从一道题初探ssrf+gopher攻击内网mysql

0x01

题目源码

<?php
highlight_file(__FILE__);
function check_inner_ip($url)
{
    $match_result=preg_match('/^(http|https|gopher|dict)?:\/\/.*(\/)?.*$/',$url); 
    if (!$match_result)
    {
        die('url fomat error');
    }
    try
    {
        $url_parse=parse_url($url);
    }
    catch(Exception $e)
    {
        die('url fomat error');
        return false;
    }
    $hostname=$url_parse['host'];
    $ip=gethostbyname($hostname);
    $int_ip=ip2long($ip);
    return ip2long('127.0.0.0')>>24 == $int_ip>>24 || ip2long('10.0.0.0')>>24 == $int_ip>>24 || ip2long('172.16.0.0')>>20 == $int_ip>>20 || ip2long('192.168.0.0')>>16 == $int_ip>>16;
}

function safe_request_url($url)
{

    if (check_inner_ip($url))
    { 
        echo $url.' is inner ip';
    }
    else
    {
        $ch = curl_init();
        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        curl_setopt($ch, CURLOPT_HEADER, 0);
        $output = curl_exec($ch);
        $result_info = curl_getinfo($ch);
        if ($result_info['redirect_url'])
        {
            safe_request_url($result_info['redirect_url']);
        }
        curl_close($ch);
        var_dump($output);
    }

}

$url = $_GET['url'];
if(!empty($url)){
    safe_request_url($url);
}

?>

这是一个非常典型的SSRF问题。首先正则匹配http|https|gopher|dict四种协议,使用$url_parse对Get的URL进行解析,判断是否为内网ip。对URL进行curl操作,并将探测到的内容打印出来。
Google一番,得知绕过方法。

payload1:url=http://@127.0.0.1:80@baidu.com/flag.php

利用PHP的$url_parse与curl解析URL不一致进行绕过。

简单来说,对于http://u:p@a.com:80@b.com/

PHP解析为:

schema: http 
host: b.com
user: u
pass: p@a.com:80

cURL解析为:

schema: http
host: a.com
user: u
pass: p
port: 80
后面的@b.com/会被忽略掉

payload2:url=http://127.0.0.1./flag.php

0x02

得到网段之后,用bp的intruder模块进行爆破,提示常用端口,N*254,爆破得到两个服务:flask和mysql服务

import flask
import os
app = flask.Flask(__name__)
app.config['HINT'] = os.environ.pop('HINT')
@app.route('/')
def index():
    return open(__file__).read()
@app.route('/yulige/<path:yulige>')
def yulige(yulige):
    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')
        blacklist = ['config', 'self']
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist])+s
    return flask.render_template_string(safe_jinja(yulige))
if __name__ == '__main__':
    app.run("0.0.0.0",port=8080)

SSTI模板注入,对(,),config,self进行过滤,参考这篇文章
https://www.xmsec.cc/ssti-and-bypass-sandbox-in-jinja2/

payload1:url_for.__globals__['current_app'].config['HINT']
payload2:get_flashed_messages.__globals__['current_app'].config['HINT']

得到HINT的内容,是mysql的用户名。

0x03

接下来使用gopher攻击mysql,脚本Gopherus
https://github.com/tarunkant/Gopherus

由于是GET传递,需要对产生的payload进行一次urlencode。最后可以找到flag。

暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