SSRF漏洞之FastCGI利用篇

最新推荐文章于 2024-04-26 15:56:14 发布
最新推荐文章于 2024-04-26 15:56:14 发布
阅读量2k 收藏 16
点赞数 8
分类专栏: web安全 文章标签: php fastcgi web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39664643/article/details/114977217
版权

SSRF漏洞之FastCGI利用篇

SSRF–(Server-side Request Forge, 服务端请求伪造)
定义:由攻击者构造的攻击链接传给服务端执行造成的漏洞,一般用来在外网探测或攻击内网服务

SSRF漏洞思维导图如下,本篇主要介绍利用SSRF漏洞攻击FastCGI

image-20210224111821069

0x00.PHP-FPM FastCGI 未授权利用

首先我们使用Vulhub漏洞靶场快速搭建漏洞环境进行复现,感受一波漏洞的危害

# 保证实验vps具有git、docker、pip、docker-compose、python基础环境
## 下载vulhub靶场资源
git clone https://github.com/vulhub/vulhub.git
## 找到fpm Fastcgi目录,一键搭建漏洞环境
docker-compose up -d

image-20210225153035133

环境搭建完成,如下图可以看到,FPM Fastcgi未授权漏洞 docker镜像正在运行,且监听在本地9000端口

image-20210225154642500

执行P牛漏洞EXP,Exp见 https://gist.github.com/phith0n/9615e2420f31048f7e30f3937356cf75

python3 fpm.py 118.24.127.188 /usr/local/lib/php/PEAR.php -c "<?php echo `id`; ?>"
# 其中/usr/local/lib/php/PEAR.php 为安装php时默认自带的php文件

image-20210225155548429

成功执行构造的任意PHP代码,拿到vps运行FPM的Web权限

看到这里,相比同学们都很好奇为何只是开启9000端口就造成任意命令执行了呢?

啥是PHP-FPM,FastCGI又是啥(大佬请略过0x01章节~)

接下来,我们一起探究漏洞的原理和具体的利用过程吧~

0x01.CGI、FastCGI、PHP-FPM

我们知道,在网站架构中,Web Server(如Nginx)只是内容的分发者

当客户端请求的是index.php,根据配置文件Web Server辨别不是静态文件,此时就需要去找 PHP解析器来处理

当Web Server收到 index.php 这个请求后,会启动对应的CGI 程序,也就是PHP解析器

接下来PHP解析器会解析php.ini文件,初始化执行环境,然后处理请求,再以CGI规范的格式返回处理后的结果,退出进程,Web server再把结果返回给浏览器。这就是一个完整的动态PHP Web访问流程

这其中,引出如下概念:

  • CGI:是 Web Server 与 Web Application 之间数据交换的一种协议
  • **FastCGI:**同 CGI,是一种通信协议,对比 CGI 提升了5倍以上性能
  • **PHP-CGI:**是 PHP(Web Application)对 Web Server 提供的 CGI 协议的接口程序
  • **PHP-FPM:**是 PHP(Web Application)对 Web Server 提供的 FastCGI 协议的接口程序,额外还提供了相对智能的任务管理功能

PHP默认提供了很多种SAPI(服务器端应用编程端口),常见的提供给apache和nginx的php5_moduleCGIFastCGI,给IIS的ISAPI,以及Shell的CLI

经过不断的技术升级,目前搭建高性能的PHP Web服务器,最佳的方式是Apache/Nginx + FastCGI + **PHP-FPM(PHP-CGI)**方式

FastCGI工作原理

image-20210317142528149

Web 服务器启动时载入FastCGI进程管理器(PHP-CGI或者PHP-FPM)

  1. FastCGI 进程管理器自身初始化,启动多个 CGI 解释器进程,并等待来自 Web Server 的连接
  2. Web 服务器与 FastCGI 进程管理器进行 Socket 通信,选择一个CGI 解释器进程,通过 FastCGI 协议发送 CGI 环境变量和标准输入数据给 这个CGI 解释器进程
  3. CGI 解释器进程完成处理后将标准输出和错误信息从同一连接返回 Web 服务器
  4. CGI 解释器进程接着等待并处理来自 Web 服务器的下一个连接

由此,PHP-FPM 就是一个FastCGI进程管理器,是对于 FastCGI 协议的具体实现,它负责管理一个进程池,来处理来自Web服务器的请求。

PHP-FPM通信方式

在PHP使用FastCGI连接模式的情况下,Web服务器中间件如Nginx和PHP-FPM之间的通信方式又分为两种,TCP模式和套接字(unix socket)模式

