CTFHub-FastCGI协议及其ssrf漏洞

已于 2023-02-10 21:11:14 修改
阅读量650 收藏 2
点赞数 2
分类专栏: CTF 文章标签: web安全
于 2023-02-04 16:51:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XYH_233/article/details/128883309
版权

FastCGI协议

详见 大师傅详解

简介

FastCGI协议和HTTP协议一样是通信协议,不过,http是浏览器(也就是客户端)和服务器中间件之间通信的协议,而FastCGI协议是服务器中间件和某种语言编写的正在运行的后端程序间的通信协议

在这里插入图片描述

在网站架构中,Web Server(如Nginx)只是内容的分发者。当客户端请求的是index.php,根据配置文件Web Server辨别不是静态文件,此时就需要去找 PHP解析器来处理。

FPM其实是一个fastcgi协议解析器,Nginx等服务器中间件将用户请求按照fastcgi的规则打包好通过TCP传给谁?其实就是传给FPM。FPM按照fastcgi的协议将TCP流解析成真正的数据。

在这里插入图片描述

FastCGI协议漏洞详解

​ Fastcgi协议由多个record组成record也有header和body一说,服务器中间件将这二者按照fastcgi的规则封装好发送给语言后端,语言后端解码以后拿到具体数据,进行指定操作,并将结果再按照该协议封装好后返回给服务器中间件。

协议框架简介
typedef struct {
  /* Header */
  unsigned char version; // 版本
  unsigned char type; // 本次record的类型
  unsigned char requestIdB1; // 本次record对应的请求id
  unsigned char requestIdB0;
  unsigned char contentLengthB1; // body体的大小
  unsigned char contentLengthB0;
  unsigned char paddingLength; // 额外块大小
  unsigned char reserved; 
 
  /* Body */
  unsigned char contentData[contentLength];
  unsigned char paddingData[paddingLength];
} FCGI_Record;

1. 和HTTP头不同,record的头固定8个字节,body是由头中的contentLength指定

2. 因为fastcgi一个record的大小是有限的,作用也是单一的,所以我们需要在一个TCP流里传输多个record。通过type来标志每个record的作用,用requestId作为同一次请求的id。也就是说,每次请求,会有多个record,他们的requestId是相同的当type为4的时候,解析为键值对,就是在传递环境变量

在这里插入图片描述

FPM

FPM是一个fastcgi协议解析器,按照fastcgi的协议将TCP流解析成真正的数据。

一部分经过中间件解析后的键值对示例:

{
    'GATEWAY_INTERFACE': 'FastCGI/1.0',
    'REQUEST_METHOD': 'GET',
    'SCRIPT_FILENAME': '/var/www/html/index.php',
    'SCRIPT_NAME': '/index.php',
    'QUERY_STRING': '?a=1&b=2',
    'REQUEST_URI': '/index.php?a=1&b=2',
    'DOCUMENT_ROOT': '/var/www/html',
    'SERVER_SOFTWARE': 'php/fcgiclient',
    'REMOTE_ADDR': '127.0.0.1',
    'REMOTE_PORT': '12345',
    'SERVER_ADDR': '127.0.0.1',
    'SERVER_PORT': '80',
    'SERVER_NAME': "localhost",
    'SERVER_PROTOCOL': 'HTTP/1.1'
}

PHP-FPM拿到fastcgi的数据包后,进行解析,得到上述这些环境变量。然后,执行SCRIPT_FILENAME的值指向的PHP文件,也就是/var/www/html/index.php

漏洞的形成

​ PHP-FPM默认监听9000端口,如果这个端口暴露在公网,则我们可以自己构造fastcgi协议,和fpm进行通信。本来我们可以执行任意文件,但是在FPM某个版本之后,增加了security.limit_extensions选项,限定了只有某些后缀的文件允许被fpm执行,默认是.php,所以现在要使用这个漏洞,我们得先知道服务器上的一个php文件,假设我们爆破不出来目标环境的web目录,我们可以找找默认源安装后可能存在的php文件,比如/usr/local/lib/php/PEAR.php

