利用恶意页面攻击本地 Xdebug

最新推荐文章于 2024-06-12 11:20:23 发布
最新推荐文章于 2024-06-12 11:20:23 发布
阅读量885 收藏 12
点赞数 19
文章标签: firefox css
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A_991128a/article/details/138718235
版权

TL;DR

PHP开发者以及一些安全研究人员经常会在本地搭建一个基于Xdebug的PHP的调试服务,在大部分配置情况下,Xdebug采用HTTP请求头中的X-Forwarded-For字段作为DBGp协议的回连地址。受害者浏览攻击页面一段时间,攻击者可利用DNS Rebind技术向本地服务器发送带有恶意X-Forwarded-For的请求,即有可能在受害者电脑上执行任意代码。

Xdebug是用于调试PHP的扩展,可以根据本地源码远程调试服务器上的PHP代码。很多开发者和安全研究人员通常会在本地搭建一套PHP的调试环境,用于日常的开发和调试。如果服务器开启了Xdebug的回连,并且攻击者能直接访问到服务器的话,可以直接造成RCE。

但是大部分情况下,这些服务器处于内网环境中,有些甚至监听在127.0.0.1上,攻击者很难直接访问到,导致无法利用。如果把开发人员当做代理,利用CSRF来攻击位于内网的Xdebug呢?

我们首先看一下Xdebug有关远程调试的文档。 如果xdebug.remote_connect_back启用,xdebug.remote_host没有设置,Xdebug会主动连接发起HTTP请求的客户端。Xdebug会依次检测$_SERVER['HTTP_X_FORWARDED_FOR']$_SERVER['REMOTE_ADDR']来决定回连的IP地址。

即当Xdebug有类似如下的配置的时候,即有机会让Xdebug回连到请求头中X-Forwarded-For指向的ip地址。

xdebug.remote_connect_back = 1
xdebug.remote_enable = 1
xdebug.remote_log =/tmp/test.log

一般来讲,在PHP开发人员的本地环境中会有index.phpconfig.php等文件。在受害者访问攻击者的恶意页面时,攻击者可以让受害者在浏览器里尝试向本地url如http://127.0.0.1/index.php?XDEBUG_SESSION_START或者http://127.0.0.1/config.php?XDEBUG_SESSION_START发起HTTP请求,并带有指向攻击者服务器的X-Forwarded-For请求头。这样攻击者就能在自己的服务器上收到来自受害者的DBGp协议的连接,在受害者的电脑上执行任意PHP代码。

我们都知道,在浏览器里发送带有非simple header的CORS请求的时候,需要先发送一个preflight request探测服务器是否允许发送这种请求头。此检测过程是由一个OPTIONS请求完成的。如果OPTIONS请求的响应头里有Access-Control-Allow-Headers: X-Forwarded-For这一项的话,才能发送带有X-Forwarded-For的GET或者POST请求。在受害者的本地环境中,几乎不会有这种响应头的。

不过,攻击者可以采用DNS Rebind的方式来绕过这个限制。攻击者首先自己搭建一个DNS解析服务器,让自己控制的域名在发生第一次DNS解析的时候指向攻击者的服务器,以后都解析到127.0.0.1。这样当受害者访问攻击者的页面(http://attacker-domain-with-dns-rebind/exp.html)的时候,会从攻击者的服务器上拉取攻击代码,使浏览器循环向http://attacker-domain-with-dns-rebind/index.php?XDEBUG_SESSION_START发送带有恶意X-Forwarded-For头的请求。因为攻击者存放攻击代码的页面和触发Xdebug回连请求的url在同一个域内,即可不用发送前面所说的preflight request。

由于DNS的解析结果也存在一定的缓存时间,在浏览器里大概需要1分钟的时间才会失效进行第二次解析。在发生第二次解析的时候,其指向的IP地址会变为127.0.0.1,即向受害者本地的服务器发送能触发Xdebug反弹的请求,这时候攻击者的服务器就能收到来自受害者Xdebug的连接了。攻击者可以通过DBGp协议中的eval命令在客户端执行任意php代码。

我们认为漏洞的成因是Xdebug从X-Forwarded-For头中取IP作为回连地址,而X-Forwarded-For头是不可信的。

玄武实验室于2018年3月26日将此问题报告给PHP官方,PHP官方人员于2018年3月30日作出回应,不认为这是一个安全问题,并将报告转为bug使之处于公开状态。玄武实验室建议PHP开发人员和安全研究人员在Xdebug的配置文件中根据当前情况增加xdebug.remote_host配置项,来防止自己遭受此攻击。

Author:salt@xuanwulab

参考文献

thor:salt@xuanwulab

参考文献

第一阶段:安全基础(入门)

img

第二阶段:Web渗透(初级网安工程师)

img

第三阶段:进阶部分(中级网络安全工程师)

