Curl 漏洞

背景

SSRF 一般用来探测内网服务，但由于应用层使用的 Request 服务（curl/filegetcontents）一般不只是支持 HTTP/HTTPS，导致可以深层次利用。

漏洞代码

function curl($url){  
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_HEADER, 0);
    $re = curl_exec($ch);
    curl_close($ch);
    return $re;
}
$url = $_GET['url'];
echo curl($url);

利用方式

dict （操作 Redis）
file （任意文件读取）
ftp、ftps （FTP **）
tftp（UDP 协议扩展）
gopher （操作 Redis、Memcached）
imap/imaps/pop3/pop3s/smtp/smtps（**邮件用户名密码）
rtsp
smb/smbs （连接 SMB）
telnet - 连接 SSH/Telnet
http、https - 内网服务探测
- 网络服务探测
- ShellShock 命令执行
- JBOSS 远程 Invoker war 命令执行
- Java 调试接口命令执行
- axis2-admin 部署 Server 命令执行
- Jenkins Scripts 接口命令执行
- Confluence SSRF
- Struts2 一堆命令执行
- counchdb WEB API 远程命令执行
- mongodb SSRF
- docker API 远程命令执行
- php_fpm/fastcgi 命令执行
- tomcat 命令执行
- Elasticsearch 引擎 Groovy 脚本命令执行
- WebDav PUT 上传任意文件
- WebSphere Admin 可部署 war 间接命令执行
- Apache Hadoop 远程命令执行
- zentoPMS 远程命令执行
- HFS 远程命令执行
- glassfish 任意文件读取和 war 文件部署间接命令执行