URLConnection

    Java中URLConnection支持的协议可以在sun.net.www.protocol看到。

    由上图可以看到,支持的协议有以下几个(当前jdk版本:1.7.0_80):

    虽然看到有gopher,但是gopher实际在jdk8版本以后被阉割了,jdk7高版本虽然存在,但是需要设置具体可以看 https://bugzilla.redhat.com/show_bug.cgi?id=865541以及http://hg.openjdk.java.net/jdk7u/jdk7u/jdk/rev/8067bdeb4e31 其中每个协议都有一个Handle,Handle定义了这个协议如何去打开一个连接。

    我们来使用URL发起一个简单的请求

    1. public class URLConnectionDemo {
    3.     public static void main(String[] args) throws IOException {
    4.         URL url = new URL("https://www.baidu.com");
    6.         // 打开和url之间的连接
    7.         URLConnection connection = url.openConnection();
    9.         // 设置请求参数
    10.         connection.setRequestProperty("user-agent", "javasec");
    11.         connection.setConnectTimeout(1000);
    12.         connection.setReadTimeout(1000);
    13.         ...
    15.         // 建立实际连接
    17.         // 获取响应头字段信息列表
    18.         connection.getHeaderFields();
    20.         // 获取URL响应
    21.         connection.getInputStream();
    23.         StringBuilder response = new StringBuilder();
    24.         BufferedReader in = new BufferedReader(
    25.                 new InputStreamReader(connection.getInputStream()));
    26.         String line;
    28.         while ((line = in.readLine()) != null) {
    29.             response.append("/n").append(line);
    30.         }
    32.         System.out.print(response.toString());
    33.     }

    大概描述一下这个过程,首先使用URL建立一个对象,调用url对象中的openConnection来获取一个URLConnection的实例,然后通过在URLConnection设置各种请求参数以及一些配置,在使用其中的connect方法来发起请求,然后在调用getInputStream来获请求的响应流。 这是一个基本的请求到响应的过程。

    通常ssrf容易出现的功能点如下面几种场景

    • 抓取用户输入图片的地址并且本地化存储
    • 从远程服务器请求资源
    • 对外发起网络请求
    • ……

    黑客在使用ssrf漏洞的时候,大部分是用来读取文件内容或者对内网服务端口探测,或者在域环境情况下且是win主机下进行ntlmrelay攻击。

    比如上面代码中的可控,那么将url参数传入为file:///etc/passwd

    1. URL url = new URL("file:///etc/passwd");
    2. URLConnection connection = url.openConnection();
    3. connection.connect();
    4. ...

    以上代码运行以后则会读取本地/etc/passwd文件的内容。

    file_read_passwd.jpg

    但是如果上述代码中将url.openConnection()返回的对象强转为HttpURLConnection,则会抛出如下异常

    由此看来,ssrf漏洞也对使用不同类发起的url请求也是有所区别的,如果是URLConnection|URL发起的请求,那么对于上文中所提到的所有protocol都支持,但是如果经过二次包装或者其他的一些类发出的请求,比如

    1. HttpURLConnection
    2. HttpClient
    3. Request
    4. okhttp
    5. ……

    如果传入的是http://192.168.xx.xx:80,且192.168.xx.xx80端口存在的,则会将其网页源码输出出来

    但如果是非web端口的服务,则会爆出Invalid Http responseConnection reset异常。如果能将此异常抛出来,那么就可以对内网所有服务端口进行探测。

    java中默认对(http|https)做了一些事情,比如:

    • 默认启用了透明NTLM认证
    • 默认跟随跳转

    关于NTLM认证的过程这边不在复述,大家可以看该文章《Ghidra 从 XXE 到 RCE》 默认跟随跳转这其中有一个坑点,就是

    follow_redirect.jpg

    它会对跟随跳转的url进行协议判断,所以Java的SSRF漏洞利用方式整体比较有限。

    • 利用file协议读取文件内容(仅限使用URLConnection|URL发起的请求)
    • 利用http 进行内网web服务端口探测
    • 利用http进行ntlmrelay攻击(仅限HttpURLConnection或者二次包装HttpURLConnection并未复写AuthenticationInfo方法的对象)