----已搬运------浅入深出 Fastcgi 协议分析与 PHP-FPM 攻击方法--------学习子自大佬的教程 ftp那里没做完

最新推荐文章于 2024-07-24 19:53:07 发布
最新推荐文章于 2024-07-24 19:53:07 发布
阅读量6.8k 收藏 2
点赞数
分类专栏: ssrf 总章程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zero_Adam/article/details/116901559
版权
本文深入探讨了FastCGI协议及其与PHP-FPM的关系,介绍了CGI的背景、FastCGI的高效特性以及Web服务器处理静态/动态网页的过程。文章详细阐述了FastCGI协议的Record结构、Type类型,同时讲解了PHP-FPM的工作原理和配置,特别是未授权访问漏洞的形成和利用方法。此外,还讨论了如何利用SSRF攻击PHP-FPM/FastCGI以及FTP-SSRF场景下的攻击策略。
摘要由CSDN通过智能技术生成

目录:

学习自:WHOAMI大佬的。
过程中有报错,也能够解决了。很棒很棒的教程。!!!

1. 前言

2. CGI

早期的Web服务器,只能响应浏览器发来的HTTP静态资源的请求,并将存储在服务器中的静态资源返回给浏览器。随着Web技术的发展,逐渐出现了动态技术,但是Web服务器并不能够直接运行动态脚本。了解决Web服务器外部应用程序(CGI程序)a之间数据互通,于是出现了 CGI (Common Gateway Interface) 通用网关接口。简理理解,可以认为 CGI 是 Web 服务器和运行在其上的应用程序进行 “交流”的一种约定,

当遇到动态脚本请求时,Web服务器主进程就会Fork创建出一个新的进程启动CGI程序,运行外部C程序或Perl、PHP脚本等,也就是将动态脚本交给CGI程序来处理。启动CGI程序需要一个过程,如读取配置文件、加载扩展等。当CGI程序启动后会去解析动态脚本,然后将结果返回给Web服务器,最后由Web服务器将结果返回给客户端,之前Fork出来的进程也随之关闭。这样,每次用户请求动态脚本,Web服务器都要重新Fork创建一个新进程去启动CGI程序,由CGI程序来处理动态脚本,处理完成后进程随之关闭,其效率是非常低下的。

而对于Mod CGI,Web服务器可以内置Perl解释器或PHP解释器。也就是说将这些解释器做成模块的方式,Web服务器会在启动的时候就启动这些解释器。 当有新的动态请求进来时,Web服务器就是自己解析这些动态脚本,省得重新Fork一个进程,效率提高了。

3. FastCGI

有了CGI,自然就解决了Web服务器与PHP解释器的通信问题,但是Web服务器有一个问题,就是它每收到一个请求,都会去Fork一个CGI进程,请求结束再kill掉这个进程,这样会很浪费资源。于是,便出现了CGI的改良版本——Fast-CGI。

维基百科对 FastCGI 的解释是:快速通用网关接口(Fast Common Gateway Interface/FastCGI)是一种让交互程序与Web服务器通信的协议。FastCGI是早期通用网关接口(CGI)的增强版本。FastCGI致力于减少网页服务器与CGI程序之间交互的开销,Fast-CGI每次处理完请求后,不会kill掉这个进程,而是保留这个进程,从而使服务器可以同时处理更多的网页请求。这样就会大大的提高效率。

4. 浏览器处理静态/动态网页过程

众所周知,在网站分类中存在一种分类就是静态网站和动态网站,两者的区别就是静态网站只需要通过浏览器进行解析,其中的页面是一对一的(一个内容对应一个页面),
而动态网站需要一个额外的编译解析的过程,网页上的数据是从数据库中或者其他地方调用,页面会随着数据的变化而改变,就产生了一定的交互性。

4.1 浏览器访问静态网页过程

在整个网页的访问过程中,Web容器(例如Apache、Nginx)只担任着内容分发者的身份,当访问静态网站的主页时,Web容器会到网站的相应目录中查找主页文件,然后发送给用户的浏览器。
在这里插入图片描述

4.2浏览器访问动态网页过程

当访问动态网站的主页时,根据容器的配置文件,它知道这个页面不是静态页面,Web容器就会去找PHP解析器来进行处理(这里以Apache为例),它会把这个请求进行简单的处理,然后交给PHP解释器。

在这里插入图片描述当Apache收到用户对 index.php 的请求后,如果使用的是CGI,会启动对应的 CGI 程序,对应在这里就是PHP的解析器。接下来PHP解析器会解析php.ini文件,初始化执行环境。然后处理请求,再以CGI规定的格式返回处理后的结果,退出进程。Web Server 再把结果返回给浏览器。这就是一个完整的动态PHP Web访问流程。(这里的web server就是 apache )

