CTFHub-SSRF

最新推荐文章于 2022-06-10 16:22:59 发布
最新推荐文章于 2022-06-10 16:22:59 发布
阅读量289 收藏
点赞数
分类专栏: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a21536545645/article/details/118538657
版权

原理:

有可控参数,并且这个可控参数可以用来访问其他网络,服务。那么就可以用这个参数,以目标主机为跳板,访问内网的资源或者访问外网。

一,内网访问

审题很重要
在这里插入图片描述
只有一个链接
在这里插入图片描述根据提示访问127.0.0.1/flag.php就可以得到flag,但是用localhost就不行,应该是后台做了限制
在这里插入图片描述在这里插入图片描述
后台的代码应该类似这样:

<?php
   highlight_file(__FILE__);
   $url=$_GET['url'];
   $curl=curl_init($url); 
   $responseText=curl_exec($curl);
   var_dump(curl_error($curl) );
   echo $responseText;
   curl_close($curl);
?>

通过$_GET获取前端传过来的url的值,访问指定的url。当传入的url是内网ip时就会让攻击者访问到内网的其他主机,因为内网的主机处于一个网段,大多数相互信任。
修复:

  • 限制黑白名单url的范围,比如禁止访问内部网段,或者只允许访问特定主机
  • 对返回内容进行限制,只返回特定的内容

二,伪协议读取文件

在这里插入图片描述

相关伪协议
file://协议 用于访问本地文件系统,
php:// 协议访问各个输入/输出流,php://filter用于读取源码,php://input用于执行php代码。
在利用的时候file的格式为file:///,加三个杠是因为访问的是本地文件,所以host为空
file伪协议的详细
更多伪协议

错误姿势
在这里插入图片描述
正确姿势
在这里插入图片描述
根据提示是读取web目录下面的文件。就想着用file://伪协议读取,根据网上的资料file必须用文件的绝对路径+文件名,或者文件的相对路径加文件名
相对路径+文件名:不知道是不是因为目标是linux的原因。这样不行
在这里插入图片描述绝对路径+文件名:这样就行,但是如果目标是windows,那么绝对路径就比较难猜
在这里插入图片描述还有一种做法是用http协议,http://网络路径和文件名
在这里插入图片描述好家伙,居然不行了?刚才还行的。。。

后面知道出现漏洞的php怎么写了再尝试把靶场搭建在windows上面复现一下

三,端口扫描

没什么可说的,感觉代码应该和内网访问的代码差不多,只是在这个基础上利用工具发包,根据返回的包来判断端口的开放情况。

四,urlbypass

payload:http://challenge-80b40c7bb0f917cb.sandbox.ctfhub.com:10800/?url=http://notfound.ctfhub.com@127.0.0.1/flag.php
当访问www.baiud.com@127.0.0.1 时,会直接访问@后面的地址

五,数字ipbypass

在这里插入图片描述

  • localhost绕过
  • 8进制格式:0177.00.00.01
  • 16进制格式:0x7f.0x0.0x0.0x1
  • 10进制整数格式:2130706433
  • 在linux下,0代表127.0.0.1,http://0进行请求127.0.0.1

六,302跳转

综合 利用之前的知识,进去以后是个空白界面,可以利用file://协议读取本地的文件
在这里插入图片描述发现禁了127,172,10,等内网地址。其实可以用localhost绕过,因为目标是linux,也可以用http://0来表示本地地址绕过。不过题目提示302绕过,那我们就用302来做
先用短链接生成http://127.0.0.1/flag.php的短域名
在这里插入图片描述
然后把生成的短网址传给目标服务器,目标服务器访问短网址,然后被重定向,访问本地的flag.php文件
亲测这个短网址生成器有效

短网址302重定向原理:

  1. 解析 短网址指向的ip地址(也就是生成短网址的服务器ip)
  2. 生成短网址的服务器收到请求,拿到短链接的key去数据中查询这个key对应的原始链接
  3. 返回 302 跳转,告诉浏览器跳转到新的地址 在这里插入图片描述可以看到,访问my5353.com短网址,服务器返回重定向包

七,DNS重绑定 Bypass

同源策略的定义:如果两个 URL 的 协议、域名、端口都相同的话,则这两个 URL 是同源。在浏览器中,同一个域名下的网站只能调用本域名下的资源。

原理:

