SecMap - 非常用协议大礼包

admin
admin
admin
139018
文章
114
评论
2021年5月17日11:00:50评论40 views字数 6032阅读20分6秒阅读模式

🍊 SecMap - 非常用协议大礼包

这是橘子杀手的第 33 篇文章
题图摄于:杭州 · 云栖竹径

☁️ 知识点介绍

这里说的 “非常用” 是相对于 HTTP 这种非常知名的协议来说的。对于同是搞安全的橘友来说,像 gopher 这种协议其实也挺常用的,各位无需纠结这个,意思传达到了就好  SecMap - 非常用协议大礼包

☁️ 协议

🌧 gopher://

协议详情:https://zh.wikipedia.org/wiki/Gopher_(网络协议)

gopher 协议,人送外号“万金油”,因为利用此协议可以攻击内网的 Web 应用、Redis、MySQL、FTP、Memcache 等等。本质上是因为 gopher 携带的数据可以插入 rn%0d%0a),而很多组件就是利用 rn 来分隔连续的两条命令,所以它可以与很多组件进行连续交互,那么也就可以很方便地进行攻击了。

gopher 协议的格式:gopher://+ip:端口+/+_ + TCP/IP 数据

需要注意的是:

  1. gopher 协议的默认端口为 70
  2. 这里面的 _,这是分隔符,其实可以用任意 ASCII 字符
  3. 分隔符后面的 TCP/IP 数据就是发出去的数据,数据部分如果有特殊字符必须要进行 url 编码,这样 gopher 协议才能正确解析
  4. 大部分 PHP 并不会开启 fopen 的 gopher wrapper
  5. PHP file_get_contents 的 gopher 协议不能 URLencode
  6. PHP file_get_contents 的 gopher 协议的 302 跳转有 bug,导致利用失败
  7. PHP 的 curl 默认不跟随 302 跳转
  8. curl/libcurl v7.43 上 gopher 协议存在 %00 截断,v7.49 可用

下面举几个比较典型的例子,其实原理都是一样的,很容易拓展到攻击其他组件。

❄️ 发出 HTTP 请求

例如,我们打算通过 gopher 协议,来完成一次 http 请求,那么我们最少需要发出这些数据:

GET / HTTP/1.1
Host: baidu.com

那么首先,把这些数据进行 url 编码:

In [1]: from urllib import parse

In [2]: parse.quote('GET / HTTP/1.1rnHost: baidu.comrnrn')
Out[2]: 'GET%20/%20HTTP/1.1%0D%0AHost%3A%20baidu.com%0D%0A%0D%0A'

然后用 curl 即可通过 gopher 协议完成一次 http 请求:SecMap - 非常用协议大礼包

当然 POST 也是可以的。

❄️ 攻击 MySQL

同理,也可以访问其他服务,这里演示一下 MySQL 的。

注意,mysql 的实验,需要配置 skip_ssl 来禁用 ssl,因为 gopher 无法处理 ssl 握手。

按照我们实际想要达成的目的去使用 mysql,我称之为“录像”,期间用 wireshark 抓包,点击跟踪 TCP 流:SecMap - 非常用协议大礼包

简单起见,我这里仅仅是连上去之后执行了 select 'tr0y{Th1s_is_fl4g}'; 就退出了(注意,这里一定要退出,原因见下面)。那么可以得到下面的数据:SecMap - 非常用协议大礼包

注意我们只需要发出数据,所以选择客户端发送到 MySQL 服务器的数据包,然后导出原始数据:SecMap - 非常用协议大礼包

wireshark 所谓的“原始数据”其实就是十六进制的数据,而我们小学二年级就知道,url 编码就是字符的十六进制数据表示,前面加个 %,故可得:

ba00000185a6ff0900000001ff00000000000000000000000000000000000000000000005472307900010063616368696e675f736861325f70617373776f7264007c035f6f73086f737831302e3136095f706c6174666f726d067838365f36340f5f636c69656e745f76657273696f6e06382e302e32330c5f636c69656e745f6e616d65086c69626d7973716c045f706964053238303337076f735f757365720a6d6163723070686167330c70726f6772616d5f6e616d65056d7973716c2300000003000173656c65637420404076657273696f6e5f636f6d6d656e74206c696d697420311e00000003000173656c6563742027747230797b546831735f69735f666c34677d270100000001

(这里的操作实际上会产生 4 个请求数据包,直接拼接在一起即可)

发出:SecMap - 非常用协议大礼包

整个过程可以看做是先录制与 MySQL 交互的过程,然后利用 gopher 回放,所以录像中不能有随机因素,比如 ssl 握手,否则就无法回放。

最后总结一下需要注意的事情:

  1. 目标 MySQL 必须关闭 ssl(配置 skip_ssl
  2. 录制的时候,需要用 -h 指定 host,否则如果是搭建在本地的 mysql,会直接通过 sock 文件(默认是 /tmp/mysql.sock)进行进程通信,不走网卡所以抓不到包。
  3. 目标 MySQL 必须配置无需认证。如果是用 caching_sha2_password 进行认证(版本 >8.0 默认就是这个认证模式)的用户,那么 mysql 服务端会要求客户端必须启用 ssl;如果是用 mysql_native_password 进行认证的用户,那么在认证过程中会有随机的字符出现(应该是用于 challenge)。以上两种认证模式均无法通过 gopher 利用。
  4. 录制完毕之后,没有手动退出 mysql cli,那么就需要在最后加上 %01%00%00%00%01,否则 curl 会一直卡着(虽然这时候抓包已经可以看到回显了),原因是 curl 没收到服务端发来的结束符,认为还有剩余的数据在管道中,于是继续等待,表现出来就是 curl 一直卡着。

❄️ 攻击 Redis

没啥特别的,简直就是一个 redis-cli SecMap - 非常用协议大礼包Redis 有密码无密码都可,可以利用 rn 拼接来一次性执行多条命令:

# 即 auth 123456rnPINGrnquit
curl gopher://127.1:6001//auth%20123456%0d%0aPING%0d%0aquit

当然,也可以用来爆破密码。

🌧 dict://

协议详情:http://dict.org/rfc2229.txt

dict 协议是一个字典服务器协议,就是用来查单词的那种字典。字典服务器本来是为了让客户端使用过程中能够访问更多的字典源。

dict 协议的格式:dict://+ip:端口+/ + TCP/IP 数据

与 gopher 相比,dict 携带的数据无法插入 rn(只能插入 \r\n),所以对于大部分组件来说,只能执行一条命令,所以如果一个组件可以一步一步操作(比如 redis),那么才可以利用,那么很明显,需要认证的 redis 是无法通过 dict 攻击的(即使你知道密码也没用),但是可以用来爆破密码。

这里举个 Redis 的例子,由于 dict:// 相对比较鸡肋一些,所以算是一个低配的 redis-cli  SecMap - 非常用协议大礼包

首先演示一下 set/get:SecMap - 非常用协议大礼包

再来个写 webshell 的:SecMap - 非常用协议大礼包

需要注意的点:

  1. 若最后的 payload 需要用空格,那么在 dict 里需要用 : 表示,即 dict://127.0.0.1:80/set:key:1 等于 set key 1
  2. curl 在通过 dict 执行的时候,会在前后自动加上客户端版本和 QUIT:SecMap - 非常用协议大礼包这也是为什么上面那个 redis 的例子中,第一行永远是错误,最后一行永远是 +OK 的原因
  3. 由于 dict:// 协议在出现 ? 的时候会截断后面的数据:SecMap - 非常用协议大礼包这里的思路就是先把数据传给组件,然后让组件去完成转义,比如 set key "1x3f1" 对于 redis 来说等于 set key "1?1",所以 dict:// 就可以这样:curl 'dict://127.1:6379/set:key:"1x3f1"'。上面那个写 webshell 的例子就是因为这个原因所以进行了转义。

🌧 file://

协议详情:

https://docs.microsoft.com/en-us/previous-versions//aa767731(v=vs.85)

读取本地文件,这个没啥好说的:curl file:///etc/passwd

比如浏览器读取本地文件的时候,用的也是这个协议:SecMap - 非常用协议大礼包

对于 PHP 的文件包含有个骚操作就是,可以创建一个名为 <?php phpinfo(); ?>.txt 的文件,然后压缩上传,接下来直接包含即可(需要绝对路径):include("file://wwwhtml/upload/test.zip");,当然,.tar.zip 都可以。至于原理,贴个图大家就都懂啦:SecMap - 非常用协议大礼包

🌧 data://

  • 作用:Data URI scheme 是在 RFC2397 中定义的,目的是将一些小的数据,直接嵌入到网页中,从而不用再从外部文件载入
  • 条件:
    • allow_url_include: On
    • PHP >= 5.2.0

格式为 data:(//)[class](/)[type](;base64),payload

  1. // 可以省略
  2. / 可以省略,特殊情况在下面
  3. [class][type]: 可以省略,任意字符;如果要写其中一个,那么 / 不可省略,另一个为可空。
  4. ;base64 可以省略;如果要加的话,payload 必须经过 base64 编码

这些在 PHP 里都是可以的:

data://tr0y/tr0y;base64,PD9waHAgcGhwaW5mbygpOz8+
data:tr0y/tr0y;base64,PD9waHAgcGhwaW5mbygpOz8+
data:tr0y/;base64,PD9waHAgcGhwaW5mbygpOz8+
data:/;base64,PD9waHAgcGhwaW5mbygpOz8+
data:;base64,PD9waHAgcGhwaW5mbygpOz8+
data:,<?php phpinfo();?>