  • TCP模式即是PHP-FPM进程会监听本机上的一个端口(默认为9000),然后Nginx会把客户端请求数据通过FastCGI协议传给9000端口,PHP-FPM拿到数据后会调用CGI进程解析
  • Unix套接字模式是Unix系统进程间通信(IPC)的一种被广泛采用方式,以文件
最低0.47元/天 解锁文章
F4ke12138
关注
  • 8
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
SSRF学习(6)FastCGI协议
m0_64417923的博客
05-16 180
这次.我们需要攻击一下fastcgi协议咯.也许附件的文章会对你有点帮助 FastCGI原理: Wikipedia对FastCGI的解释:快速通用网关接口(FastCommon Gateway Interface/FastCGI)是一种让交互程序与Web服务器通信的协议。FastCGI是早期通用网关接口(CGI)的增强版本。FastCGI致力于减少网页服务器与CGI程序之间交互的开销,从而使服务器可以同时处理更多的网页请求。 php-fpm 官方对php-fpm的解释是FPM(FastCG..
SSRF之攻击FastCGI
weixin_50464560的博客
07-03 1004
前言 上篇文章在讲利用SSRF漏洞攻击内网的Redis的时候提到了Gopher协议,说到了这个协议作为SSRF漏洞利用中的万金油,可以用它来攻击内网的FTP、Telnet、Redis、Memcache、FastCGI等应用,那么这篇文章就来介绍一下FastCGI以及利用SSRF结合Gopher协议攻击FastCGI FastCGI 维基百科的解释:快速通用网关接口(Fast Common Gateway Interface/FastCGI)是一种让交互程序与Web服务器通信的协议。FastCGI是早期通用网
SSRF漏洞是什么,如何进行有效防护
最新发布
HoewDec的博客
04-26 1339
SSRF是服务器对用户提供的可控URL过于信任,没有对攻击者提供的URL进行地址限制和足够的检测,导致攻击者可以以此为跳板攻击内网或者其它服务器由攻击者构造的攻击链接传给服务端执行造成的漏洞,一般用来在。1、严格校验用户输入的URL,可以使用白名单过滤来限制输入,只允许特定的协议、主机和端口,列如限制请求的端口为 http 常用的端口,80、443、8080、8090 等。图片加载存在于很多的编辑器中,编辑器上传图片处加载设定好的远程服务器上的图片地址,如果没对加载的参数做限制可能造成SSRF
在PHP中使用FastCGI解析漏洞及修复方案
romeoyue的专栏
01-09 890
问题描述: FastCGI解析漏洞 WebServer Fastcgi配置不当,会造成其他文件(例如css,js,jpg等静态文件)被当成php脚本解析执行。当用户将恶意脚本webshell改为静态文件上传到webserver传递给后端php解析执行后,会让攻击者获得服务器的操作权限 高风险项漏洞地址(URL) 参数 请求方法 发现时间 恢复时间 持续时间 http://www.2
fastcgi未授权访问漏洞(php-fpm fast-cgi未授权访问漏洞)
好好睡觉
02-10 3463
fastcgi未授权访问漏洞
ngnix FastCGI解析漏洞
weixin_34234829的博客
06-12 204
漏洞描述: Nginx默认是以CGI的方式支持PHP解析的,普遍的做法是在Nginx配置文件中通过正则匹配设置SCRIPT_FILENAME。当访问http://192.168.1.103/phpinfo.jpg/1.php这个URL时,$fastcgi_script_name会被设置为“phpinfo.jpg/1.php”,然后构造成SCRIPT_FILENAME传递给PHP CGI。如果PH...
SSRF_ex:SSRF漏洞测试、利用 SSRF vulnerability testing and utilization
05-08
SSRF_exSSRF漏洞测试、利用 SSRF vulnerability testing and utilizationSSRF[+] 服务端请求伪造,当作跳板攻击内网服务[+] 扫描内部网络、服务[+] 访问本机敏感文件[+] 向特定端口发送数据包、payload.├── ...
WebLogic SSRF漏洞修复
11-25
WebLogic SSRF漏洞修复方法 CVE-2014-4210 10.0.2,10.3.6
104-web漏洞挖掘之SSRF漏洞1
08-03
1.禁用不需要的协议 2.统一错误信息,避免用户可以根据错误信息来判断远端服务器的端口状态 3.禁止302跳转,或者每跳转一次,就检查一次新的Host是否是内网
SSRF利用总结
04-24
SSRF漏洞利用总结,类似SQL注入小计的形式,总结地比较完整。
