一道简单的SSRF

已于 2022-05-15 12:01:16 修改
阅读量708 收藏 1
点赞数
文章标签: php 开发语言
于 2022-05-15 11:35:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56059226/article/details/124779524
版权

看到了一道简单的ssrf,由于说有非预期但是忘了这个知识点,所以还是记录一下

题目进去后就是一串代码

<?php
highlight_file(__FILE__);
//find something in flag1.php
$d = $_GET['d'];
$file = $_GET['ctf'];
if (filter_var($d, FILTER_VALIDATE_URL)) {
    $r = parse_url($d);
    if (isset($file)) {
        if (strpos($file, "lai") !==  false && strpos($file, "ya") !==  false) {
            @include($file . '.php');
        } else {

            die("Sorry, you can not pass");
        }

        if (preg_match('/labour$/', $r['host'])) {
            @$a = file_get_contents($d);
            echo ($a);
        } else {
            die("error");
        }
    } else {
        die("why?");
    }
} else {
    echo "Invalid URL";
}

整个代码一看就懂,也没什么好解释,首先就是绕过filter_var这个函数嘛

filter_var()函数是通过指定的过滤器过滤一个变量。而FILTER_VALIDATE_URL就是他指定的过滤器,这个意思就是判断他是否是符合url规范的变量,不符合就返回false

PHP trick(代码审计关注点) (seebug.org)

SSRF和XSS-filter_var(), preg_match() 和 parse_url()绕过学习 (shuzhiduo.com)

然后parse_url解析传入的url

这个也比较好绕过

最后就是限定了传入的另一个参数要有laiya,最后构造一下payload:

?d=0://labour/../../../../../etc/passwd&ctf=laiya 

 再解释一下这里为什么要用0或者其他不是协议的字符,这也是利用了file_get_contents的漏洞: file_get_contents() 这个函数本来是用于将整个文件的内容读入一个字符串中。但在遇到不认识的伪协议头时候会将伪协议头当做文件夹,造成目录穿越漏洞,这时候只需不断往上跳转目录即可读到根目录的文件。所以我们之前构造的 0://labour就相当于目录,我们构造的0:/就被PHP识别为了一个目录,然后把labour也当作了一层目录,相当于此时多了两层目录,又因为读取是从根目录开始的,而不是当前目录,所以我们需要使用.../穿越这多出来的两层目录,读取到根自录下的文件: 利用上面的Payload,实际在PHP后端我们读取的是 /0:/labour/ ../../flag.txt ,如果用http或者其他的话他就会当做协议去解析了

由于题目提示了 

flag路径,直接读就好了,没读出来,多穿越几次

再读

当然这肯定是预期解,非预期解的考点是伪协议的特性,利用点在include那里,伪协议中当遇到了不认识的协议键的时候会自动忽略掉,所以这里直接将上面要求的两个协议键拼接在一起即可,最后会拼进去php

?d=http://labour&ctf=php://filter/read=convert.base64-encode/laiya/resource=flag1

 laiya要放在encode后面才可以

后面的过程就是一样的了 

还有个地方,通过file_get_contents获取网页内容并返回到客户端有可能造成xss,由以上代码可以我们只要满足filter_var校验url的格式构造payload即可,利用data://即可,因为要从url中提取出host头部去正则匹配host字符串,因此可以在//与/之间构造labour,/后面则跟用来xss的payload,比如<script>alert(1)</script>的base64编码

payload 

?d=data://labour/plain;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==&ctf=laiya

参考文章

SSRF和XSS-filter_var(), preg_match() 和 parse_url()绕过学习 (shuzhiduo.com)

PHP trick(代码审计关注点) (seebug.org)