该协议类似于 php://input,区别在于 data:// 是直接获取后面跟着的内容。浏览器一般都支持这个协议,最常用的莫过于展示小图片了;在 CTF 中常用于执行任意 PHP 代码。

每个组件支持的会稍微有点区别,例如 data:;,<?php phpinfo();?> 在 Chrome 可以,但是在 PHP 不行。

🌧 php://

php://:访问各个输入/输出流(I/O streams)。PHP 提供了一些杂项输入/输出(IO)流,允许访问 PHP 的输入输出流、标准输入输出和错误描述符;内存中、磁盘备份的临时文件流以及可以操作其他读取写入文件资源的过滤器。

可以看官方文档的介绍:https://www.php.net/manual/zh/wrappers.php.php

属于 PHP 中的伪协议,一般受限于 php.ini 中的配置,所以下文会一并列出使用条件。

❄️ php://input

  • 作用:访问请求的原始数据的只读流
  • 条件:
    • allow_url_include: On
    • form 表单里的 enctype 不为 multipart/form-data(默认为 application/x-www-form-urlencoded)。体现在请求头里就是 Content-Type 不能为 multipart/form-data

作用有点拗口,其实 php://input 可以理解为“文件路径”,但是 PHP 在遇到这个伪协议的时候,不会真去本地文件找这个路径然后读取文件内容,而是直接将 POST 的数据当做文件内容。

比如 readfile、file_get_contents、include,都支持此伪协议。

在 CTF 中常用于执行任意 PHP 代码。

❄️ php://filter

  • 作用:用于数据流打开时,对数据进行筛选、过滤。
  • 条件:无

格式:php://filter/[0]=[1]/resource=[2]

其中:

  • [0]: 可选 read/write
  • [1]: 就是过滤器,可以设定一个或多个过滤器名称,以管道符(|)分隔即可。比如:convertstring,更多可参考官方文档:https://www.php.net/manual/zh/filters.php
  • [2]: 必选的值,为要筛选过滤的数据流,通常是本地文件的路径,绝对路径和相对路径均可以使用。

示例:php://filter/read=convert.base64-encode/resource=flag.php

表示读取本地文件 flag.php,并进行 base64 编码。

在 CTF 中常用于读取 PHP 的源码。

🌧 phar://

  • 作用:属于 PHP 伪协议,phar(PHP Archive) 是 PHP 里类似于 JAR 的一种打包文件。
  • 条件:
    • PHP >= 5.3.0

phar:// 的利用场景示例:

<?php
  $files = $_GET['file'];
  include($files);
?>

对于这样的例子,先上传一个 zip 压缩包,里面是一个 txt 文件,内容是:<?php phpinfo(); ?>,在知道绝对路径(/www/upload/test.zip)之后,可以利用 phar:// 来执行这段代码,payload: phar:///www/upload/test.zip/test.txt

phar:// 还有反序列化的利用方式,等到总结反序列化的时候一起说。

🌧 zip://

  • 作用:属于 PHP 伪协议,用于访问 zip 压缩流

格式:zip://[压缩文件绝对路径]#[压缩文件内的路径以及文件名]

🌧 compress.*://

  • 作用:属于 PHP 伪协议,用于访问压缩流

❄️ compress.zlib://

  • 作用:访问 .gz 压缩流

示例:

  1. 创建 .gz: tar -zcvf test.gz ./test.txt
  2. payload: compress.zlib://test.gz

❄️ compress.bzip2://

  • 作用:访问 .bz2 压缩流

示例:

  1. 创建 .bz2: tar -jcvf test.bz2 ./test.txt
  2. payload: compress.bzip2://test.bz2

☁️ 总结

SecMap - 非常用协议大礼包

最近本来在写 SSRF 的,快写完了,发现先写一下这些协议作为前置知识比较合适 SecMap - 非常用协议大礼包当然它们可以造成的安全问题不仅仅有 SSRF,还有文件包含等。从个人经验来看,这些协议还是在 CTF 中用的多一些,各大 CTF 中出现过非常多精彩的题目 SecMap - 非常用协议大礼包比如 hxpCTF 的一道通过 file_put_contents 来完成 SSRF:

https://rmb122.com/2020/12/30/hxp-CTF-resonator-Writeup-SSRF-via-file-put-contents/

最后多说一句,我感觉很多 CTF 题目可以用来做后门,应该很难检测出来吧...SecMap - 非常用协议大礼包



下一期是 SSRF
(日常拖更)

SecMap - 非常用协议大礼包

SecMap - 非常用协议大礼包



本文始发于微信公众号(橘子杀手):SecMap - 非常用协议大礼包

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年5月17日11:00:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   SecMap - 非常用协议大礼包https://cn-sec.com/archives/376137.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息