9th Geek SSRF

最新推荐文章于 2023-02-27 11:17:38 发布
最新推荐文章于 2023-02-27 11:17:38 发布
阅读量2.5k 收藏 13
点赞数 1
分类专栏: Web CTF php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39293438/article/details/84899550
版权
Web 同时被 3 个专栏收录
30 篇文章 1 订阅
订阅专栏
CTF
9 篇文章 0 订阅
订阅专栏
php
8 篇文章 0 订阅
订阅专栏

前言

学校举办的第九届极客大挑战,其中一道根据 Blackhat 议题出的 ssrf 题目,也是第一次尝试阅读 php 源码,望大牛们勿喷

代码分析

 <?php

function check_inner_ip($url)
{
    $match_result=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url);
    if (!$match_result)
    {
        die('url fomat error1');
    }
    try
    {
        $url_parse=parse_url($url);
    }
    catch(Exception $e)
    {
        die('url fomat error2');
    }
    $hostname=$url_parse['host'];
    echo $url_parse['host'];
    $ip=gethostbyname($hostname);
    $int_ip=ip2long($ip);
    return ip2long('127.0.0.0')>>24 == $int_ip>>24 || ip2long('10.0.0.0')>>24 == $int_ip>>24 || ip2long('172.16.0.0')>>20 == $int_ip>>20 || ip2long('192.168.0.0')>>16 == $int_ip>>16 || ip2long('0.0.0.0')>>24 == $int_ip>>24;
}

function safe_request_url($url)
{
    
    if (check_inner_ip($url))
    {
        echo $url.' is inner ip';
    }
    else
    {
        $ch = curl_init();
        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        curl_setopt($ch, CURLOPT_HEADER, 0);
        $output = curl_exec($ch);
        $result_info = curl_getinfo($ch);
        if ($result_info['redirect_url'])
        {
            safe_request_url($result_info['redirect_url']);
        }
        curl_close($ch);
        var_dump($output);
    }
    
}

$url = $_POST['url'];
if(!empty($url)){
    safe_request_url($url);
}
else{
    highlight_file(__file__);
}

//hint23333:
//flag in flag.php
//phpinfo in phpinfo.php

?>

check_inner_ip 通过 url_parse 检测是否为内网 ip 。

如果满足不是内网 ip ,通过 curl 请求 url 返回结果。

这是 github 上开源,根据 p师傅文章写的防御 ssrf 攻击代码,详情可以查看:安全编码系列–ssrf漏洞防御脚本

漏洞利用

乍一看好像并没有利用点,跳转也做了处理,最终都要经过 check_inner_ip 函数检测。但是忽略了 php_url_parsecurl 同时处理 url 不同。

【Blackhat】SSRF的新纪元:在编程语言中利用URL解析器

这里面关于 curl 的利用提到了,当处理这个地址时

在这里插入图片描述

curl 和 php_url_parse 处理后最终的目标不一样

在这里插入图片描述

php_url_parse 认为 google.com 为目标的同时,curl 认为 evil.com:80 是目标。

文章作者向 curl 团队报告了这个问题,得到了一个补丁,但是补丁又可以通过空格的方式绕过。

在这里插入图片描述

有趣的是当作者再次向官方团队报告漏洞时,被告知它本来就是要让你来传给他正确的URL参数的,并且他们表示,这个漏洞不会修复。?

我们再来分析一下代码逻辑,检测是否内网 ip 通过 parse_url,而最后请求是用 curl 完成的。当遇到上面的 url 格式时,parse_url 判断的是第二个 @ 后接的地址,curl 请求的是第一个。

于是利用思路就有了,让 parse_url 处理外部网站,最后 curl 请求内网网址。

构造 payload:http://Str3am@127.0.0.1:80 @www.baidu.com/flag.php

漏洞分析

题目环境是 php 7.0.32,本地使用 phpstudy 搭建,使用 php 7.0.12,这里也就此版本分析。

这里也推荐一篇翻译的关于 php 源码阅读的基础指南:phps-source-code-for-php-developers

parse_url

函数申明位于 /ext/standard/url.h,具体可以访问 https://github.com/php/php-src/blob/PHP-7.0.12/ext/standard/url.h

在这里插入图片描述

具体定义位于 /ext/standard/url.c

在这里插入图片描述

主要函数 php_url_parse_ex() 从 97 行开始

在这里插入图片描述

这里迫于篇幅,不再对具体过程详解,这篇文章关于源码的详解很精彩 PHP源码分析之parse_url()的2个小trick

str 为处理的 urlsepppue 字符指针,用于标记 url 中字符位置,也是这个函数处理的大致方式。先提取协议(scheme)如 http,https 并存储,接着获取请求参数(query)和锚点(fragment),获取端口(port)最后检测主机(host)并存储。