31-浅谈SSRF漏洞1
08-03
1、获取web应用可达服务器服务的banner信息以及收集内网web应用的指纹识别, 2、攻击运行在内网的系统或应用程序,获取内网各系统弱口令进行内网漫游、对有
fastcgi文件读取漏洞之python扫描脚本
12-23
PHP FastCGI的远程利用 说到FastCGI,大家都知道这是目前最常见的webserver动态脚本执行模型之一。目前基本所有web脚本都基本支持这种模式,甚至有的类型脚本这是唯一的模式(ROR,Python等)。 FastCGI的主要目的就是,将webserver和动态语言的执行分开为两个不同的常驻进程,当webserver接收到动态脚本的请求,就通过fcgi协议将请求通过网络转发给fcgi进程,由fcgi进程进行处理之后,再将结果传送给webserver,然后webserver再输出给浏览器。这种模型由于不用每次请求都重新启动一次cgi,也不用嵌入脚本解析器到webserver中去,
fastcgi配置不当造成的解析漏洞
cxrpty的博客
02-19 1020
实验环境:IIS 7.0/IIS 7.5/Nginx <=0.8.37 实验步骤: 一、漏洞环境的搭建 1.安装xampp,只需要其中的php 2.安装iis服务器 点击服务器管理器——角色——添加角色——选择web服务器 点击下一步——选择以下勾选项——点击下一步——安装(注:一定要将cgi模块勾选) 3.关闭防火墙 4.访问该机的网站,看到可正常访问 ...
处理一起IIS的FastCGI解析漏洞
weixin_33682719的博客
07-27 145
问题描述:FastCGI解析漏洞 WebServerFastcgi配置不当,会造成其他文件(例如css,js,jpg等静态文件)被当成php脚本解析执行。当用户将恶意脚本webshell改为静态文件上传到webserver传递给后端php解析执行后,会让***者获得服务器的操作权限 高风险项漏洞地址(URL) 参数 请求方法 发现时间 恢复时间 持续时间http://...
复现iis7/ii7.5的fastcgi解析漏洞
per_se_veran_ce的博客
08-28 1447
在windows server 2008 r2上搭建 php服务 1、下载php解释器 地址为http://windows.php.net/download/ 版本有两种,线程安全和非线程安全,线程安全是给apache用的,非线程安全是给iis用的,我们要配的是iis,所以下载非线程安全的,x86和x64看自己的机器是什么系统选择对应的版本下载就行了。 安装vcredist_x64.exe ...
fastcgi未授权访问及任意命令执行
浅笑996的博客
11-21 2258
1. 漏洞原理 服务端使用fastcgi协议并对外网开放9000端口,攻击者可以构造fastcgi协议包内容,实现未授权访问服务端.php文件以及执行任意命令。 2. 漏洞利用 第一步 搭建vulhub靶机环境 请看链接:https://blog.csdn.net/qq_36374896/article/details/84102101 第二步 Payload构造 攻击机构造Payload 示例:...
iis 有PHP漏洞,处理一起IIS的FastCGI解析漏洞
weixin_26872803的博客
04-02 206
问题描述:FastCGI解析漏洞WebServerFastcgi配置不当,会造成其他文件(例如css,js,jpg等静态文件)被当成php脚本解析执行。当用户将恶意脚本webshell改为静态文件上传到webserver传递给后端php解析执行后,会让***者获得服务器的操作权限高风险项漏洞地址(URL)参数请求方法发现时间恢复时间持续时间http://www.heda-china.com/...
fastcgi php漏洞,nginx+php-fcgi漏洞解决方法汇总,比较!
weixin_31131927的博客
03-13 342
以下是个人总结意见!1.if ( $fastcgi_script_name ~ .*\.(png|jpg|gif|bmp|PNG|JPG|GIF|BMP)\/.*php ) {return 404;}本人针对漏洞的解决方法!【2010-5-21 20:03】修改补充:dennis大侠提出:还有第一个解决方法 如果是rar的怎么办? 那个和文件后缀的关系不大我早上测试的文件名字是.kpg的也一样可以...
ssrf漏洞内网渗透_ssrf漏洞分析
06-06
5. 利用漏洞:根据收集到的信息,选择合适的漏洞利用方式,从而取得系统权限。 在实际攻击中,攻击者还可能会采用其他方式来利用 SSRF 漏洞,如访问内部 Web 应用、获取敏感文件等。因此,网站开发人员需要注意防范...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值