​ 现在我们已经有可以执行代码的思路了,但是仅仅这样我们只能执行服务器上已有的代码,不能任意执行,所以我们还得想办法上传自己的代码,PHP.INI中有两个有趣的配置项,auto_prepend_fileauto_append_file

auto_prepend_file是告诉PHP,在执行目标文件之前,先包含auto_prepend_file中指定的文件;auto_append_file是告诉PHP,在执行完成目标文件后,包含auto_append_file指向的文件。

假设我们设置auto_prepend_filephp://input,那么就等于在执行任何php文件前都要包含一遍POST的内容。所以,我们只需要把待执行的代码放在Body中,他们就能被执行了。(当然,还需要开启远程文件包含选项allow_url_include。设置auto_prepend_file的值又涉及到PHP-FPM的两个环境变量,PHP_VALUEPHP_ADMIN_VALUE。这两个环境变量就是用来设置PHP配置项的,PHP_VALUE可以设置模式为PHP_INI_USERPHP_INI_ALL的选项,PHP_ADMIN_VALUE可以设置所有选项。(disable_functions除外,这个选项是PHP加载的时候就确定了,在范围内的函数直接不会被加载到PHP上下文中),所以我们在传入环境变量是加入

'PHP_VALUE': 'auto_prepend_file = php://input',
'PHP_ADMIN_VALUE': 'allow_url_include = On'