243 行检测 userpass,对于 http://Str3am@127.0.0.1:80 @www.baidu.com/flag.php,此时变量 e 指向末尾的 p,变量 s 指向 http:// 之后的 S(e-s) 代表所指字符之间的内容(包含),所以函数 zend_memrchr 处理的内容即 Str3am@127.0.0.1:80 @www.baidu.com/flag.php

在这里插入图片描述

问题就出在这个 zend_memrchr 函数,定义位于 /Zend/zend_operators.h,193 行,是从字符串最末尾开始检测,那么对于两个 @ ,就会解析到最后一个

在这里插入图片描述

跟着下来,最后获取主机(host)的时候,(p-s) 的内容即 www.baidu.com

在这里插入图片描述

最后的解析结果如下

在这里插入图片描述

curl

定义位于 /ext/curl/php_curl.h,实现位于 /ext/curl/interface.c,这里是对 libcurl 经行调用,由于能力原因就不继续往下分析了。

在这里插入图片描述

另一道非预期解

比赛时因为非预期被下了,这里也来分析一波

 <?php
//error_reporting(E_ALL);
function check_inner_ip($url)
{
    $match_result=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url);
    if (!$match_result)
    {
        die('url fomat error');
    }
    try
    {
        $url_parse=parse_url($url);
    }
    catch(Exception $e)
    {
        dir('url fomat error');
        return false;
    }
    $hostname=$url_parse['host'];

    //var_dump($hostname);

    $ip=gethostbyname($hostname);
    $int_ip=ip2long($ip);
    return ip2long('127.0.0.0')>>24 == $int_ip>>24 || ip2long('10.0.0.0')>>24 == $int_ip>>24 || ip2long('172.16.0.0')>>20 == $int_ip>>20 || ip2long('192.168.0.0')>>16 == $int_ip>>16;
}

function safe_request_url($url)
{
    
    if (check_inner_ip($url))
    {
        echo $url.' is inner ip';
    }
    else
    {
        //var_dump($url);
        $ch = curl_init();
        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        curl_setopt($ch, CURLOPT_HEADER, 0);
        $output = curl_exec($ch);
        $result_info = curl_getinfo($ch);
        if ($result_info['redirect_url'])
        {
            safe_request_url($result_info['redirect_url']);
        }
        curl_close($ch);
        var_dump($output);
    }
    
}

$url = $_POST['url'];
if(!empty($url)){
    safe_request_url($url);
}
else{
    highlight_file(__file__);
}

//hint23333:
//flag in flag.php
//phpinfo in phpinfo.php

?>

一开始对比代码,以为是 try..catch 块里的 return false 造成非预期。在师傅的指点下发现函数 check_inner_ip() 中少了对 0.0.0.0 过滤,于是试了一下 url=http://0.0.0.0/flag.php,发现竟然可以,但是在本机 windows 环境下复现时却不行。

查阅了相关资料,0.0.0.0 代表本机 ipv4 的所有地址,猜测可能发布的时候绑定用的 0.0.0.0,这样做包括本地ip和外网ip都能访问到服务,导致问题。

