SSRF

一、概述
SSRF(Server-Side Request Forgery:服务器端请求伪造)

其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制
导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据

数据流:攻击者----->服务器---->目标地址

根据后台使用的函数的不同,对应的影响和利用方法又有不一样

PHP中下面函数的使用不当会导致SSRF:
file_get_contents()
fsockopen()
curl_exec()
如果一定要通过后台服务器远程去对用户指定("或者预埋在前端的请求")的地址进行资源请求,则请做好目标地址的过滤。
二、操作
SSRF（curl）
1.打开pikacu，找到 SSRF（curl）,点击蓝色a标签，可以看到浏览器URL中它传了一个url参数。

2.打开后端源代码，可以看到它是从前端获取了url请求，curl_init函数会对它进行初始化，然后curl_exec函数会去执行请求，最终又将请求结果返回到前端。

可以尝试传入一个其他的地址比如百度，可以看到页面显示出了百度的数据库 (它的流程和分析的源代码流程是一样的，前端传入参数，后端通过curl_exec去请求百度，最后把请求返回的百度数据返回到前端)
http://127.0.0.1/pikachu/vul/ssrf/ssrf_curl.php?url=http://www.baidu.com

这样的话我们可以把 url 中的内容改成内网的其他服务器上地址和端口，探测内网的其他信息

也可以通过SSRF漏洞读取服务器的文件，在pikachu的test文件夹中新建了一个txt文件，内容如图片所示

提交这个url后，pikachu页面显示出了1.txt文件中保存的内容

SSRF(file_get_content）
打开pikachu靶场，点击标签，可以看到和SSRF（curl）一样的，都是通过URL上传参数到后台获取信息的

查看后端代码，它和前面的逻辑是一样的，不同的是它这里使用file_get_contents函数进行文件的读取执行，而file_get_contents函数可以对本地文件进行读取，也可以对远程文件进行读取。
我们可以像前面测试的一样，在URL中去输入百度的地址。它一样也会通过http协议去获取百度的资源

同样去访问我们之前在pikachu保存的txt文件

如果我们想知道它后台的PHP是怎么写的，可以通过构造一个payload去获取后台的PHP源码
php://filter/read=convert.base64-encode/resource=ssrf.php
提交payload后，可以看到页面显示出了转换后的php的base64编码

提交payload后，可以看到页面显示出了转换后的php的base64编码
这样我们就可以通过解码从而得到PHP的源码