即可。

以上就是漏洞原理,以此大师傅写下fpm.py脚本

Gopherus工具ssrf攻击FastCGI

Kali环境中,使用shell,python2 gopherus.py --expolit fastcgi

第一行键入已知目标服务器上的.php文件,第二行键入shell语句,直接生成Gopher语句,在进行二次url编码,找到攻击窗口攻击。

pherus.py --expolit fastcgi`

第一行键入已知目标服务器上的.php文件,第二行键入shell语句,直接生成Gopher语句,在进行二次url编码,找到攻击窗口攻击。

在这里插入图片描述

fgdskfjadsklfjl
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctfhub利用SSRF攻击内网FastCGI协议
qq_64201116的博客
06-23 2308
SSRF初步理解与探究
Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp编写
qq_64395221的博客
06-24 843
Fastcgi协议由多个record组成,record也有header和body一说,服务器中间件将这二者按照fastcgi的规则封装好发送给语言后端,语言后端解码以后拿到具体数据,进行指定操作,并将结果再按照该协议封装好后返回给服务器中间件。HTTP协议是浏览器和服务器中间件进行数据交换的协议,浏览器将HTTP头和HTTP体用某个规则组装成数据包,以TCP的方式发送到服务器中间件,服务器中间件按照规则将数据包解码,并按要求拿到用户需要的数据,再以HTTP协议的规则打包返回给服务器。为4的record?
CTFHUB-SSRF-FastCGI协议
qq_62078839的博客
04-23 1868
Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp编写 第一种方式 exp import socket import random import argparse import sys from io import BytesIO # Referrer: https://github.com/wuyunfeng/Python-FastCGI-Client PY2 = True if sys.version_info.major == 2 el
CTFHUB--SSRF(中)--FastCGI协议\Redis协议 以及gopherus工具攻击
qq_75120258的博客
03-29 2270
本来我们可以执行任意文件,但是在FPM某个版本之后,增加了security.limit_extensions选项,限定了只有某些后缀的文件允许被fpm执行,默认是.php,所以现在要使用这个漏洞,我们得先知道服务器上的一个php文件,假设我们爆破不出来目标环境的web目录,我们可以找找默认源安装后可能存在的php文件,比如/usr/local/lib/php/PEAR.php。FastCGI是一个常驻型的CGI,它在服务器启动的时候先启动一个应用程序池,然后由这个应用程序池来管理和调度应用程序的执行。
CTFHUB--SSRF详解
qq_49422880的博客
05-23 6324
SSRF详解SSRF漏洞介绍一、(内网访问、伪协议利用)1.1内网访问1.2伪协议读取文件1.3端口扫描二、(POST 上传文件 FastCGI协议 Redis协议)2.1 POST请求2.2 上传文件2.3 FastCGI协议2.4 Redis协议三、(Bypass系列)3.1 URL Bypass3.2 数字IP Bypass3.3 302跳转 Bypass3.4 DNS重绑定 Bypass SSRF漏洞介绍    SSRT(Server-Side Request Forgery,服务器端请求伪造),就
CTFHub-技能树-Web-SSRF
MCTSOG的博客
04-18 1029
CTFHub技能树-web-ssrf
ctfhub -SSRF
weixin_55702959的博客
02-09 425
内网访问 SSRF(Server-Side Request Forgery:服务请求伪造)是一种由攻击者构造,从而让服务端发起请求的一种安全漏洞,它将一个可以发起网络请求的服务当作跳板来攻击其他服务,SSRF的攻击目标一般是内网。 ?url=127.0.0.1/flag.php 抓包 伪协议读取文件 https://blog.csdn.net/qq_39431542/article/details/89483887 php伪协议: File:// 访问本地文件系统 http:// 访问 H
SSRF - ctfhub -2【FastCGI协议、Redis协议、URL Bypass、数字IP Bypass、302跳转 Bypass、DNS重绑定Bypass】
bin789456的博客
11-18 2269
FastCGI协议 知识参考:CTFhub官方链接 首先介绍一下原理(这里简单介绍,详情请看官方附件) 如果说HTTP来完成浏览器到中间件的请求,那么FastCGI就是从中间件到某语言后端进行交换的协议。 和浏览器请求包一样,也是由header、body组成。 还需要提到一个PHP-FPM,FastCGI进程管理器,即在php中(nginx等服务器中间件)FastCGI规则打包好后传递的终点,最后由FPM按照fastcgi协议将TCP流解析成真正的数据。 比如打包好的数据长这样 { 'GATEWA
CTFHub-SSRF---(Post请求/上传文件/FastCGI/Redis/URL/数字IP/302跳转/DNS重绑定 Bypass)
Wking
08-17 2815
SSRF相关题目实战
CTFHub-SSRF-Writeup
liuhanzhe的专栏
12-15 2810