这里说的是使用CGI,而FastCGI就相当于高性能的CGI,与CGI不同的是它像一个常驻的CGI,在启动后会一直运行着,不需要每次处理数据时都启动一次,所以这里引出下面这句概念,FastCGI是语言无关的、可伸缩架构的CGI开放扩展 , 其主要行为是将CGI解释器进程保持在内存中,并因此获得较高的性能

5. Fastcgi 协议分析

5.1 Fastcgi Record

Fastcgi 其实是一个通信协议,和HTTP协议一样,都是进行数据交换的一个通道。

HTTP 是 浏览器服务器中间件,是一个进行数据交换的协议,浏览器
将 HTTP头 和 HTTP体 用某个规则组装成数据包, 以 TCP 的方式发送到服务器中间件,服务器中间件按照规则将数据包解码,并按要求拿到用户需要的数据,再以 HTTP 协议的规则打包返回给服务器。

服务器,中间件的一些讲解

类比 HTTP 协议来说, Fastcgi协议则是 服务器中间件某个语言后端进行数据交换的协议. 。 Fastcgi 协议由多个 Record 组成,Record 也有 Header 和 Body 一说,服务器中间件将这二者按照 Fastcgi的规则封装好发送给语言后端
语言后端解码以后拿到具体数据,进行指定操作,并将结果再按照Fastcgi 协议封装好后返回给服务器中间件

和 HTTP 头不同,Fastcgi Record 的头固定8个字节,Body 是由头中的 contentLength 指定,其结构如下:

typedef struct {
   
  /* Header 消息头信息 */
  unsigned char version; // 用于表示 FastCGI 协议版本号
  unsigned char type; // 用于标识 FastCGI 消息的类型, 即用于指定处理这个消息的方法
  unsigned char requestIdB1; // 用ID值标识出当前所属的 FastCGI 请求
  unsigned char requestIdB0;
  unsigned char contentLengthB1; // 数据包包体Body所占字节数
  unsigned char contentLengthB0;
  unsigned char paddingLength; // 额外块大小
  unsigned char reserved; 

  /* Body 消息主体 */
  unsigned char contentData[contentLength];
  unsigned char paddingData[paddingLength];
} FCGI_Record;

头由8个 uchar 类型的变量组成,每个变量一个字节。其中,requestId 占两个字节,一个唯一的标志id,以避免多个请求之间的影响;contentLength 占两个字节,表示 Body 的大小。可见,一个 Fastcgi Record 结构最大支持的 Body 大小是2^16,也就是 65536 字节。

后端语言解析了 Fastcgi 头以后,拿到 contentLength,然后再在请求的 TCP 流里读取大小等于 contentLength 的数据,这就是 Body 体。

Body 后面还有一段额外的数据(Padding),其长度由头中的 paddingLength 指定,起保留作用。不需要该Padding的时候,将其长度设置为0即可。

5.2 Fastcgi Type

刚才我们介绍了 Fastcgi 协议中Record部分中各个结构的含义,其中第二个字节为 type,我们将对其进行详细讲解。

type 就是指定该 Record 的作用。因为 Fastcgi 中一个 Record 的大小是有限的,作用也是单一的,所以我们需要在一个TCP流里传输多个 Record,通过 type 来标志每个 Record 的作用,并用 requestId 来标识同一次请求的id。也就是说,每次请求,会有多个 Record,他们的 requestId 是相同的。

下面给出一个表格,列出最主要的几种 type:

在这里插入图片描述看了这个表格就很清楚了,服务器中间件和后端语言通信,第一个数据包就是 type 为1的 Record,后续互相交流,发送 type 为4、5、6、7的 Record,结束时发送 type 为2、3的 Record。

当后端语言接收到一个 type 为4的 Record 后,就会把这个 Record 的 Body 按照对应的结构解析成 key-value 对,这就是环境变量。环境变量的结构如下:

typedef struct {
   
  unsigned char nameLengthB0;  /* nameLengthB0  >> 7 == 0 */
  unsigned char valueLengthB0; /* valueLengthB0 >> 7 == 0 */
  unsigned char nameData[nameLength];
  unsigned char valueData[valueLength];
} FCGI_NameValuePair11;

typedef struct {
   
  unsigned char nameLengthB0;  /* nameLengthB0  >> 7 == 0 */
  unsigned char valueLengthB3; /* valueLengthB3 >> 7 == 1 */
  unsigned char valueLengthB2;
  unsigned char valueLengthB1;
  unsigned char valueLengthB0;
  unsigned char nameData[nameLength];
  unsigned char valueData[valueLength
          ((B3 & 0x7f) << 24) + (B2 << 16) + (B1 << 8) + B0];
} FCGI_NameValuePair14;

