[网鼎杯 2020 玄武组]SSRFMe
<?php
function check_inner_ip($url)
{
$match_result=preg_match('/^(http|https|gopher|dict)?:\/\/.*(\/)?.*$/',$url);
if (!$match_result)
{
die('url fomat error');
}
try
{
$url_parse=parse_url($url);
}
catch(Exception $e)
{
die('url fomat error');
return false;
}
$hostname=$url_parse['host'];
$ip=gethostbyname($hostname);
$int_ip=ip2long($ip);
return ip2long('127.0.0.0')>>24 == $int_ip>>24 || ip2long('10.0.0.0')>>24 == $int_ip>>24 || ip2long('172.16.0.0')>>20 == $int_ip>>20 || ip2long('192.168.0.0')>>16 == $int_ip>>16;
}
function safe_request_url($url)
{
if (check_inner_ip($url))
{
echo $url.' is inner ip';
}
else
{
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_HEADER, 0);
$output = curl_exec($ch);
$result_info = curl_getinfo($ch);
if ($result_info['redirect_url'])
{
safe_request_url($result_info['redirect_url']);
}
curl_close($ch);
var_dump($output);
}
}
if(isset($_GET['url'])){
$url = $_GET['url'];
if(!empty($url)){
safe_request_url($url);
}
}
else{
highlight_file(__FILE__);
}
// Please visit hint.php locally.
?>
大致就先让你访问/hint.php,但有个ip检测,不能是内网ip
-
使用
gethostbyname获取ip地址
- 防御了xip.io这类利用dns解析的绕过方法
-
使用
ip2long将ip地址转为整数,判断是否为内网网段
- 防御了
127.0.0.1/8
- 防御了
但这里头肯定有问题,不然也不可能出这题,先搜搜$url_parse相关
最终找到一篇翻译文章
https://www.anquanke.com/post/id/86527
(静待20min)
现在我们默认已经读过这篇文章了
来,让我们试试文章里的curl与其他语言url解析器联合使用所出现的问题
?url=http://@127.0.0.1:80 @baidu.com/hint.php
很有自信,但是返回了个bool(false)………………
为什么……直接搜wp,也是这个……留下了疑惑
肯定在这一块,好好的抛啥异常……
try
{
$url_parse=parse_url($url);
}
catch(Exception $e)
{
die('url fomat error');
return false;
}
好在wp里提供了另一种思路,DNS重绑定漏洞
https://blog.csdn.net/NOSEC2019/article/details/103126829
(静待15min)
(1)、服务器端获得URL参数,进行第一次DNS解析,获得了一个非内网的IP
(2)、对于获得的IP进行判断,发现为非黑名单IP,则通过验证
(3)、服务器端对于URL进行访问,由于DNS服务器设置的TTL为0,所以再次进行DNS解析,这一次DNS服务器返回的是内网地址。
(4)、由于已经绕过验证,所以服务器端返回访问内网资源的结果。
现在我们又读了一篇文章,很棒,工具网站
快试试!(?)
还有个方便的方法,题里忘了过滤了的
0.0.0.0代表本机ipv4的所有地址,所以直接http://0.0.0.0/hint.php也可以……
不错,所以为啥一开始翻ssrf过滤绕过的时候没找到这个方法^_^
好在我们现在可以看到hint.php了
<?php
if($_SERVER['REMOTE_ADDR']==="127.0.0.1"){
highlight_file(__FILE__);
}
if(isset($_POST['file'])){
file_put_contents($_POST['file'],"<?php echo 'redispass is root';exit();".$_POST['file']);
}
"
本来以为是过死亡exit
结果不是……
完全不会,今晚的目标就是成功复现!呜呜呜
redis?怎么说……我就知道它是种NoSQL型数据库,来了解一下。
https://www.cnblogs.com/powertoolsteam/p/redis.html
首先……我要知道redis在啥端口——6379
然后题里告诉你密码是root
使用dict协议去访问redis
?url=dict://0.0.0.0:6379
存在密码校验,再加上密码
?url=dict://0.0.0.0:6379/auth root
Redis客户端支持管道操作,可以通过单个写入操作发送多个命令,而无需在发出下一个命令之前读取上一个命令的服务器回复。所有的回复都可以在最后阅读。
dict协议一次只能执行一条命令,因该是仅仅能进行密码验证。此处需要gopher协议,可以一次性完成密码验证以及恶意命令执行。
攻击方式位Redis基于主从复制RCE
提前了解主从复制是啥
主从复制,是指将一台Redis服务器的数据,复制到其他的Redis服务器。前者称为主节点(master),后者称为从节点(slave);数据的复制是单向的,只能由主节点到从节点。 redis的持久化使得机器即使重启数据也不会丢失,因为redis服务器重启后会把硬盘上的文件重新恢复到内存中,但是如果硬盘的数据被删除的话数据就无法恢复了,如果通过主从复制就能解决这个问题,主redis的数据和从redis上的数据保持实时同步,当主redis写入数据是就会通过主从复制复制到其它从redis。
接下来,利用这一点,我们创建
https://github.com/xmsec/redis-ssrf https://github.com/n0b0dyCN/redis-rogue-server
代码审计->看到curl_exec想到ssrf->打内网->根据提示redisgetshell->生成rogueserver(vps或buu中的linux靶机)->利用gopher协议生成payload或者直接反弹shell
参考
https://www.secpulse.com/archives/132215.html
学到了,这篇博客里绕过一开始限制的地方写的很全,建议去看看。