CTFHub-SSRF

最新推荐文章于 2023-10-17 15:53:12 发布
最新推荐文章于 2023-10-17 15:53:12 发布
阅读量334 收藏
点赞数
分类专栏: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a21536545645/article/details/118538657
版权

原理:

有可控参数,并且这个可控参数可以用来访问其他网络,服务。那么就可以用这个参数,以目标主机为跳板,访问内网的资源或者访问外网。

一,内网访问

审题很重要
在这里插入图片描述
只有一个链接
在这里插入图片描述根据提示访问127.0.0.1/flag.php就可以得到flag,但是用localhost就不行,应该是后台做了限制
在这里插入图片描述在这里插入图片描述
后台的代码应该类似这样:

<?php
   highlight_file(__FILE__);
   $url=$_GET['url'];
   $curl=curl_init($url); 
   $responseText=curl_exec($curl);
   var_dump(curl_error($curl) );
   echo $responseText;
   curl_close($curl);
?>

通过$_GET获取前端传过来的url的值,访问指定的url。当传入的url是内网ip时就会让攻击者访问到内网的其他主机,因为内网的主机处于一个网段,大多数相互信任。
修复:

  • 限制黑白名单url的范围,比如禁止访问内部网段,或者只允许访问特定主机
  • 对返回内容进行限制,只返回特定的内容

二,伪协议读取文件

在这里插入图片描述

相关伪协议
file://协议 用于访问本地文件系统,
php:// 协议访问各个输入/输出流,php://filter用于读取源码,php://input用于执行php代码。
在利用的时候file的格式为file:///,加三个杠是因为访问的是本地文件,所以host为空
file伪协议的详细
更多伪协议

错误姿势
在这里插入图片描述
正确姿势
在这里插入图片描述
根据提示是读取web目录下面的文件。就想着用file://伪协议读取,根据网上的资料file必须用文件的绝对路径+文件名,或者文件的相对路径加文件名
相对路径+文件名:不知道是不是因为目标是linux的原因。这样不行
在这里插入图片描述绝对路径+文件名:这样就行,但是如果目标是windows,那么绝对路径就比较难猜
在这里插入图片描述还有一种做法是用http协议,http://网络路径和文件名
在这里插入图片描述好家伙,居然不行了?刚才还行的。。。

后面知道出现漏洞的php怎么写了再尝试把靶场搭建在windows上面复现一下

三,端口扫描

没什么可说的,感觉代码应该和内网访问的代码差不多,只是在这个基础上利用工具发包,根据返回的包来判断端口的开放情况。

四,urlbypass

payload:http://challenge-80b40c7bb0f917cb.sandbox.ctfhub.com:10800/?url=http://notfound.ctfhub.com@127.0.0.1/flag.php
当访问www.baiud.com@127.0.0.1 时,会直接访问@后面的地址

五,数字ipbypass

在这里插入图片描述

  • localhost绕过
  • 8进制格式:0177.00.00.01
  • 16进制格式:0x7f.0x0.0x0.0x1
  • 10进制整数格式:2130706433
  • 在linux下,0代表127.0.0.1,http://0进行请求127.0.0.1

六,302跳转

综合 利用之前的知识,进去以后是个空白界面,可以利用file://协议读取本地的文件
在这里插入图片描述发现禁了127,172,10,等内网地址。其实可以用localhost绕过,因为目标是linux,也可以用http://0来表示本地地址绕过。不过题目提示302绕过,那我们就用302来做
先用短链接生成http://127.0.0.1/flag.php的短域名
在这里插入图片描述
然后把生成的短网址传给目标服务器,目标服务器访问短网址,然后被重定向,访问本地的flag.php文件
亲测这个短网址生成器有效

短网址302重定向原理:

  1. 解析 短网址指向的ip地址(也就是生成短网址的服务器ip)
  2. 生成短网址的服务器收到请求,拿到短链接的key去数据中查询这个key对应的原始链接
  3. 返回 302 跳转,告诉浏览器跳转到新的地址 在这里插入图片描述可以看到,访问my5353.com短网址,服务器返回重定向包

七,DNS重绑定 Bypass

同源策略的定义:如果两个 URL 的 协议、域名、端口都相同的话,则这两个 URL 是同源。在浏览器中,同一个域名下的网站只能调用本域名下的资源。

原理:

输入ulr—>浏览器向DNS服务器请求解析—>DNS服务器返回恶意服务器地址,并且设置TTL为0—>浏览器访问恶意服务器—>恶意服务器返回含有而已代码的html—>恶意代码让浏览器访问之前的url—>恶意DNS服务器返回目标内网ip地址—>浏览器执行恶意代码向目标内网发送恶意数据

