Curl导致SSRF及WAF绕过方式

Curl漏洞

背景

SSRF一般用来探测内网服务,但由于应用层使用的Request服务(curl/filegetcontents)一般不只是支持HTTP/HTTPS,导致可以深层次利用。

漏洞代码

function curl($url){  
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_HEADER, 0);
    $re = curl_exec($ch);
    curl_close($ch);
    return $re;
}
$url = $_GET['url'];
echo curl($url);

利用方式

  • dict (操作Redis)
  • file (任意文件读取)
  • ftp、ftps (FTP爆破)
  • tftp(UDP协议扩展)
  • gopher (操作Redis、Memcached)
  • imap/imaps/pop3/pop3s/smtp/smtps(爆破邮件用户名密码)
  • rtsp
  • smb/smbs (连接SMB)
  • telnet - 连接SSH/Telnet
  • http、https - 内网服务探测
    • 网络服务探测
    • ShellShock命令执行
    • JBOSS远程Invoker war命令执行
    • Java调试接口命令执行
    • axis2-admin部署Server命令执行
    • Jenkins Scripts接口命令执行
    • Confluence SSRF
    • Struts2一堆命令执行
    • counchdb WEB API远程命令执行
    • mongodb SSRF
    • docker API远程命令执行
    • php_fpm/fastcgi 命令执行
    • tomcat命令执行
    • Elasticsearch引擎Groovy脚本命令执行
    • WebDav PUT上传任意文件
    • WebSphere Admin可部署war间接命令执行
    • Apache Hadoop远程命令执行
    • zentoPMS远程命令执行
    • HFS远程命令执行
    • glassfish任意文件读取和war文件部署间接命令执行

访问 http://test/test.php?url=http://www.baidu.com

QQ截图20160831000010.png

url改成file:///etc/passwd (权限够的前提下)

QQ截图20160831000908.png

如果知道网站目录,则可以读取网站配置文件

QQ截图20160831001542.png


绕过WAF

当url里出现 file:///etc/passwd 等敏感内容的时候,WAF会拦截行为
我想到的思路是获取源站IP,直接将请求发送到源站上。

url改成自己的网站

QQ截图20160831003809.png

查一下网站日志文件 access.log

QQ截图20160831004302.png

拿到源站IP后,通过Burp修改请求即可绕过cdn,绕过Waf

QQ截图20160831005007.png


参考文章

标签: curl, ssrf, 绕过waf
返回文章列表 文章二维码
本页链接的二维码
打赏二维码
添加新评论