Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Wsparcie dla HackTricks

Funkcje SSRF PHP

Niektóre funkcje, takie jak file_get_contents(), fopen(), file(), md5_file() akceptują URL-e jako dane wejściowe, które będą śledzone, co może prowadzić do możliwości luk SSRF, jeśli użytkownik może kontrolować dane:

fopen("", "r");

Wordpress SSRF via DNS Rebinding

Jak wyjaśniono w tym poście na blogu, nawet funkcja Wordpress wp_safe_remote_get jest podatna na DNS rebinding, co czyni ją potencjalnie podatną na ataki SSRF. Główna walidacja, którą wywołuje, to wp_http_validate_url, która sprawdza, czy protokół to http:// lub https:// oraz czy port to jeden z 80, 443 lub 8080, ale jest podatna na DNS rebinding.

Inne podatne funkcje według posta to:

  • wp_safe_remote_request()

  • wp_safe_remote_post()

  • wp_safe_remote_head()

  • WP_REST_URL_Details_Controller::get_remote_url()

  • download_url()

  • wp_remote_fopen()

  • WP_oEmbed::discover()


Co więcej, w niektórych przypadkach może być nawet możliwe wysyłanie dowolnych nagłówków za pomocą "luk" CRLF w poprzednich funkcjach:

# The following will create a header called from with value Hi and
# an extra header "Injected: I HAVE IT"
ini_set("from", "Hi\r\nInjected: I HAVE IT");

GET / HTTP/1.1
From: Hi
Injected: I HAVE IT
Connection: close

# Any of the previously mentioned functions will send those headers

Aby uzyskać więcej informacji na temat tej podatności CRLF, sprawdź ten błąd

Zauważ, że te funkcje mogą mieć inne metody ustawiania dowolnych nagłówków w żądaniach, takie jak:

$url = "";

$options = array(
'header'=>"Accept-language: en\r\n" .
"Cookie: foo=bar\r\n" .  // check on
"User-Agent: Mozilla/5.0 (iPad; U; CPU OS 3_2 like Mac OS X; en-us) AppleWebKit/531.21.10 (KHTML, like Gecko) Version/4.0.4 Mobile/7B334b Safari/531.21.102011-10-16 20:23:10\r\n" // i.e. An iPad

$context = stream_context_create($options);
$file = file_get_contents($url, false, $context);

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Wsparcie HackTricks

Last updated