typedef struct {
   
  unsigned char nameLengthB3;  /* nameLengthB3  >> 7 == 1 */
  unsigned char nameLengthB2;
  unsigned char nameLengthB1;
  unsigned char nameLengthB0;
  unsigned char valueLengthB0; /* valueLengthB0 >> 7 == 0 */
  unsigned char nameData[nameLength
          ((B3 & 0x7f) << 24) + (B2 << 16) + (B1 << 8) + B0];
  unsigned char valueData[valueLength];
} FCGI_NameValuePair41;

typedef struct {
   
  unsigned char nameLengthB3;  /* nameLengthB3  >> 7 == 1 */
  unsigned char nameLengthB2;
  unsigned char nameLengthB1;
  unsigned char nameLengthB0;
  unsigned char valueLengthB3; /* valueLengthB3 >> 7 == 1 */
  unsigned char valueLengthB2;
  unsigned
最低0.47元/天 解锁文章
Zero_Adam
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
----搬运----[蓝帽杯 2021]One Pointer PHP --- PHP数组溢出,Fastcgi FTP - SSRF 攻击 php-fpm - SUID提权 proc
Zero_Adam的博客
06-11 735
二、学到的&&不足: 三、学习WP: 给了源码,两个PHP文件: user.php: <?php class User{ public $count; } ?> add_api.php <?php include "user.php"; if($user=unserialize($_COOKIE["data"])){ $count[++$user->count]=1; // 数组$count的第几个属性赋值为1 if($count[]=1){ $us
php-fpm:用WebShell攻击PHP-FPM用WebShell攻击PHP-FPM
03-11
用WebShell攻击PHP-FPM 来自大佬的文末一个想法 快速实现了一个poc,可以实现任意代码执行 后续用单文件PHP实现一个FastCgi Client,然后已知PHP文件就用WebShell本身,有什么骚操作的话WebShell应该就是免杀的 使用 测试php7.3-fpm,在TCP模式和本地socket都可以运行 echo "<?php echo 1; ?>" > /tmp/poc.php nc -lvp 6666 > payload.txt python fpm.py -c '<?php echo `id`; exit;?>' -p 6666 127.0.0.1 /tmp/poc.php 运行poc.php php poc.php 参考 fpm.py来自
FastCGI
lqxandroid2012的专栏
03-29 601
FastCGI 在讨论 FastCGI 之前,不得不说传统的 CGI 的工作原理,同时应该大概了解 CGI 1.1 协议 CGI 简介 CGI全称是“通用网关接口”(Common Gateway Interface),它可以让一个客户端,从网页浏览器向执行在Web服务器上的程序请求数据。 CGI描述了客户端和这个程序之间传输数据的一种标准。 CGI的一个目的是要独立于任何语言的,所以CG
【CTFHub】FastCGI协议
最新发布
weixin_57240513的博客
07-24 437
第三步:Gopherus-master工具文件中打开终端,输入以下代码。第六步:打开中国菜刀工具访问/shell.php。第一步:开启环境后,打开kali虚拟机,第七步:在查到的文件里面找到flag提交。第四步将kali里面生成的代码复制进。第二步:生成一句话木马。第五步:复制到地址栏中。第八步: 找到flag。
SSRF 攻击PHP-FPMFastCGI 攻击):学习总结仅供参考
L2329794714的博客
03-05 1813
一、FastCGI 快速通用网关协议fastcgi 和cgi 解决的问题一样,都是在解决http服务器(Apache、Nginx、IIS等)和其他应用程序(为客户端处理数据的程序 比如:学校官网程序)之间通信问题,区别在与处理方式的不同而有。 CGI 方式在每次http服务器收到一个http数据之后就行创建一个CGI进程,当数据处理后立即销毁 ...
Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp编写
devil8123665的博客
01-12 203
https://blog.csdn.net/mysteryflower/article/details/94386461 https://www.leavesongs.com/PENETRATION/fastcgi-and-php-fpm.html#fastcgi-record
php-fpm rce攻击
蚁景网安学院
09-27 1978
0x00 somethingPHP-FPM(FastCGI Process Manager):FastCGI进程管理器FastCGIFastCGI 本身是一个协议,是服务器中间件和某个语...
docker-proxy:代理报价
03-29
例如,开发者可以创建一个包含PHP-FPMFastCGI Process Manager)和Nginx的Docker容器,Nginx作为反向代理,接收HTTP请求,然后转发给PHP-FPM处理。在这个过程中,docker-proxy将确保外部请求能够正确到达Nginx,再...
