式，例如使用https://127.0.0.1都進行請求，此時的請求不能夠引起SSRF的報錯信息

https://127.0.0.1:8081/url.php?url=https://example.com

上述代碼中的方法已經是比較基礎的繞過方法，但總的來說，SSRF繞過方法並沒有唯一確定的方案，各種應用有各種不同的實現，繞過方式也各有不同。下面列舉一些常見的SSRF繞過方法：

1、協議限制繞過：當應用對協議有限制時，我們可以利用不同的協議進行繞過，例如file://, gopher://, dict://等

http://target.com/url.php?url=file:///etc/passwd

2、127.0.0.1繞過：當應用禁用了127.0.0.1地址時，我們可以使用0.0.0.0或localhost繞過

http://target.com/url.php?url=ftp://0.0.0.0:21/list.txt

3、限制URL繞過：當應用限制了URL的可用字符，我們可以使用base64編碼或URL編碼繞過

http://target.com/url.php?url=aHR0cDovL2V4YW1w

我們在利用SSRF漏洞時，需要結合具體場景和應用來選擇不同的手法。下面是一些常用的手法：

1、DNS重綁定：對於某些應用，例如瀏覽器插件等，可以通過DNS重綁定來繞過SSRF漏洞，繞過方法比較簡單，實現基礎的DNS重綁定即可，例如使用Burp中的Hosts文件等。

2、利用URL重寫：如果可以修改應用中的URL跳轉，例如跳轉至其他協議，可以直接利用URL跳轉進行漏洞利用。

3、利用文件讀取：有些SSRF漏洞可以讀取文件，例如/etc/passwd等文件，利用文件讀取可以獲取一些關鍵信息，例如密碼等。

在瀏覽器中，很多協議已經受到了限制，例如file://, gopher://協議等。要繞過這些協議限制，我們可以嘗試以下方法：

1、利用URL跳轉：對於可以修改應用中的URL跳轉的場景，可以利用URL跳轉，例如跳轉至其他協議。

2、利用特殊協議：例如jar://協議、input://協議等，可以使用一些特殊協議來繞過協議限制。

http://target.com/url.php?url=javascirpt:alert(1) 
或者是
http://target.com/url.php?input=http://example.com

如果應用禁用了127.0.0.1地址，我們可以使用0.0.0.0或localhost輕鬆繞過，其他可以使用的地址還包括：

1、[::1]：IPv6的本地迴環地址

2、0:0:0:0:0:0:0:1：IPv6的本地迴環地址，與[::1]等效，其中0可以省略。

3、[::]：IPv6的通配地址

由於中國大陸的IP段比較有限，因此應用往往會對大陸IP進行限制。一些繞過方法如下：

1、使用其他國家的IP：如果目標站點沒有國家限制，可以使用其他國家的IP，例如使用美國的IP來發起請求。

2、利用代理：使用代理可以繞過目標應用的國家限制。

3、使用CDN：通過使用CDN等服務，可以隱藏真實的IP地址，繞過國家限制。

如果應用禁用了127.0.0.1地址，我們可以嘗試以下方法：

1、使用IP地址對應的域名：例如使用localhost代替127.0.0.1

2、使用其他可用的IP地址：可以使用0.0.0.0或其他可用的地址來繞過127.0.0.1的限制。

3、使用其他協議：使用一些其他的協議，例如ftp://等。

以上是一些常見的SSRF繞過方法，當然，這僅僅只是冰山一角，同時也需要開發人員對於應用的漏洞具有充足的認識，才能夠更好的發現和繞過這些漏洞。

原創文章，作者：小藍，如若轉載，請註明出處：https://www.506064.com/zh-hant/n/155230.html