利用discuzz ssrf漏洞探測內網端口

【Crossday Discuz! Board（簡稱 Discuz!）是北京康盛新創科技有限責任公司推出的一套通用的社區論壇軟件系統。自2001年6月面世以來，Discuz!已擁有15年以上的應用歷史和200多萬網站用戶案例，是全球成熟度最高、覆蓋率最大的論壇軟件系統之一。】

但正是這麼一個有名的系統確漏洞不斷

其實說到SSRF漏洞，對於咱們同行來講並陌生，但真正將這個漏洞搞得風聲水起的人我想只能是當年的烏雲平臺的著名白帽子豬豬俠，雖然烏雲已經煙消雲散了，不過對於互聯網安全行業來講那是一個時代，，，，

再扯扯遠了，言歸正傳

今天搭檔丟了個discuz ssrf的漏洞到羣裏，說沒明白漏洞到底在哪兒?因而我拿來看了一下，發現這個就是discuz ssrf通用漏洞，在當年的烏雲平臺早已有人提交過，漏洞存在於一個遠程圖片下載的接口，沒有對url進行有效的合法性檢測。

漏洞的uri是:/forum.php?mod=ajax&action=downremoteimg&message=

因而我從網上下載了一個discuz3.2版本的打開了項目進行分析

打開了forum.php看到去調用source/moudle/forum/forum_ajax.php了，因而在跟進到forum_ajax.php

action和message都是在這裏面,並且message的接收格式仍是有固定的格式，得[img]這種大頭[/img]結尾，知道了這個就明白了怎麼傳值給message了,繼續看

一直追到後面發現使用php的curl將http發出了

 

 看下來其實並無對header裏的東西進行嚴密的過濾

 

接下來開始利用漏洞

大體說一下利用思路，首先咱們得有一個目標站，其次我要架設一箇中間站，中間站用於作301跳轉，最後在本地發起攻擊/探測

先鎖定目標站，這兒我就用鍾馗之眼挑一個吧

http://www.us-asac.org/  就這個了，打開網站頁面以下:

呵呵，美國州政府駐華協會，好吧，那就來探測一下他們的內網端口開放狀況吧

如今目標站有了，就是這個美國政府駐華協會了，還須要一箇中間站，中間站我事先已經準備好了，地址是http://139.196.193.251/，我已經亮出了個人中間站，裏頭我寫了一個跳轉的php文件，文件會接收4個參數;分別是協議名稱,主機ip,端口和數據，這四個參數的值會從我本地一下子發起探測的請求中獲取，說到我本地發起請求探測，我有一個python poc。

下面截圖就是個人python poc立刻要用到

 

下面準備好了就開始吧

從本地發起手工探測看看目標站美國州政府駐華協會是否是存在discuz ssrf漏洞

頁面沒有報錯變成了一片空白，應該是請求成功了，若是中間站http://139.196.193.251/上的日誌有請求記錄，而且顯示請求源是美國州政府駐華協會的網站發起的請求而不是我本地發起的請求那麼就表示該網站存在discuz ssrf漏洞

咱們登陸到中間站查看一下日誌，日誌顯示的請求源ip是106.187.42.44 ，以下圖:

把美國州政府駐華協會網站域名解析出對應的ip看看是否是這個ip，以下圖，能夠看到正是這個ip，說明discuz ssrf漏洞存在

 

接下來咱們開始探測他的內網端口，以下圖，用到了個人python poc批量自動探測，這裏只探測到一個8089端口一閃而過，應該目標站作了協議或者防探測的限制，那樣須要手工去檢測，手工檢測太慢，因此仍是用工具吧

我繼續在鍾馗之眼翻，翻着翻着看到了xxx論壇官網，看看家鄉的站點吧，手工檢測了一下存在discuz ssrf漏洞

探測內網端口以前先從外網用nmap看看xxx論壇開放了哪些端口，以下圖，一掃發現，沒有開啓任何端口，顯示host seems down，意思是主機大概掛了，服務器關閉了，真的嗎？這確定不是真的，由於用瀏覽器還能訪問呢，說明xxx論壇是作了比較好的放掃安全策略，例如防火牆之類的東西，這樣的東西把咱們的掃描給阻擋了。

 

可是。。。。可是。。。。可是可是，別忘了它網站自己存在ssrf漏洞，因此咱們利用該漏洞實際上能夠穿越他的防火牆，探測到他實際開發了哪些端口

看着，繼續使用python poc批量探測它開放了哪些端口

 

 

看到了嗎？繞過防火牆了

開放了80端口 ->他的網站對外開放的端口

開放了3389端口->這是windows遠程管理端口

開放了5000端口->這貌似是windows下某個協同辦公的東西

開放了5280端口->這個未知，知道的還請給我留言

開放了5432端口->同上，未知

開放了5500端口->未知

開放了5900端口->這是vnc遠程鏈接端口

ssrf不可怕，可怕的是你的主機環境，例如linux系統若是主機上安裝了redis服務那麼就有機會反彈shell控制主機

其它的ssrf利用招式有不少，例如查看目標系統的敏感文件，甚至是暴力破解目標系統內外服務從而滲透內外。