其实就是控制DNS服务器,诱导目标点击构造的域名,第一次访问:根据DNS的返回,访问钓鱼网站(含有恶意的js),然后恶意js让浏览器第二次访问恶意DNS服务器,这时返回内网ip,然后浏览器带着恶意请求去访问内网。
关键就是控制一个DNS服务器,然后构造恶意的js代码让浏览器执行。
浅谈DNS重绑定漏洞
详解DNS重绑定攻击
DNS重定向生成
在这里插入图片描述在这里插入图片描述多试几次,因为是再两个ip之间随机选择

未完待续

HTSsec
关注
专栏目录
CTFHUB-SSRF-FastCGI协议
qq_62078839的博客
04-23 1971
Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp编写 第一种方式 exp import socket import random import argparse import sys from io import BytesIO # Referrer: https://github.com/wuyunfeng/Python-FastCGI-Client PY2 = True if sys.version_info.major == 2 el
CTFHUB-SSRF-Redis协议
qq_62078839的博客
04-23 2099
利用工具gopherus来生成payload 这里我们进行第二次url编码时,不需要再将%0a换为%0d%0a了,因为生成的payload已经替换了 gopher%3A//127.0.0.1%3A6379/_%252A1%250D%250A%25248%250D%250Aflushall%250D%250A%252A3%250D%250A%25243%250D%250Aset%250D%250A%25241%250D%250A1%250D%250A%252432%250D%250A%250...
flag就在flag.php,flag就在flag.php
weixin_35355431的博客
03-11 2471
Web1题目地址1.访问题目存在一个登录界面2.注册一个用户登录,然后会跳转到另一个界面,会给出一些提示3.访问flag.php,试试可不可以得到flag提示admin可以得到flag,然后跳转回登录界面,猜测这和Cookie是有关的4.抓包发现在Cookie里有username,而且每一个用户的username是不一样的,后面的值是base64加密之后的在登录成功跳转的那个页面还有一个修改密码的...
ctfhub SSRF ( skilltree
qq_66748496的博客
01-03 344
SSRF (Server-Side Request Forgery) 即服务端请求伪造,从字面意思上理解就是伪造一个服务端请求,也即是说攻击者伪造服务端的请求发起攻击,攻击者借由服务端为跳板来攻击目标系统。
[SWPUCTF 2018]SimplePHP phar漏洞及其文件上传
qq_54929891的博客
03-27 3300
在查看文件这个页面发现一个可疑参数file,试试能不能读取源代码 根据include包含来将各个文件源代码都提取出来,最重要的是class.php <?php class C1e4r { public $test; public $str; public function __destruct() { $this->test = $this->str; echo $this->test; } } ..
BUUCTF (11_22-11_26)
XINO
11-29 5798
[SWPUCTF 2018]SimplePHP 一开始我以为是普通的文件上传 在查看文件的页面发现url http://73fc19e0-7526-4a41-a882-0052e60436d1.node4.buuoj.cn:81/file.php?file= 因为源码里有提示 <!--flag is in f1ag.php--> 我们试试直接访问 但发现回显hacker! 看来是行不通的 那我们先看一下file.php源码 <?php header("content-type:tex
常用请求伪装头
偷一个月亮
08-31 1021
X-Forwarded-For:127.0.0.1 X-Forwarded:127.0.0.1 Forwarded-For:127.0.0.1 Forwarded:127.0.0.1 X-Forwarded-Host:127.0.0.1 X-remote-IP:127.0.0.1 X-remote-addr:127.0.0.1 True-Client-IP:127.0.0.1 X-Client-IP:127.0.0.1 Client-IP:127.0.0.1 X-Real-IP:127.0.0.1 Ali-
CTFhub-ssrf-POST请求
qq_51553814的博客
08-11 4044
CTFhub-ssrf-POST请求 解题 进入靶场,首先看到的是一片空白,没有任何返回,甚至看源码里面也没有任何东西 使用dirsearch扫描,扫出了一个文件/index.php 还有一个flag.php,我是在网上看WP才知道有这个文件,看了很多篇WP都没有说这个文件怎么来的,只是直接说发现了这个文件 现在先来看一看这两个文件吧 首先是flag.php文件,我们让url=127.0.0.1/flag.php,通过内网来访问就能直接访问到了,访问后是一个方框 再看源码发现,需要用post传输一个key
CTFHUB-SSRF-POST请求
qq_62078839的博客
04-23 1693
打开连接 尝试读取flag.php与index.php flag.php <?php error_reporting(0); if ($_SERVER["REMOTE_ADDR"] != "127.0.0.1") { echo "Just View From 127.0.0.1"; return; } $flag=getenv("CTFHUB"); $key = md5($flag); if (isset($_POST["key"]) && $_P...
