pikachu-SSRF

最新推荐文章于 2023-06-10 22:59:08 发布
最新推荐文章于 2023-06-10 22:59:08 发布
阅读量102 收藏
点赞数
分类专栏: pikachu 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/koala_king/article/details/128846979
版权

第一题 SSRF-curl

1首先当我们点击该连接时,观察url位置,会发现http协议,此时可能存在漏洞。
在这里插入图片描述

2输入http://www.baidu.com进行验证,发现可以成功访问
在这里插入图片描述3·尝试读取本地d盘的文件
在这里插入图片描述在这里插入图片描述4·此时可以输入端口进行探测
4.1输入3306 端口,返回信息,说明端口开了
在这里插入图片描述4·2输入8080端口 发现尝试连接了一会并没有返回信息,说明端口没有开
在这里插入图片描述

第二题 SSRF-file_get_content()

1·根据关卡名字,可以看到会利用file_get_content函数,上面概述中有介绍这个函数的作用是把整个文件读入一个字符串中,这篇文章有介绍这个函数和curl的区别:https://www.jianshu.com/p/39acc2d9ab4a
发现这里的参数变成了file后面接的只依旧是http请求文件地址。
在这里插入图片描述2·file_get_content 可以对本地和远程的文件进行读取
在这里插入图片描述

