Се­год­ня раз­берем важ­ную веб‑уяз­вимость — server-side request forgery (SSRF). Она поз­воля­ет зло­умыш­ленни­ку зас­тавить сер­вер жер­твы обра­тить­ся к внут­ренне­му ресур­су, который недос­тупен сна­ружи. В резуль­тате хакер может получить кон­фиден­циаль­ные дан­ные или вов­се зах­ватить всю кор­поратив­ную сеть.

Я пос­тара­юсь объ­яснить все аспекты, которые обыч­но меша­ют успешно экс­плу­ати­ровать SSRF. Прой­дем от самых азов до прод­винутых тех­ник.

warning Статья име­ет озна­коми­тель­ный харак­тер и пред­назна­чена для спе­циалис­тов по безопас­ности, про­водя­щих тес­тирова­ние в рам­ках кон­трак­та. Автор и редак­ция не несут ответс­твен­ности за любой вред, при­чинен­ный с при­мене­нием изло­жен­ной информа­ции. Рас­простра­нение вре­донос­ных прог­рамм, наруше­ние работы сис­тем и наруше­ние тай­ны перепис­ки прес­леду­ются по закону.

Азы SSRF

Для прак­тики соберем прос­тое веб‑при­ложе­ние со скры­той админкой. Соз­дай тек­сто­вый файл docker-composer. yml с таким содер­жимым:

version : " 3. 9" services : public-web : build : ./ public-web ports : - " 8090: 80" networks : - ssrfnet internal-admin : build : ./ internal-admin networks : - ssrfnet expose : - " 80" networks : ssrfnet : driver : bridge

Ма­шина public-web будет играть роль уяз­вимого веб‑при­ложе­ния. Машина internal-admin дос­тупна исклю­читель­но внут­ри сети Docker, то есть с хост‑машины или отку­да‑то еще невоз­можно до нее дос­тучать­ся.

Ря­дом с docker-composer. yml соз­дай пап­ки public-web и internal-admin . В internal-admin положи admin. html . Это скры­тая стра­ница, ими­тиру­ющая админку:

< !DOCTYPE html> < html> < head> < meta charset= "UTF-8" > < meta name= "viewport" content= "width=device-width, initial-scale=1. 0" > < title> Document </ title> </ head> < body> < h1> Ты нашел админку </ h1> < p> Это скрытый внутренний ресурс </ p> </ body> </ html>

До­бавь Dockerfile :

FROM nginx: 1. 25-alpine COPY admin. html / usr/ share/ nginx/ html/ admin. html

В пап­ке public-web добавь еще один Dockerfile , который под­нимет сер­вис на базе PHP:

FROM php: 8. 2-apache COPY index. php / var/ www/ html/

Код уяз­вимого веб‑при­ложе­ния:

< ?php if ( isset ( $_GET [ 'download' ] ) & & isset ( $_GET [ 'api_url' ]) ) { $url = $_GET [ 'api_url' ] ; $data = @ file_get_contents ( $url ) ; if ( $data === false ) { http_response_code ( 500 ) ; echo "Не удалось скачать данные: " . htmlspecialchars ( $url ) ; exit ; } $filename = basename ( parse_url ( $url , PHP_URL_PATH )) ; if ( ! $filename ) { $filename = "currencies. zml" ; } $tmpDir = sys_get_temp_dir () ; $filePath = $tmpDir . "/ " . $filename ; $zipPath = $tmpDir . "/ export. zip" ; file_put_contents ( $filePath , $data ) ; $zip = new ZipArchive () ; $zip -> open ( $zipPath , ZipArchive : : CREATE | ZipArchive : : OVERWRITE ) ; $zip -> addFile ( $filePath , $filename ) ; $zip -> close () ; header ( "Content-Type: application/ zip" ) ; header ( "Content-Disposition: attachment; filename=" export . zip "" ) ; header ( "Content-Length: " . filesize ( $zipPath )) ; readfile ( $zipPath ) ; exit ; } if ( isset ( $_GET [ 'api_url' ] ) & & ! isset ( $_GET [ 'download' ]) ) { $url = $_GET [ 'api_url' ] ; $resp = @ file_get_contents ( $url ) ; echo "< h3> Результат запроса: </ h3> < pre> " . htmlspecialchars ( $resp ) . "</ pre> " ; echo "< hr> < a href='/ '> Назад</ a> " ; exit ; } $ru = "https:// www. cbr. ru/ scripts/ XML_daily. asp" ; $en = "https:// www. cbr-xml-daily. ru/ daily_eng. xml" ; ?> < !DOCTYPE html> < html lang= "ru" > < head> < meta charset= "UTF-8" > < title> Демо SSRF </ title> </ head> < body> < h2> Проверка курсов валют </ h2> < form method= "GET" > < select name= "api_url" > < option value= " < ?= $ru ?> " > Русский ( ЦБ РФ) </ option> < option value= " < ?= $en ?> " > English API </ option> </ select> < button type= "submit" > Узнать курсы валют </ button> < button type= "submit" name= "download" value= "1" > Скачать курсы ( ZIP) </ button> </ form> </ body> </ html>

При­ложе­ние получа­ет кур­сы валют с сай­та ЦБ. Оно уяз­вимо не толь­ко к SSRF, но и к LFI и RFI. Но мы скон­цен­три­руем­ся на SSRF. Ког­да поль­зователь выберет язык и наж­мет «Узнать кур­сы валют», выпол­нится GET-зап­рос. В парамет­рах api_url , который сооб­щает при­ложе­нию адрес, по которо­му мож­но получить дан­ные. Выпол­ни тес­товый зап­рос, что­бы убе­дить­ся, что дан­ные при­ходят.

info О том, как работа­ет тех­ника LFI, читай в статье «File Inclusion и Path Traversal. Раз­бира­ем две базовые веб‑уяз­вимос­ти».

Ты видишь исходни­ки все­го про­екта. Но пред­ставь, что прос­то прос­матри­ваешь зап­росы к веб‑при­ложе­нию. На что ты обра­тишь вни­мание? Думаю, что на ука­зание URL в одной из перемен­ных. Это и есть прос­той спо­соб пред­положить, что сер­вер уяз­вим к SSRF.