【ワンディングカップ2020玄武グループ】SSRFMe

序文

非常によく知られているSSRFトピック。最初のコード監査は、多くのSSRFチュートリアルで127.0.0.1フィルタリングをバイパスする例になりましたが、このトピックの背後にあるredisマスタースレーブレプリケーションは私にはわかりません。今日、マスターと私がこの質問について話し合ったので、ちなみにこの質問をして、redisマスタースレーブレプリケーションのSSRFについて学びました。

WP

1つ目は、おなじみのコード監査です。

<?php
function check_inner_ip($url)
{
    
    
    $match_result=preg_match('/^(http|https|gopher|dict)?:\/\/.*(\/)?.*$/',$url);
    if (!$match_result)
    {
    
    
        die('url fomat error');
    }
    try
    {
    
    
        $url_parse=parse_url($url);
    }
    catch(Exception $e)
    {
    
    
        die('url fomat error');
        return false;
    }
    $hostname=$url_parse['host'];
    $ip=gethostbyname($hostname);
    $int_ip=ip2long($ip);
    return ip2long('127.0.0.0')>>24 == $int_ip>>24 || ip2long('10.0.0.0')>>24 == $int_ip>>24 || ip2long('172.16.0.0')>>20 == $int_ip>>20 || ip2long('192.168.0.0')>>16 == $int_ip>>16;
}

function safe_request_url($url)
{
    
    

    if (check_inner_ip($url))
    {
    
    
        echo $url.' is inner ip';
    }
    else
    {
    
    
        $ch = curl_init();
        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        curl_setopt($ch, CURLOPT_HEADER, 0);
        $output = curl_exec($ch);
        $result_info = curl_getinfo($ch);
        if ($result_info['redirect_url'])
        {
    
    
            safe_request_url($result_info['redirect_url']);
        }
        curl_close($ch);
        var_dump($output);
    }

}
if(isset($_GET['url'])){
    
    
    $url = $_GET['url'];
    if(!empty($url)){
    
    
        safe_request_url($url);
    }
}
else{
    
    
    highlight_file(__FILE__);
}
// Please visit hint.php locally.
?>

SSRFでhint.phpにアクセスする方法を見つけてください。より簡単なのは、0.0.0.0を使用してバイパスするか、ホスト分析で得られた結果の差を使用してバイパスすることです。ここでは、0.0.0.0を使用してバイパスします。
次のステップはヒント、phpです：

<?php
if($_SERVER['REMOTE_ADDR']==="127.0.0.1"){
    
    
  highlight_file(__FILE__);
}
if(isset($_POST['file'])){
    
    
  file_put_contents($_POST['file'],"<?php echo 'redispass is root';exit();".$_POST['file']);
}

私の最初の反応は、exitをエスケープするためのfile_put_contentsの書き込みをテストすることでした。数日前にこれを再現したばかりです。いくつかの姿勢を手に持って数秒間考えましたが、呼び出せないことに気付きました。それは許可の問題であるはずです、ファイルを書く許可がありません。
ただし、redisパスワードを指定すると、redisである必要があります。この質問では、redisのマスタースレーブレプリケーションを調べます。
参考記事：Redis
マスタースレーブレプリケーションRedis
セキュリティスタディノートRedisでのSSRFの使用に関する
分析

具体的な操作は以下のとおりです。最初にこれら2つのプロジェクトをダウンロードし
ます
。RedisRogueサーバーredis-ssrf
は、主にredis-ssrfの2つのpyファイルとredis-rogueの.soファイルを使用します。.soファイルをredis-ssrfディレクトリにコピーします。
次に、魔法の変更を加えます。
lhostのVPSのIPとlportのポートを入力します。このポートは、rogue-server.pyで開いたポートと同じです。command実行するコマンドを入力します。

ここのIPを0.0.0.0に変更すると、

パスワードはrootになります。
次に、ssrf-redis.pyを実行してペイロードを生成します。次に、rogue-server.pyを開き、ssrf-redis.pyによって生成されたペイロードを使用して、一度urlエンコードしてからヒットします。