SSRF SSRF常见利用方式总结 内网访问 直接构造访问请求,获取flag /?url=127.0.0.1/flag.php 伪协议读取文件 根据题目提示使用file://协议,尝试一般web目录/var/www/html/ 端口扫描 提示端口范围8000到9000 /?url=127.0.0.1:8000 使用burpsuite对端口进行爆破,即可得到端口,访问获取flag POST请求 访问/?url=127.0.0.1/flag.ph,返回页面 包含一个form和隐藏的key,推测需要在fo
处理(php-cgi.exe - FastCGI 进程超过了配置的请求超时时限)的问题
10-27
本篇文章是对解决(php-cgi.exe - FastCGI 进程超过了配置的请求超时时限)的问题进行了详细的分析介绍,需要的朋友参考下
node-fastcgi:使用node.js创建FastCGI应用程序
02-05
节点fastcgi 该模块是节点标准HTTP模块(仅服务器)的直接替代。 使用FastCGI无需更改为http服务器编写的代码即可正常工作。 它可用于构建FastCGI应用程序或将现有的节点应用程序转换为FastCGI。 该实现完全符合。...
cl-fastcgi:SB-FastCGI 的通用版本,主要在 Common Lisp 实现上运行
05-31
FastCGI(Fast Common Gateway Interface)是一种用于连接Web服务器和应用程序的协议,以提高网站性能和响应速度。与传统的 CGI(Common Gateway Interface)相比,FastCGI在处理多个请求时保持进程常驻,避免了频繁...
mod-fastcgi-2.4.6 for apache2.40
02-18
描述"mod-fastcgi-2.4.6 支持apache2.40 以上版本"进一步确认了该模块的兼容性,不仅适用于Apache 2.40,还适用于所有2.40版本之后的Apache服务器。这意味着如果你的Apache服务器是2.40或更新的版本,这个模块可以被...
java多线程tcpsocketserver源码-fastcgi:fastcgi
06-05
Java多线程TCP Socket服务器源码与FastCGIFastCGI详解 在Java编程领域,构建一个高效的...对于`fastcgi-master`这个项目,它可能包含了FastCGI服务器的Java实现及其相关示例,你可以通过研究源码进一步学习和实践。
“微软蓝屏”事件暴露了网络安全哪些问题?
csdn_aspnet的专栏
07-23 1451
这次由微软系统软件更新引发的“微软蓝屏”事件,无疑是对全球IT基础设施韧性与安全性的重大考验。850万台设备的故障,以及对航空、医疗和传媒等关键行业的广泛影响,再次突显出我们在网络安全和系统稳定性方面的脆弱性。一、问题解析1、更新管理的复杂性:随着技术的不断进步,软件更新的复杂性也在增加。大型系统中,需要兼顾各种硬件、软件和环境,确保更新不会引发兼容性问题,而这往往十分困难。2、供应链风险:如这次事件所示,一个小小的缺陷就可能通过供应链扩散,造成全球性影响。
网络安全相关竞赛比赛
黑战士的博客
07-18 1037
湖南省委网信办联合省教育厅、省广播电视局、省政务管理服务局、省通信管理局、长沙市人民政府等6家单位共同主办。教育部认可的大学生学科竞赛网站链接(2023版)关键字:比赛、CTF、赛事、技能挑战。浙江省大学生网络与信息安全竞赛。全国网络安全行业职业技能大赛。湖南省“网安湘军杯”
WAF+API安全代表厂商|瑞数信息入选IDC报告《生成式AI推动下的中国网络安全硬件市场现状及技术发展趋势》
最新发布
科技云报道
07-25 709
目前,传统在Web应用安全网关等产品中的API防护功能已经不足以防护日益复杂的API攻击,API安全应站在全生命周期管理的角度,从API安全开发和部署(API测试等)开始,配合加密、身份认证、权限管控、API安全测试、检测、监测、威胁防护、威胁处理等能力来进行管理和控制。WAF可以作为硬件设备、企业软件、虚拟设备或公有云服务部署。从API的开发部署开始,融合静态应用安全测试、动态应用安全测试、API资产梳理、API鉴权认证、API检测监测、威胁管理的全生命周期防护解决方案,帮助用户一键解决API安全问题。
CTFHub ssrf
07-29
CTFHub是一个CTF(Capture The Flag)比赛平台,提供了各种安全挑战和漏洞利用的题目。在引用\[1\]中提到了一些与SSRF(Server-Side Request Forgery)相关的内容,包括伪协议读取文件、端口扫描、POST请求上传文件、FastCGI、Redis协议、URL Bypass、数字IP Bypass、302跳转Bypass和DNS重绑定 Bypass。引用\[2\]中提到了CGI和FastCGI协议的运行原理,并介绍了使用Gopherus工具生成攻击FastCGI的payload。引用\[3\]中提到了一个使用Python脚本进行端口扫描的例子。 所以,CTFHub ssrf是指在CTFHub平台上与SSRF相关的内容和挑战。 #### 引用[.reference_title] - *1* [CTFHubSSRF](https://blog.csdn.net/qq_45927819/article/details/123400074)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [CTFHUB--SSRF详解](https://blog.csdn.net/qq_49422880/article/details/117166929)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [CTFHub技能树笔记之SSRF:内网访问、伪协议读取文件、端口扫描](https://blog.csdn.net/weixin_48799157/article/details/123886077)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值