------------搬运----2021.6.1萌新赛-impossible ip FastCGI 攻击 php-fpm简单的绑定 公网 127.0.0.1的 9000 地址 -- 注意 waf
Zero_Adam的博客
06-12 892
学习WP 考点: php socket 伪造http请求ssrf 攻击php-fpm实现伪造ip <?php highlight_file(__FILE__); error_reporting(0); $data=base64_decode($_GET['data']); $host=$_GET['host']; $port=$_GET['port']; if(preg_match('/usr|auto|log/i' ,$data)) { die("error"); } $fp=fsoc
---------已搬运---------ubuntu16.04搭载nginx。然后更换nginx适配的PHP的版本的操作 || Ubuntu PHP版本切换
Zero_Adam的博客
05-30 543
目录:一、Ubuntu16.04安装php5.6以及php5.6与php7.0 的切换(apache下)二、ubuntu16.04搭载nginx。然后更换nginx适配的PHP的版本的操作2. 配置php: 一、Ubuntu16.04安装php5.6以及php5.6与php7.0 的切换(apache下) 转载自:https://www.sunxiaoning.com/linux/109.html 安装php5.6 添加源: sudo add-apt-repository ppa:ondrej/php
linux nginx php-fpm攻击
weixin_30871293的博客
05-31 344
1.nginx错误日志:报错 2018/05/30 16:30:55 [error] 8765#0: *1485 connect() to unix:/tmp/php-70-cgi.sock failed (11: Resource temporarily unavailable) while connecting to upstream, client: 176.31.106.27, serv...
CGI=>FAST-CGI
脚步6978
08-07 230
CGI(公共网关接口:Common Gateway Interface),外部应用程序与WEB服务器之间的接口标准,用来解释处理来自表单的输入信息; CGI 是Web 服务器运行时外部程序的规范,按CGI 编写的程序可以扩展服务器功能。CGI 应用程序能与浏览器进行交互,还可通过数据库API 与数据库服务器等外部数据源进行通信,从数据库服务器中获取数据。格式化为HTML文档后,发送给浏览器,...
CGI,FastCGI,PHP-CGI,PHP-FPM之间的关系
welcome to daijiguo's blog
02-27 352
1、CGi:是一个协议,规定以什么格式传入参数,以什么格式返回数据。 2、FastCGI: 基于CGI的改进协议,为了避免重复解析配置文件和初始执行环境,首先,Fastcgi会先启一个master,解析配置文件,初始化执行环境,然后再启动多个worker。当请求过来时,master会传递给一个worker,然后立即可以接受下一个请求。这样就避免了重复的劳动,效率自然是高。而且当worker不够...
fastCGI快速上手
https://blog.csdn.net/m0_74834215
04-14 1885
fastCGI是什么?:运行在服务器端的代码, 帮助服务器处理客户端提交的动态请求fastCGI作用:帮助服务器处理客户端提交的动态请求,fastCGI如何使用?fastCGI如何获取数据?nginx解析客户端发送的http请求然后转发# 分析出客户端请求对应的指令 -- /test# nginx转发出去给fastcgi程序fastcgi_pass 地址:端口;//nginx对http请求解析得到的环境变量fastcgi如何接收数据?spawn-fcgi与fastcgi是父子进程关系,
fastcgi未授权访问漏洞(php-fpm fast-cgi未授权访问漏洞)
好好睡觉
02-10 3734
fastcgi未授权访问漏洞
cgi、fast-cgi和php-fpm介绍
鹤啸九天
09-04 1882
早期的web服务器只能处理html等静态文件,但是随着技术的发展,出现了像java、php等动态语言。web服务器处理不了,只能交给对应语言的解释器来处理,比如java或php的解释器。但是解释器如何与web服务器进行通信呢?为了解决不同的语言解释器(如java、php解释器)与web服务器通信,于是出现了cgi协议。只要按照cgi协议去编写程序,就能实现各语言解释器与web服务器的通信,比如php-cgi。
cgi与fast-cgi理解
qq_25705173的博客
03-30 938
1.关于cgi 1.1.什么是cgi 1)CGI(Common Gateway Interface)全称是“通用网关接口”,是一种让客户端(web浏览器)与Web服务器(nginx等)程序进行通信(数据传输)的协议。 用来规范web服务器传输到php解释器中的数据类型以及数据格式,包括URL、查询字符串、POST数据、HTTP header等,也就是为了保证web server传递过来的数据是标准...
CGI PHP-CGI FAST-CGI PHP-FPM 的理解
hjh15827475896的博客
03-28 287
这也是一个协议,它是因为 php-cgi 的运行过程中浪费资源而了一些优化的接口,比如 php-cgi在请求过来的时候会开启一个进程, 处理成后会关闭这个进程, 非常浪费资源, fast-cgi 就属于一个常驻内存的, 开启这个进程之后, 不会关闭, 在下一个请求过来的时候,就不用去再生成一个新的进程来处理请求了, 节省资源。nginx 的办法,就是把 php 的请求, 转发给可以处理php 的进程来处理, 然后把处理的请求返回给nginx, 再由nginx 返回给客户端。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值