typecho ssrf 分析

2018-10-17 3,448

typecho 在2017年10月左右爆出过一个ssrf漏洞,可用于攻击内网服务。本文从php代码层面分析了一下漏洞的触发原理,希望能对阅读者有一定帮助。

通过diff发现var\Widget\XmlRpc.php文件有如下修改:

旧版本2048行:

96026ab3fecb49f2b071158e17195c.png

新版本则吧这个检查放在了pingbackPing函数的开头:

2.png

漏洞分析

XmlRpc是方便第三方工具管理typecho的接口,当其被调用时,首先会运行XmlRpc.php的2189行:

public function action()


在2249行new了一个IXR_Server,随即走到了他的构造函数:

3.png

然后跟入serve函数:

4.png


可以看见我们post的内容都传入了$GLOBALS['HTTP_RAW_POST_DATA'],然后赋值给$data,后面new了一个IXR_Message并把$data作为参数传入,跟入parse():

5.png

这个函数在新建一个xml解释器,xml代码为我们post的内容。
xml_set_element_handler设置了xml文档中的起始和终止调用的函数,这里就是'tag_open'和'tag_close'。
xml_set_character_data_handler函数规定当解析器在 XML 文件中找到字符数据时所调用的函数。
关键代码如下(由于代码较长,所以只贴出关键代码),位于tag_close函数的142行

function tag_close($parser, $tag) {


6 (2).png

当有一个标签为methodName时,_currentTagContents也就是methodName的内容会赋值给$this->methodName。
而当标签为string时,内容赋值给$value并在163行:

$this->params[] = $value;

往后运行到server.php的call函数:

7.png


其中$methodname和$args都是我们通过xml标签传递的值,在最后一行call_user_func_array中,即可调用相应的函数。

然后回到漏洞触发点:

var\Widget\XmlRpc.php 的2049行:
        if (!($http = Typecho_Http_Client::get())) {


这里调用的get方法加载了var\Typecho\Http\Client\Adapter\Curl.php和ar\Typecho\Http\Client\Adapter\Socket.php两个文件,当发起请求时首先会尝试使用curl,否则使用Socket。
紧接着后面:

$http->setTimeout(5)->send($source);
$source为我们可传入字符,跟踪send函数:
    public function send($url)
    {
        $params = parse_url($url);

        if (!empty($params['host'])) {
            $this->host = $params['host'];
            .....


用parse_url拆分传入的url,并依次添加到$this中,除此外还添加了cookie和hearder,在338行:

8.png


9.png

10.png


前面都在设置curl选项,然后在最后执行,一路畅通无阻,所以造成ssrf。
在XmlRpc.php的2058行:

11.png

可看见response如果状态为200,且x-pingback为空、原地址不支持PingBack,就返回源地址不支持PingBack,否则会返回源地址服务器错误。
所以我们可以通过输出来探测ip和端口,如果返回源地址服务器错误,则主机/端口关闭,如果返回源地址不支持PingBack,则主机/端口存在。
当然不光是端口和主机探测,我们也可以进一步盲打内网中的redis和FastCGI。

payload  

post以下内容到http://127.0.0.1:8888/typecho/index.php/action/xmlrpc:

12.png

其中http://127.0.0.1:80就是上文中的$source。

本文作者:小米SRC

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/76773.html

Tags:
评论  (0)
快来写下你的想法吧!

小米SRC

文章数:38 积分: 56

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号