koala_king
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pikachu通关教程(url重定向&SSRF)
Bu2n的博客
12-15 2069
不安全的url跳转SSRFSSRF(curl)SSRF(fgc) 不安全的url跳转 源码 $PIKA_ROOT_DIR = "../../"; include_once $PIKA_ROOT_DIR.'header.php'; $html=""; if(isset($_GET['url']) && $_GET['url'] != null){ $url = $_GET['url']; if($url == 'i'){ $html.="<p>.
pikachu的ssrf靶场配置文件更改路径
m0_71871525的博客
04-03 243
找到 pikachu/vul/ssrf 时修改ssrf_curl.php 和 ssrf_fgc.php文件,去掉'.$RD.'重启服务器,pikachu的ssrf靶场成功。ssrf_fgc.php一样的步骤。去掉'.$RD.'前。去掉'.$RD.'后。
pikachu--SSRF
firecjh的博客
06-10 299
制造恶意的payload去获取后台的PHP源码并将结果转换为base64。所以我们一般对其进行编码,阻止其不执行。从而导致任意文件读取。若没有数据返回或者返回时间延迟较大,就说明3308端口没有开放。SSRF(file_get_content)进入测试页面。发现返回数据库的版本信息,就说明开启了3306端口。)读取本地文件(换成自己电脑的本地文件)读取远程文件(换成自己电脑的远程文件)SSRF(curl)进入测试页面。伪协议文件包含读取源代码,加上。代码执行,看不到源代码内容。编码输出,不然会直接当做。
Pikachu之CSRF
weixin_44940180的博客
07-05 5614
CSRF漏洞概述 Cross-site request forgery简称为“CSRF”,跨站请求伪造 在CSRF的攻击场景中攻击者会伪造一个请求 (这个请求一般是一个链接) 然后欺骗目标用户进行攻击,用户一旦点击了这个请求 整个攻击也就完成了 所以CSRF攻击也被称为“one click”攻击 为什么会出现CSRF漏洞 一方面,用户安全意识不足,访问不知名的url 另一方面,web没有做到准确的合法用户验证 CSRF与XSS的区别: CSRF攻击者并没有拿到用户的权限,是借用户的权限完成攻击;而XSS可以
pikachu-master.zip
06-25
"Pikachu-master.zip"这个压缩包文件,无疑为我们提供了一个宝贵的网络安全学习资源——Pikachu靶场。靶场,是网络安全领域中的一个重要概念,它模拟真实网络环境,让学习者在可控的环境中实践和测试各种安全攻防...
pikachu-master
05-04
将下载的pikachu-master压缩包解压到指定目录,如`/opt`: ``` sudo tar -zxvf pikachu-master.tar.gz -C /opt ``` 进入解压后的目录: ``` cd /opt/pikachu-master ``` 5. 配置Pikachu 使用文本编辑器...
pikachu-master靶场
07-14
"pikachu-master靶场" 是一个专门为网络安全学习和实践设计的平台,它通常包含了一系列的挑战,旨在帮助用户提升其在黑客攻防、漏洞挖掘、安全防护等领域的技能。这个压缩包文件“pikachu-master”很可能包含了该...
pikachu-interpreter:神秘的编程语言“皮卡丘”的解释器
05-09
可以在找到名为“ pikachu”的深奥编程语言的定义安装$ git clone https://github.com/joelsmithjohnson/pikachu-interpreter$ cd pikachu-interpreter$ python setup.py install用法从命令行。 导航到您的Pikachu...
pikachu-xss.txt
06-10
pikachu-xss
Pikachu-Volleyball
05-02
皮卡丘排球 皮卡丘排球是一款经典的日本多人游戏,大约在十多年前,当时世界上仍在使用软盘存储游戏并四处走动。 它是一个.exe,可悲的是仅在Window OS上可用。 ... 皮卡丘可以自由跳跃,跳跃,四处移动。...
draw-pikachu-on-the-web
03-20
在“draw-pikachu-on-the-web”项目中,我们主要关注的是如何利用JavaScript技术在Web浏览器上绘制宝可梦皮卡丘。JavaScript是一种广泛用于网页交互的编程语言,它允许开发者实现动态效果、用户交互以及复杂的图形...
Hello Pikachu-crx插件
04-05
观看pikachu在网页上运行! 每个人最喜欢的口袋妖怪在不时运行Chrome浏览器时都会通过运行。 他没有一直出来,所以要耐心! 您可以调整Pikachu出现的频率,并将其速度设置为快速或缓慢。 请注意,在安装扩展后,...
Juego_Pikachu-master.rar
10-09
"Juego_Pikachu-master"这个项目,显然是一个与皮卡丘相关的游戏源码库,可能是由Python、Unity或其他游戏引擎构建的。下面我们将深入探讨这个项目中的关键知识点。 首先,"Juego"在西班牙语中意为"游戏",表明这是...
pikachu-volleyball:通过对原始游戏进行逆向工程将Pikachu排球实现为JavaScript
04-14
皮卡丘排球 ✓英语| 皮卡丘排球(対戦ぴかちゅ〜ビ ー チ バ レ ー编)是由“(C)SACHI SOFT / SAWAYAKAN Programmers”和“(C)Satoshi Takenouchi”在1997年开发的一种旧版Windows游戏。...
pikachu-volleyball-p2p-online:通过WebRTC数据通道在线进行Pikachu排球对等
02-04
皮卡丘排球P2P在线✓英语| 皮卡丘排球(対戦ぴかちゅ〜ビ ー チ バ レ ー编)是由“(C)SACHI SOFT / SAWAYAKAN Programmers”和“(C)Satoshi Takenouchi”在1997年开发的一种旧版Windows游戏。...
PIKACHU-OP-OP:\(ϋ)♩
05-20
Julia-电报机器人项目 :star: 感谢所有为该项目加注星标的人,这意义非凡!这是对使用此免费软件并维护该存储库中自己的fork / imports的每个人的要求,以严格遵守与此存储库关联的LICENSE! 如果您正在使用导入,则...
pikachu-everywhere:本教程中的Chrome扩展程序存储库
05-22
皮卡丘无处不在这是扩展的代码。安装扩展克隆或下载此存储库。 在chrome浏览器中通过chrome:// extensions启用开发者模式。 单击“加载解压缩”,然后指向扩展名的根目录。学分大小以调整图标大小皮卡丘图像
Pikachu-OPZ:“嘿,:waving_hand:,我是皮卡丘„ PTB Group management bot,具有一些额外功能
04-10
:nazar_amulet: Pικαϲнυ( :India: )基于Python Telegram Bot @DaisyXBot的旧版本 2个分支可用。 这是主要的分支。 适用于所有功能的高级开关 新版本可在Telegram上以 :nazar_amulet: Pικαϲнυ( :...
pikachu中ssrf
最新发布
09-14
pikachu中的SSRF(Server-Side Request Forgery)漏洞可以通过不受信任的用户输入来构造恶意请求,并导致服务器对外部资源的未授权访问。 在pikachu中,SSRF漏洞主要表现为通过构造URL或使用file_get_contents函数...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值