复现ssrf漏洞

目录

一、pikachu靶场

1、靶场环境：

使用docker拉取：

docker run -d -p 8765:80 8023/pikachu-expect:latest

2、使用dict

3、使用file读取文件

二、redis未授权访问

1、源码

2、使用bp探测端口

3、继续使用bp探测172.18.0.2的端口

4、使用gopherus写入

一、pikachu靶场

1、靶场环境：

使用docker拉取：

docker run -d -p 8765:80 8023/pikachu-expect:latest

如图所示：

2、使用dict

用 dict 协议的方式可以打开强行读取一些 mysql 服务的返回内容

但是当我们将端口号改变时发现没有返回内容

所以我们也可以用dict来探测内网端口，主要用来探测这几大服务

1、fistcgi   --发现后可以是用RCE

2、Redis  --未授权访问

如果你的Redis没有设置访问密码，以及安全模式关闭的情况下

1、用来写入webshell  --前提是知道物理路径

2、写入任务计划   --反弹shell可以将服务器权限反弹给攻击者

3、写入公钥   --意味着不需要账号密码直接登录服务器

3、使用file读取文件

二、redis未授权访问

1、源码

<?php
highlight_file(__file__);
function curl($url){  
   $ch = curl_init();
   curl_setopt($ch, CURLOPT_URL, $url);
   curl_setopt($ch, CURLOPT_HEADER, 0);
   echo curl_exec($ch);
   curl_close($ch);
}

if(isset($_GET['url'])){
   $url = $_GET['url'];

   if(preg_match('/file\:\/\/|dict\:\/\/|\.\.\/|127.0.0.1|localhost/is', $url,$match))
  {
       die('No, No, No!');
  }
   curl($url);
}
if(isset($_GET['info'])){
   phpinfo();
}
?>

相较于上面的靶场这个限制了file和dict，127.0.0.1和localhost同样限制

尝试使用dict探测端口显示No, No, No!

但是代码最后面写了一段，如果是info时就把这个打印出来

可以看到Hostname是172.18.0.3，可以得到现在docker下的ip为172.18.0.3

2、使用bp探测端口

发现只开放了80端口

因为Hostname是172.21.0.3，所以内网中不可能只有一台服务器，通过尝试发现172.18.0.2可能有web服务

3、继续使用bp探测172.18.0.2的端口

发现6379端口打开着

运行6379发现报错，说明这台内网主机上还运行着redis服务

通过bp扫描目录，发现有个upload目录，访问upload

4、使用gopherus写入

如下图：

gopherus --exploit redis

PHPShell

<?php system('cat /flag'); ?>

将生成的payload再次用url进行编码，然后发送过去，然后使用ssrf访问这个内网的upload/shell.php文件得到flag