ctfhub利用SSRF攻击内网FastCGI协议

已于 2022-06-23 14:22:43 修改
阅读量2.2k 收藏 4
点赞数 4
文章标签: php 安全 web安全
于 2022-06-23 14:15:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_64201116/article/details/125426151
版权

原理初步了解:

FastCGI 是一个类似HTTP的通信协议,是数据交换的通道

而FPM就是FastCGI的解析器,服务器中间件将用户的请求按照FastCGI的规则格式化后给FPM,之后呢FPM再对用户的请求解析对应文件

PS:这里是通过TCP协议传输的

那么格式化的规则是什么样的呢?借用文章的一个例子:

用户请求http://127.0.0.1/index.php?a=1&b=2,如果web目录是/var/www/html,那么Nginx会将这个请求变成如下key-value对:

{
    'GATEWAY_INTERFACE': 'FastCGI/1.0',
    'REQUEST_METHOD': 'GET',
    'SCRIPT_FILENAME': '/var/www/html/index.php',
    'SCRIPT_NAME': '/index.php',
    'QUERY_STRING': '?a=1&b=2',
    'REQUEST_URI': '/index.php?a=1&b=2',
    'DOCUMENT_ROOT': '/var/www/html',
    'SERVER_SOFTWARE': 'php/fcgiclient',
    'REMOTE_ADDR': '127.0.0.1',
    'REMOTE_PORT': '12345',
    'SERVER_ADDR': '127.0.0.1',
    'SERVER_PORT': '80',
    'SERVER_NAME': "localhost",
    'SERVER_PROTOCOL': 'HTTP/1.1'
}

是不是第一眼就感觉很像php的环境变量。这个数组其实就是PHP中$_SERVER数组的一部分。其实环境变量还有一个功能:告诉FPM我要执行什么php文件。在这里就是执行/var/www/html/index.php

攻击原理:

PHP-FPM默认监听9000端口,正常情况只接受127.0.0.1的请求,配置不当也会暴露在公网中,如果没有暴露在公网,只能采取用SSRF去和PHP-FPM通信了。比较新版的FPM设置了默认的一个配置选项security.limit_extensions,只允许后缀为.php的文件,因此要执行服务器上现有的php文件

实现任意代码执行:

先了解一下php的配置项,auto_prepend_file和auto_append_file,这两配置在文件上传中也有,而且是关于.user.ini的配置文件 当然了相对的就是.htaccess文件

要知道nginx的配置文件是.user.ini

apache的配置文件是.htaccess

做文件上传的时候可以通过报错来知道服务器是哪个server

auto_append_file #在执行php文件后自动包含一个指定文件

auto_prepend_file #在执行php文件前自动包含一个指定文件

假如设置了auto_prepend_file 为php://input,(注意要配置远程文件包含选项 allow_url_include ),那么就可以实现文件包含前POST的数据任意执行了。所以要把要执行的代码放在body中。

想要详细了解协议的body以及头部信息,标志什么的可以参考这篇文章 FsatCGI协议分析

将PHP_FPM中的两个环境变量来设置php的配置。配置 PHP_VALUE 为 auto_prepend_file = php://input , PHP_ADMIN_VALUE 为 allow_url_include = On就可以实现任意代码执行了

这边采用gopherus这个工具来实现这一题

解题:

1.下载gohperus

2.最好在Linux的环境下执行这个脚本

3.输入命令 python gopherus.py --exploit fastcgi

4.之后输入第一行要求输入路径:/var/www/html/index.php

第二行输入要执行的命令:ls

5.抓一个url包含的包,把_后面的内容全部再url编码一遍再进行传输

6.没有我们要的数据,可以看看根目录 "ls /",也可以使用这条命令 "find / -name flag*"