img

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

学习资源分享

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

教IT的小王A
关注
  • 19
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一文掌握PHP Xdebug 本地与远程调试(小结)
10-17
主要介绍了一文掌握PHP Xdebug 本地与远程调试(小结),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
xdebug:用于Devilbox的Xdebug工具
05-02
Xdebug的 苹果系统 为了使Xdebug在Mac OS的Docker上运行,容器需要为其Xdebug远程主机使用一个众所周知的IP地址。 为了绕过MacOS上的Docker安装,还需要一个别名来拥有固定的IP地址。 可以手动完成此操作,仅持续到...
xdebug's attack analyze
Sp4rkW的博客
03-18 4076
N1CTF esay_php的官方writeup中提到三种非预期解法中有一个就是Xdebug attack,在@wupco师傅的指导下,成功的学习并本地测试了一波xdebug attack。 参考链接: https://ricterz.me/posts/Xdebug%3A%20A%20Tiny%20Attack%20Surface http://www.wupco.cn/?p=...
你知道你用的xdebug也能够被黑客攻击吗?
一个安全研究员
10-10 525
废话,我当然知道!
不可忽视的前端安全问题——XSS攻击
weixin_33924220的博客
10-21 487
XSS是什么XSS是跨站脚本攻击(Cross-Site Scripting)的简称。XSS是一种注入脚本式攻击攻击利用如提交表单、发布评论等方式将事先准备好的恶意脚本注入到那些良性可信的网站中,当其他用户进入该网站后,脚本就在用户不知情的情况下偷偷地执行了,这样的脚本可能会窃取用户的信息、修改页面内容、或者伪造用户执行其他操作等等,后果不可估量。XSS攻击通常会发生在以下情况下:向一个web ...
如何防止模拟的http的恶意请求?
mituan1234567的专栏
04-02 1万+
http://www.dewen.io/q/5511 我有一串URL www.abc.com?para=xxx  在页面中点击按钮后用ajax执行此URL后,后台会执行一些操作,页面通过ajax的响应结果继续完成接下来的操作。这里是没登录的情况下,没有用户标志这种session的。  但是如果遇到懂程序的人,如果发现了这个接口的调用方法,就可以使用一些Http模拟提交的工具来请求这个
phpstorm xdebug
04-07
phpstorm 安装xdebug教程,让你轻松搭建好调试环境
phpStorm+Xdebug+Chrome本地调试
12-31
PhpStorm+Xdebug+Chrome本地调试 PhpStorm 是一款功能强大且流行的集成开发环境(IDE),它提供了许多实用的功能来帮助开发者高效地编写、调试和优化代码。Xdebug 是一种流行的 PHP 调试扩展,它可以与 PhpStorm ...
xdebug工具
09-28
作为php的调试工具,可以使用
Web安全-HTTP Host头攻击
道阻且长,行则将至。
12-18 6069
漏洞背景 Host首部字段是HTTP/1.1新增的,旨在告诉服务器,客户端请求的主机名和端口号,主要用来实现虚拟主机技术。 运用虚拟主机技术,单个主机可以运行多个站点。以下图为例,hacker和usagidesign两个站点都运行在同一服务器A上,不管我们请求哪个域名,最终都会被解析成服务器A的IP地址,这个时候服务器就不知道该将请求交给哪个站点处理,因此需要Host字段指定请求的主机名。 我们访...
利用HTTP Host header头攻击技术详解
weixin_50464560的博客
07-23 3034
利用HTTP Host header头攻击技术详解 一般通用web程序是如果想知道网站域名不是一件简单的事情,如果用一个固定的URI来作为域名会有各种麻烦。开发人员一般是依赖HTTP Host header(比如在php里是_SERVER[“HTTP_HOST”] ),而这个header很多情况下是靠不住的。而很多应用是直接把这个值不做html编码便输出到了页面中,比如: <link href="http://_SERVER['HOST']" (Joomla) 还有的地方还包含有secret key和
网站篇笔记之22对恶意链接的处理
千寻的博客
08-11 868
文章目录介绍如何处理如何预防页面利用方式隐藏的链接如何查找链接链接如何处置免责声明 介绍 所谓的挂马,就是黑客通过包括:SQL注入,XSS跨站、恶意扫描、0day, 等各种方法获得网站管理员账号。 然后登陆网站后台,通过数据库“备份/恢复”,或者上传漏洞获得一个webshell。 利用获得的webshell修改网站页面的内容,向页面中加入恶意转向代码。 当你访问被加入恶意代码的页面时,你就会自动的访问被转向的地址或者下载木马病毒。 如何处理 停止服务 找到漏洞 修复漏洞 查找木马,并清
来一起学怎么攻击服务器吧!!!
热门推荐
实验楼
08-22 4万+
我们上线了两门新课。一门教你漏洞的原理和攻击代码怎么写。一门会教你木马的制作。一如既往地,新课刚上线都是限时优惠状态,感兴趣的同学用力点击下面这两个妹子吧:Kali 渗透...
web安全测试理论知识
hualf的博客
02-02 2936
互联网上的攻击大都将web站点作为目标。本文讲解具体有哪些攻击web站点的手段,以及攻击会造成怎样的影响~~
Nginx+Tomcat负载均衡、动静分离原理
F12138X的博客
06-11 870
十年磨一剑,霜刃未曾试
css设置滚动条样式;滚动条设置透明
i_am_a_div的博客
06-12 262
css设置滚动条样式;滚动条设置透明
css实现多行文本的展开收起
最新发布
我码玄黄的博客
06-12 1048
本文通过纯CSS实现多行文本展开收起效果,包括右下角环绕按钮、状态切换及文本行数判断。利用flex布局、input与label关联、伪元素生成等技术,解决展开收起按钮的显示与隐藏问题,实现动态高度和状态切换。
本地环境xampp+phpstorm+xdebug+chrome配置和断点调试
07-29
本地环境的搭建和配置是进行开发工作的基础,以下是xampp、phpstorm、xdebug和chrome的配置和断点调试的步骤: 1. 安装和配置XAMPP: - 下载并安装XAMPP,它是一个集成了Apache、MySQL和PHP的开发环境。 - 打开...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值