输入ulr—>浏览器向DNS服务器请求解析—>DNS服务器返回恶意服务器地址,并且设置TTL为0—>浏览器访问恶意服务器—>恶意服务器返回含有而已代码的html—>恶意代码让浏览器访问之前的url—>恶意DNS服务器返回目标内网ip地址—>浏览器执行恶意代码向目标内网发送恶意数据

其实就是控制DNS服务器,诱导目标点击构造的域名,第一次访问:根据DNS的返回,访问钓鱼网站(含有恶意的js),然后恶意js让浏览器第二次访问恶意DNS服务器,这时返回内网ip,然后浏览器带着恶意请求去访问内网。
关键就是控制一个DNS服务器,然后构造恶意的js代码让浏览器执行。
浅谈DNS重绑定漏洞
详解DNS重绑定攻击
DNS重定向生成
在这里插入图片描述在这里插入图片描述多试几次,因为是再两个ip之间随机选择

未完待续

HTSsec
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
uptime-checks-ssrf
04-06
这是视频,介绍在那里发现的31,000美元盲SSRF的理论:该实验室只是一个模拟,它使您可以尝试使用视频中介绍的盲目数据泄露的先进技术来尝试编写利用程序的技能。 有一个公开的服务可以模拟GCP控制台的“正常运行...
CTFHub-SSRF(全部)
1stPeak's Blog
08-01 2410
文章目录内网访问伪协议读取文件端口扫描POST请求 内网访问 解题步骤 伪协议读取文件 解题步骤 端口扫描 提示: 根据提示对目标端口进行爆破 注:使用字典也可以,用for循环写一个字典出来,还有就是爆破时线程不能太高,太高容易失败,无法爆出来 POST请求 注:中途靶机重启过一次,网址有些改变,不要在意,看payload即可 解题步骤 根据网上的一些内容,他共有3个php文件,分别是flag.php、302.php、index.php http://challenge-d01e92
ctfhub -SSRF
weixin_55702959的博客
02-09 399
内网访问 SSRF(Server-Side Request Forgery:服务请求伪造)是一种由攻击者构造,从而让服务端发起请求的一种安全漏洞,它将一个可以发起网络请求的服务当作跳板来攻击其他服务,SSRF的攻击目标一般是内网。 ?url=127.0.0.1/flag.php 抓包 伪协议读取文件 https://blog.csdn.net/qq_39431542/article/details/89483887 php伪协议: File:// 访问本地文件系统 http:// 访问 H
CTFHUB-SSRF-FastCGI协议
qq_62078839的博客
04-23 1784
Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp编写 第一种方式 exp import socket import random import argparse import sys from io import BytesIO # Referrer: https://github.com/wuyunfeng/Python-FastCGI-Client PY2 = True if sys.version_info.major == 2 el
CTFHub-SSRF部分(已完结)
热门推荐
feng的博客
09-14 1万+
内网访问 根据题目意思,让我们如访问内网的flag.php,因此抓包进行访问,即可得到flag: 伪协议读取文件 根据题目的意思我们需要使用URL的伪协议去读取文件,那么我们首先要了解URL的伪协议。 URL伪协议有如下这些: file:/// dict:// sftp:// ldap:// tftp:// gopher:// 具体的用法请参考SSRF中URL的伪协议 这里我们使用file伪协议从文件系统中读取文件,我们直接抓包读取: 这里其实有点考常识了,因为网站的目录一般都在/var/ww
ctfhub--ssrf
qq_44418229的博客
06-10 919
ctfhub----ssrf笔记
开发技术-硬件-SSRF前端挡光元件设计中的若干力学问.zip
04-09
开发技术-硬件
开发技术-硬件-SSRF前端挡光元件设计中的若干力学问题研究.zip
04-09
开发技术-硬件
mars-ssrf:SSRFDedektörü
03-04
火星 SSRFDedektörü
exchange-ssrf-rce:交换服务
03-15
用法 python3 .\exchange-exp.py 使用方式: python PoC.py <target> ...[*] Getting ComputerName and DomainName [+] domain : xxx-xxxx | [+] computer : xxx.xxx-xxxx.xxx | [*] Getting LegacyDN ...
文件上传之00截断分析
a21536545645的博客
08-12 3594