可以看到flag的名字

7.接下来就是cat flag了

这里有一个注意点就是 cat /flag_73e........... 这个 / 千万不要漏掉

清风--
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
第三节 SSRF利用 - 内网资源访问-01
09-15
"第三节 SSRF利用 - 内网资源访问-01" 本节课程主要讲解了SSRF漏洞的_php_函数,包括file_get_contents、fsockopen()和curl_exec()三个函数的使用和可能存在的漏洞。 SSRF漏洞的定义 SSRF漏洞全称为Server-side ...
SSRF_ex:SSRF漏洞测试、利用 SSRF vulnerability testing and utilization
05-08
SSRF_exSSRF漏洞测试、利用 SSRF vulnerability testing and utilizationSSRF[+] 服务端请求伪造,当作跳板攻击内网服务[+] 扫描内部网络、服务[+] 访问本机敏感文件[+] 向特定端口发送数据包、payload.├── ...
ctfhub中的SSRF相关例题(中)
最新发布
2401_82388450的博客
05-23 933
用户在应用程序中输入一个 URL,应用程序解析该 URL,发现它使用的是 "gopher" 协议,应用程序将该请求转发到目标服务器,并将请求数据以 Gopher 格式发送,目标服务器接收到请求后,根据 Gopher 格式的指令执行相应的操作。HTTP协议是浏览器和服务器中间件进行数据交换的协议,浏览器将HTTP头和HTTP体用某个规则组装成数据包,以TCP的方式发送到服务器中间件,服务器中间件按照规则将数据包解码,并按要求拿到用户需要的数据,再以HTTP协议的规则打包返回给服务器。
CTFHub-FastCGI协议及其ssrf漏洞
XYH_233的博客
02-04 628
FastCGI协议和HTTP协议一样是通信协议
ctfhub-fastcgi协议
o3Ev的博客
07-13 1612
ctfhub-fastcgi协议 这道题是关于fastcgi协议的东西,具体的fastcgi的东西就不介绍了,附件有,网上也有很多师傅写了的,我这里就直接说下题的思路 fastcgi是向php-fpm发送报文的,而由于php-fpm的默认端口是9000,所以我们用nc去监听下9000端口 nc -lvvp 9000>yy.txt 使用大师傅的exp去打就行: import socket import random import argparse import sys from io import B
ctfhub fastcgi
winofkill的博客
12-11 2029
fastcgi
SSRF详解 基于CTFHub(下篇)
Bossfrank的博客
04-28 1118
本文简要介绍了SSRF服务端请求伪造的原理,并通过CTFHub的实例,介绍SSRF的基本原理、利用方式、绕过思路等。
Ctfhub-FastCGI
鸣蜩十四的博客
08-09 487
我们登陆环境,目前可以知道他的默认网站目录/var/www/html/index.php,我们可以使用gopherus工具,进行写入webshell, 第一个为网站的php文件的地址,下面的为写入一句话木马到网站的对应位置,然后将payload进行一次url编码,在brup中写入 成功,然后用蚁剑链接,找到flag ...
你未见过的SSRF利用方式
06-20
Side Request Forgery:服务器端请求伪造) 是⼀种由攻击者构造形成,由服务端发起请求的⼀个安全漏洞 原因是由于服务端提供了从其他服务器应⽤获取数据的功能且没有对地址和协议等做过滤和限制 本⽂讲解⼀个ssrf的...
SSRF利用总结
04-24
SSRF漏洞利用总结,类似SQL注入小计的形式,总结地比较完整。
红蓝对抗中的SSRF深入利用实战.pdf
08-11
安全趋势 概述 SSRF简介 利用现状 利用困境 实战分享 Case 1 Case 2 Case 3
CTFHub ssfr FastCgi协议 & Redis 协议
m0_62879498的博客
02-18 1821
ctfhub ssfr FastCgi & Redis 协议 FastCgi协议 这次.我们需要攻击一下fastcgi协议咯.也许附件的文章会对你有点帮助 首先我们要先了解这个协议内容(具体查看ctfhub里面的文章) 在本关我们可以尝试使用linux解决问题(**需要下载python2版本!!!,否则Gopherus无法读取 **并且下载Gopherus脚本) linux python2下载方法: [参考博客]((1条消息) 完美解决 Linux安装python2.7 方案_你懂了我的冬天的博客
CTFHUB SSRF 【全】
Jay17的博客
04-17 1282
CTFHUB SSRF 题解 【全】
CTFHub技能树 Web进阶详解
weixin_45808483的博客
12-02 2163
