本帖最后由 zhaorong 于 2021-1-12 10:47 编辑

SSRF简介
SSRF(server-side request forgery ):服务器端请求伪造。是一种由攻击者构造形成而由服务器端发起请求的一个
安全漏洞因为他是由服务器端发起的，所以他能够请求到与他相连而与外网隔离的内部系统，在一般情况下ssrf攻
击的目标是从外网无法访问的内部系统。

环境搭建
本次使用的靶机是Vulhub中的一个环境，搭建方法：将vulhub项目git到本地切换到vulhub/weblogic/ssrf
目录下使用下面的命令进行搭建。

搭建成功后使用docker ps命令可以看到正在运行的容器，其中Weblogic监听在7001端口访问
http://192.168.233.150:7001/console/地址会跳转到登录页面。


攻击思路
通过公网Weblgic 存在SSRF漏洞(CVE-2014-4210)探测到内网某IP开放6379端口并运行着Redis服务
利用HTTP注入和Redis未授权访问漏洞进行反弹shell。

攻击演示
发现SSRF
通过了解CVE-2014-4210可以知道， 漏洞位置在uddiexplorer下的SearchPublicRegistries.jsp处 因此我们可以直
接访问 http://ip:7001/uddiexplorer/SearchPublicRegistries.jsp进入到存在漏洞的页面，在`Search by business
name`处输入test 点击Search进行测试。


这时我们查看刚才整个过程的请求和相应包


在operator参数中发现了url地址，这时我们对请求的内容进行修改，进行内网探测

在返回的数据包中出现了如现错误


当访问其他未开放的端口时，会出现以下错误


发现Redis服务器
这时就可以使用Burp的intruder模块对内网ip和端口进行探测，或者是使用脚本进行探测通过探测可以
发现172.18.0.2:6378端口可以连通。


Redis反弹shell(header CRLF 注入)
Weblogic的SSRF有一个比较大的特点，其虽然是一个GET请求 但是我们可以通过传入%0a%0d来注入换行符
而某些服务（如redis）是通过换行符来分隔每条命令，也就说我们可以通过该SSRF攻击内网中的redis服务器。  
发送三条redis命令，将反弹shell的语句写入到/etc/corntab中

首先在攻击机上设置端口监听，在windows下的监听命令为

这里写入的命令如下，其中的ip地址和端口为设置nc监听的机器ip和监听端口

因为服务器接收到数据会对数据进行url解码 所以这里先对写入的命令进行url编码 其中换行符\r\n对应编码后的内容为%0D%0A
注意这里使用一些软件进行URL编码时并不会将换行符编码为%0D%0A而是%0A 所以需要注意以下
并进行手动替换 替换后的payload为。

最终post的数据为


提交后就可以在监听的终端中拿到 shell了


Redis反弹shell(gophar协议)
gopher协议是比http协议更早出现的协议，现在已经不常用了，但是在SSRF漏洞利用中gopher可以说是万金油因为
可以使用gopher发送各种格式的请求包，利用此协议可以攻击内网的 FTP、Telnet、Redis、Memcache，也可以进
行 GET、POST 请求。这无疑极大拓宽了 SSRF 的攻击面。

这里介绍一个Gophar协议利用工具Gopharus

使用方法非常简单，按照提示就可以生成payload了


首先根据提示进行监听，然后将生成的payload放入burp相应的位置修改ip后进行提交，但在这里会提示如下错误

An error has occurred
weblogic.uddi.client.structures.exception.XML_SoapException: unknown protocol: gopher

也就是说这里不能使用gophar协议，如果是在其他环境下支持gophar协议的话就可以这样进行攻击了
但是这里可以将生成payload中的gophar改为http，然后Go一下，同样能得到shell。


总结
SSRF漏洞本身危害不大，好多SRC上都将它评为低危但由于它可以访问一些无法访问的内部系统
因此一旦它和其他漏洞进行结合利用，其危害不容小觑。