CTFHUB-web-SSRF
ookami6497的博客
03-25 896
CTFHUB-web-ssrf
BUUCTF_Web_[GXYCTF2019]Ping Ping Ping
阿刁〇的博客
08-01 312
BUUCTF_Web_[GXYCTF2019]Ping Ping Ping 首先打开靶机 根据提示构造参数:http://8c638bd1-504a-40d4-81db-4ac92a9464f3.node4.buuoj.cn/?ip=127.0.0.1 尝试拼接命令读取flag:http://8c638bd1-504a-40d4-81db-4ac92a9464f3.node4.buuoj.cn/?ip=127.0.0.1;cat%20/flag 发现被过滤了,进行其他尝试 http://8c638b
SSRF学习 1
weixin_63231007的博客
05-20 882
1.什么是SSRF漏洞? SSRF(Server-Side Request Forgery ,服务端请求伪造) 是一种攻击者构造攻击链传给服务器,服务端执行并发起请求造成安全问题的漏洞,一般用来在外网探测或供给内网服务。 ...
CTFHub-Web-SSRF练习
Atkx's Blog
10-18 6719
这里写自定义目录标题内网访问伪协议读取文件端口扫描POST请求上传文件FastCGI协议 内网访问 题目描述:尝试访问位于127.0.0.1的flag.php吧 访问靶机地址,发现url后面多了/?url=_ 然后访问127.0.0.1/flag.php Payload: ?url=127.0.0.1/flag.php 伪协议读取文件 题目描述:尝试去读取一下Web目录下的flag.php吧 在SSRF中常用的伪协议是file:///协议,其在ssrf中可以用来读取php源码。 Payload
SSRF漏洞学习
qq_62078839的博客
04-23 2995
SSRF漏洞原理 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一个由攻击者构造请求,在目标服务端执行的一个安全漏洞。攻击者可以利用该漏洞使服务器端向攻击者构造的任意域发出请求,目标通常是从外网无法访问的内部系统。简而言之就是以服务器的身份来执行请求。 常见利用方式 伪协议读取文件 伪协议读取文件,在SSRF中常用的伪协议就是file:///协议 /?url=file:///var/www/html/flag.php 内网访问 我们从目标主机内
CTFHub靶场————SSRF
最新发布
qq_61579604的博客
10-17 145
用户访问一个特定的域名,然后这个域名原来是一个正常的ip。但是当域名持有者修改域名对应的ip后,用户再访问这个域名的时候,浏览器以为你一直访问的是一个域名,就会认为很安全。SSRF中有个很重要的一点是请求可能会跟随302跳转,尝试利用这个来绕过对IP的检测访问到位于127.0.0.1的flag.php。要求是请求的URL中必须包含http://notfound.ctfhub.com这里我第一时间想到的是绕过。DNS重绑定并没有违反同源策略,相当于是钻了同源策略,同域名同端口访问的空子了。
刷题之旅第34站,CTFshow web14
cc菜的一批
02-17 2361
感谢ctf show平台提供题目 提交命令,得到了php文件。 ?c=3 我们打开这个php文件看看,是个查询界面。 通过测试,我们发现 information_schema.columns,information_schema.tables均被过滤了,那么可能flag并不是在数据库中。 我们使用sql 的 load_file 命令,进行读文件。在前面我们看到了有个secret.php文件。...
ctfhub靶场练习——SSRF攻击
p36273的博客
07-01 624
靶场地址在:https://www.ctfhub.com/#/user/login使用工具:Burp Suite Professional抓包工具。
CTFhub--SSRF
qq_46874275的博客
05-17 994
~目录~开始内网访问伪协议读取文件端口扫描POST请求 开始 内网访问 提示:尝试访问位于127.0.0.1的flag.php吧 直接url=127.0.0.1/flag.php 伪协议读取文件 提示:尝试去读取一下Web目录下的flag.php吧 URL的伪协议有以下几种: file:/// dict:// sftp:// ldap:// tftp:// gopher:// 读取web目录下的flag.php,利用file:/// url=file:///var/www/html/flag.php
SSRF打穿内网
..
02-18 7423
前言 这里通过国光的靶场来对SSRF进行练习,看一下靶场的设计图 理清楚一下攻击流程,在172.72.23.21这个服务器的80端口存在SSRF漏洞,并且80端口映射到了公网的8080,攻击者可以在8080端口借助SSRF漏洞发起对172目标内网的探测和攻击。 xxx.xx.xx:8080 -判断存在SSRF 能够对外网发起请求的地方,就有可能存在SSRF。看一下这个站点的正常功能,是一个站点快照获取。 先试试访问一下外网,用www.baidu.com来试一下。 发现访问成.
CTFHUB SSRF文件上传
07-28
- *1* *2* *3* [CTFHub-SSRF---(Post请求/上传文件/FastCGI/Redis/URL/数字IP/302跳转/DNS重绑定 Bypass)](https://blog.csdn.net/qq_31710331/article/details/119765578)[target="_blank" data-report-click={"spm...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值