后记

这道题也可以使用 DNS 重绑定(DNS rebinding)解决,有兴趣的师傅们可以去了解下,个人感觉可能是 ssrf 的通解了

参考链接

[De1CTF 2019]SSRF Me(Flask框架的代码审计)
qq_44111753的博客
02-04 780
参考文章:Flask框架快速入门学习 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(__name__) sec
[De1CTF 2019]SSRF Me(flask框架)
qq_44657899的博客
04-20 2685
题目首先提示了flag的位置,结合题目名字ssrf,可以得到一个大概的思路。 然后打开题目,直接给了源码: #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys im...
SSRF-CTFhub
unexpectedthing的博客
10-21 744
文章目录内网访问:伪协议读取文件端口扫描POST请求URLbybasss数字IP地址绕过302跳转DNS重绑定参考文章: 内网访问: payload 直接内网访问127.0.0.1/flag.php 伪协议读取文件 可以去读读我的文章 直接file://协议读取本地文章 payload: file:///var/www/html/flag.php 注意:有些时候flag.php不在该路径 端口扫描 题目提示端口在8000-9000,因此直接扫就可以了。这里我们需要使用dict伪协议来扫描,因为dict协
[极客大挑战 2019]RCE ME
qq_43801002的博客
08-03 1921
题目 <?php error_reporting(0); if(isset($_GET['code'])){ $code=$_GET['code']; if(strlen($code)>40){ die("This is too Long."); }
2021-07-19 [De1CTF 2019]SSRF Me 知识点:SSRF Flask MD5 local_file
m0_51326092的博客
07-19 695
111
Geek Geek Geek
最新发布
04-30
9. 移动开发:随着智能手机的普及,移动应用开发也成为Geek们的重点关注领域。他们设计和构建跨平台的应用程序,改善用户在移动设备上的体验。 10. 硬件极客:除了软件,一些Geek还对硬件有浓厚的兴趣,他们可能...
卸载软件Geek安装包,卸载软件Geek安装包
11-01
卸载软件Geek安装包卸载软件Geek安装包卸载软件Geek安装包卸载软件Geek安装包卸载软件Geek安装包卸载软件Geek安装包卸载软件Geek安装包卸载软件Geek安装包卸载软件Geek安装包卸载软件Geek安装包卸载软件Geek安装包...
geek.zip帮助删除软件及清理多余注册表
04-16
  Geek是一款有着快速扫描方式的卸载工具,能够对电脑软件进行反安装、修改、强制移除、移除项目、清理注册表等实用操作,可以保证卸载无残留,系统运行速度也不会有丝毫影响。   电脑自带的卸载功能,卸载软件...
geek uninstaller
08-19
"Geek Uninstaller"是一款专为解决传统卸载方法无法彻底清除软件残留问题而设计的高效卸载工具。在日常的计算机使用过程中,有时我们可能会遇到一些软件在卸载后仍留下痕迹,如注册表项、文件夹或系统设置,这可能...
GEEK卸载工具绿色免安装版本
10-31
**GEEK卸载工具详解** GEEK卸载工具是一款高效且实用的软件管理程序,尤其在处理绿色免安装版本的应用程序时表现出色。它专为那些希望轻松、彻底卸载计算机上不再需要的软件的用户设计。这款工具以其强大的扫描功能...
buuctf13(perl脚本GET open命令漏洞&redis主从复制&xss&ssti关键字过滤绕过&csrf)
weixin_63231007的博客
02-27 1336
[HITCON 2017]SSRFme & [网鼎杯 2020 玄武组]SSRFMe & [GWCTF 2019]mypassword & [GWCTF 2019]你的名字& [GKCTF 2021]CheckBot
[网鼎杯 2020 玄武组]SSRFMe
cjdgg的博客
08-29 3338
[网鼎杯 2020 玄武组]SSRFMe 最近想学习下ssrf,就找了些文章看看找些题做做,学习的话推荐WHOAMI大佬的ssrf文章,内容全面且详细 话不多说进入这次的题目,进入网址直接给出源代码 <?php function check_inner_ip($url) { $match_result=preg_match('/^(http|https|gopher|dict)?:\/\/.*(\/)?.*$/',$url); if (!$match_result) {
SSRF题目复现
qq_40909772的博客
11-19 2760
1. [HITCON 2017] SSRFme。 题目平台地址:https://buuoj.cn/challenges 进入题目环境之后是代码审计,代码如下: 59.49.169.109 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_AD
buuctf [第二章 web进阶]SSRF Training
qq_52671379的博客
04-20 2143
buuctf [第二章 web进阶]SSRF Training
网鼎杯网络安全大赛玄武组-SSRFME
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 1720
网鼎杯网络安全大赛玄武组-SSRFME题 index.php可绕过本地条件判断,以下是源码:
详解ip2long和long2ip回答为什么PHP中的ip2long转化为负数
夏乐宾的博客
07-25 1564
 原文地址: http://3shanmen.com/index.php/index/article/articledetail/article_id/3   在PHP中,我们会经常遇到使用客户端的IP地址的操作,而如果需要大量的存取IP地址的时候,直接将IP地址以字符串存储到数据库中将占用不小的存储空间,而将IP地址以long整型进行存储将节约不少空间。         如何将IP地址转换...
2021-08-06网鼎杯ssrfme的绕过地址waf运用ssrf-redis-主从复制写shell题解
qq_45290991的博客
08-06 572
平台:buuoj.cn 直接给出源码 <?php function check_inner_ip($url) { $match_result=preg_match('/^(http|https|gopher|dict)?:\/\/.*(\/)?.*$/',$url)...
一周刷题记录 | Web&Misc
Lemon's blog
12-03 1182
文章目录前言 前言 前端时间太忙了,现在终于有空可以安心做做题,减小与大师傅们的差距,冲冲冲!
1.5 BUUCTF 练习题
crispr的博客
01-05 644
1.5 BUUCTF 练习题 [PwnThyBytes 2019]Baby_SQL 发现是一个登录页面,并且题目是SQL注入,因此想到肯定是利用登录页面进行SQL注入,尝试无果,由于点击create没有变化,抓包发现注释/source.zip下载得到源码 源码分析 只贴出部分关键源码 //index.php <?php session_start(); foreach ($_SESSION as $key => $value): $_SESSION[$key] = filter($value
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值