原理 php是基础c语言实现的,C语言中认为0x00是结束符号,文件上传之所以可以00截断,是因为白名单判断的时候是判断后缀,在进行路径拼接的时候用的其他值,然后在进行move_uploaded_file的时候,这个函数读取到hex值为00的字符,认为读取结束,出现00截断 例如上传图片1.png,filename为1.png,save_path为…/upload/1.php%00 我们看在代码层面会发生什么 1,取后缀名: $file_ext=png 后缀名在白名单中,符合 2,拼接上传
常见编码方式
a21536545645的博客
07-05 818
在学习渗透的时候遇到很多不同的编码,把我搞的晕乎乎的,准备总结一下常见的一些编码方式,加深自己的理解。 一, URL编码 1.背景 引起歧义:url对于表单的参数是以键值对的形式例如key1=value1,对于多个键值对之间用&连接,例如/?key1=value1&key2=value2.如果在键值对中有这些字符的话就会引起歧义 非法字符:因为url采用ascll编码,对于非数字和字母的字符,例如汉字,就会出问题 。总之不是ascll的字符就要进行编码 在提交url参数的时候进行编码 2
CTFHub-bypass disable_function
a21536545645的博客
07-10 773
一,LD_PRELOAD 前置知识: putenv:php函数,可以设置环境变量 mail(),error_log(): php的函数,会调用系统的sendmail函数发送邮件 LD_PRELOAD:linux环境变量,作用是他设置的.so会在程序本身的.so之前执行。 题目情况 存在一个shell,用蚂剑直接连接。进入虚拟终端执行命令发现ret=127,说明不能执行系统命令 /?ant=phpinfo();看到禁用了很多函数 但是没有禁用putenv,error_log,email这几个函数 思路 创建
Redis中利用SSRF写webshell
a21536545645的博客
07-06 338
前置知识: curl详解 gopher详解 redis详解 利用过程: 用redis语法写shell 用工具或者脚本把shell转化为符合RESP协议的格式 在目标主机上curl gopher 运行编码后的shell 菜刀蚂剑连接shell 具体参考这篇文章 注意: shell中目标的端口应该是6379(redis的端口) 复现的时候注意关闭防火墙,并且打开6379端口 当出现拒绝访问的时候:ip不对;端口问题;防火墙 在ubuntu中打payload提示目录不在,百度一下有说是因为安装账号对这个目
基础漏洞—RCE
a21536545645的博客
07-09 279
一,漏洞原理 代码执行:在php中的表现是exec()等函数把用户输入的数据不严格过滤就当作了代码来执行 命令执行:php中就是shell_exec等函数把用户输入的数据当作命令执行 本质:其实就是把用户输入的数据,在不进行严格过滤的情况下,当成了命令或者代码来执行。 二,危险函数 system() passthru() exec() shell_exec() popen() proc_open() pcntl_exec() 修复方案 php.ini的disable_functions中禁用相关危险
CTFHub-RCE
a21536545645的博客
07-05 187
一,介绍 RCE是远程代码/命令执行,可以直接在目标主机上执行代码或者命令,危害极大。一般是因为对输入的过滤不严格导致,常见于有调用系统命令或者调用代码执行函数的地方。 二,命令注入 后台直接执行系统命,一般要结合linux,windows的管道对要执行的命令进行拼接。 过滤的话大致分为两种情况:白名单,黑名单 黑名单是过滤到一些常用的参数,如果过滤的不全面可以考虑用其他相同功能的函数代替;如果黑名单比较全面,那就要考虑用编码的方式尝试绕过。 白名单是限制参数的使用范围,写死了的话应该常规的办法就没有用了
白帽子讲安全阅读笔记
a21536545645的博客
07-10 147
PHP安全 一,文件包含 原理:实际就是代码注入,对用户的输入过滤的不够严格,过分相信。 PHP包含函数: incllude(),include_once(),require(),require_once()。这几个函数把包含进来的文件的内容当作php代码来执行,不管后缀名 本地包含:被包含的文件在目标服务器上 远程包含:被包含的文件在其他主机上 本地包含的利用技巧: 包含本地文件* 包含data:和php;//等伪协议 包含日志,access_log(请求信息)和error_log(出错请求) 包含s
android手机应用源码Imsdroid语音视频通话源码.rar
最新发布
05-20
android手机应用源码Imsdroid语音视频通话源码.rar
CTFHUB SSRF文件上传
07-28
- *1* *2* *3* [CTFHub-SSRF---(Post请求/上传文件/FastCGI/Redis/URL/数字IP/302跳转/DNS重绑定 Bypass)](https://blog.csdn.net/qq_31710331/article/details/119765578)[target="_blank" data-report-click={"spm...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值