PHP Bypass disable_function PHP 的 disabled_functions主要是用于禁用一些危险的函数防止被一些攻击利用 有四种绕过 disable_functions 的手法: 攻击后端组件,寻找存在命令注入的 web 应用常用的后端组件,如,ImageMagick 的魔图漏洞、bash 的破壳漏洞等等 寻找未禁用的漏网函数,常见的执行命令的函数有 system()、exec()、shell_exec()、passthru(),偏僻的popen()、proc_open
CTFHub WP PHP-FPM
m0_62879498的博客
04-09 801
CTFHub WP PHP-FPM PHP-FPM未授权访问漏洞 早期的web服务器只能处理html等静态服务器,但是随着 技术的发展出现的动态语言,web服务器无法处理。这时候出现了各种语言的解释器,但是web服务器如何于语言解释器进行沟通,如何去判断是什么语言,这时候 cgi协议应运而生。只要我们按照cgi协议去编写代码,就可以被服务器识别。 但是 web服务器每收到一个请求,都会去请求一个 cgi程序 ,解析完成结束进程。这样的话,假如请求次数过多,每一个请求都会进行一次 开启、结束,造成了资源的浪费
CTFHUB--SSRF(中)--FastCGI协议\Redis协议 以及gopherus工具攻击
qq_75120258的博客
03-29 1433
本来我们可以执行任意文件,但是在FPM某个版本之后,增加了security.limit_extensions选项,限定了只有某些后缀的文件允许被fpm执行,默认是.php,所以现在要使用这个漏洞,我们得先知道服务器上的一个php文件,假设我们爆破不出来目标环境的web目录,我们可以找找默认源安装后可能存在的php文件,比如/usr/local/lib/php/PEAR.phpFastCGI是一个常驻型的CGI,它在服务器启动的时候先启动一个应用程序池,然后由这个应用程序池来管理和调度应用程序的执行。
题解记录-CTFHub技能树|Web|SSRF
weixin_57448435的博客
09-15 2161
ssrf
CTFHUB--SSRF详解
qq_49422880的博客
05-23 6220
SSRF详解SSRF漏洞介绍一、(内网访问、伪协议利用)1.1内网访问1.2伪协议读取文件1.3端口扫描二、(POST 上传文件 FastCGI协议 Redis协议)2.1 POST请求2.2 上传文件2.3 FastCGI协议2.4 Redis协议三、(Bypass系列)3.1 URL Bypass3.2 数字IP Bypass3.3 302跳转 Bypass3.4 DNS重绑定 Bypass SSRF漏洞介绍    SSRT(Server-Side Request Forgery,服务器端请求伪造),就
SSRF之攻击FastCGI
weixin_50464560的博客
07-03 1004
前言 上篇文章在讲利用SSRF漏洞攻击内网的Redis的时候提到了Gopher协议,说到了这个协议作为SSRF漏洞利用中的万金油,可以用它来攻击内网的FTP、Telnet、Redis、Memcache、FastCGI等应用,那么这篇文章就来介绍一下FastCGI以及利用SSRF结合Gopher协议攻击FastCGI FastCGI 维基百科的解释:快速通用网关接口(Fast Common Gateway Interface/FastCGI)是一种让交互程序与Web服务器通信的协议FastCGI是早期通用网
CTFHub ssrf
07-29
CTFHub是一个CTF(Capture The Flag)比赛平台,提供了各种安全挑战和漏洞利用的题目。在引用\[1\]中提到了一些与SSRF(Server-Side Request Forgery)相关的内容,包括伪协议读取文件、端口扫描、POST请求上传文件、FastCGI、Redis协议、URL Bypass、数字IP Bypass、302跳转Bypass和DNS重绑定 Bypass。引用\[2\]中提到了CGI和FastCGI协议的运行原理,并介绍了使用Gopherus工具生成攻击FastCGI的payload。引用\[3\]中提到了一个使用Python脚本进行端口扫描的例子。 所以,CTFHub ssrf是指在CTFHub平台上与SSRF相关的内容和挑战。 #### 引用[.reference_title] - *1* [CTFHubSSRF](https://blog.csdn.net/qq_45927819/article/details/123400074)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [CTFHUB--SSRF详解](https://blog.csdn.net/qq_49422880/article/details/117166929)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [CTFHub技能树笔记之SSRF:内网访问、伪协议读取文件、端口扫描](https://blog.csdn.net/weixin_48799157/article/details/123886077)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值