【SSRF】如何绕过filter_var(), preg_match() 和 parse_url() - 简书 (jianshu.com)

c1oud..
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
flag就在flag.php,flag就在flag.php
weixin_35355431的博客
03-11 2208
Web1题目地址1.访问题目存在一个登录界面2.注册一个用户登录,然后会跳转到另一个界面,会给出一些提示3.访问flag.php,试试可不可以得到flag提示admin可以得到flag,然后跳转回登录界面,猜测这和Cookie是有关的4.抓包发现在Cookie里有username,而且每一个用户的username是不一样的,后面的值是base64加密之后的在登录成功跳转的那个页面还有一个修改密码的...
fileinclude (攻防世界web)
qq_53099119的博客
10-01 1464
接下来构造payload,使用filter伪协议来读取flag.php的源码: payload: language=php://filter/convert.base64-encode/resource=/var/www/html/flag 注意,由于在源码分析中,对lan最后拼接了“.php”,因此在payload中flag后不用加。 执行后即可获得flag的base64编码。
CTFHUB技能树——SSRF(一)
最新发布
2401_82985722的博客
05-21 1267
大多是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制,导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据。(7)从URL关键字中寻找(share、wap、url、link、src、source、target、u、display、sourceURl、imageURL、domain)(1)可以对外网、内网、本地进行端口扫描,某些情况下端口的Banner会回显出来(比如3306的);(5)使用file:///协议读取本地文件(或其他协议)
1.30 刷题
Lumos427的博客
01-30 689
ctfshow web入门 命令执行 web37 //flag in flag.php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ include($c); echo $flag; } }else{ highlight_file(__FILE__); } 这里用了include文件包含,代码不能直接执行
CTFshow_命令执行
qq_45927819的博客
11-20 1253
文章目录web29 web29 error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 过滤了flag get方式传参: ?c=system(ls); 发现flag.php 直接查看就行: ?c=system('cat ')
ctf bugku 变量1
qq_35191331的博客
08-12 3545
flag In the variable !  error_reporting(0); // 关闭php错误显示 include "flag1.php"; // 引入flag1.php文件代码 highlight_file(__file__); if(isset($_GET['args'])){ // 通过get方式传递 args变量才能执行if里面的代码     $args
语言一道简单算法题
03-23
已知某个班有n(1)个学生,输入每行为学生姓名(最多20个字符)和其c语言成绩(0~100),请按照成绩从高到低排序后输出。若有相同的,不能改变其顺序。
一道简单习题的深度学习.pdf
08-18
一道简单习题的深度学习.pdf
一道闪电劈过CSS3动画特效特效代码
03-20
【标题】:“一道闪电劈过CSS3动画特效特效代码” 在网页设计中,CSS3(层叠样式表第三版)的引入为开发者提供了强大的动画效果工具,使得网页元素的动态表现更加丰富多彩。本主题聚焦于一种特殊的视觉效果——...
c语言一道简单的题
05-12
这是一个我在高中时自己编写的一个简单的程序,就是用c编写的
关于差分进化的一道简单例题_源码.zip
10-18
在这个名为"关于差分进化的一道简单例题_源码.rar"的压缩包中,很可能是提供了一个简单的差分进化算法实现,可能包含以下内容: - **源代码文件**:可能有C++, Python或其他编程语言编写的程序,用于实现差分进化...
连异常报错也能拿到flag
蚁景网安学院
10-15 729
原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客极客技术、信息安全热点安全研究分析等安全相关的技术文章稿件通过并发布还能收获200-800元不等的稿酬前言:...
PHP代码注入详解
Zeker62的博客
08-16 5036
PHP代码注入的原理和解析 PHP代码注入靠的是RCE,即远程代码执行。 指应用程序过滤不严,hacker可以将代码注入到服务器进行远程的执行。 危害和SSRF相似,通过这个漏洞可以操控服务器的动作。 最典型的就是一句话木马。 PHP代码漏洞注入的两个要素: 程序中含有可执行的PHP代码函数 传入第一点的参数,客户端可控,直接修改或者影响 下面将对PHP相关函数和语句以及注入方法进行解释 eval() eval()函数在很多语言中都有,比如Python、PHP。 eval函数的作用是将字符串作为PHP
ctfshow web入门 php特性
Sentiment的博客
04-11 5318
web89 intval() 函数用于获取变量的整数值,可preg_match过滤了数字,这里可以用数组绕过,因为preg_match无法处理数组 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if
浅谈ssrf漏洞
yggcwhat
12-13 3137
简介 SSRF(Server-Side Request Forgery)服务器端请求伪造, 是攻击者构造payload通过存在漏洞的服务器去攻击内网的其他主机或者服务器。正常都是通过外网打入内网的。 漏洞产生原理 其是有这漏洞,原理上还是在代码上,举个简单的例子: <?php if (isset($_POST['url'])) { $content = file_get_contents($_POST['url']); $filename ='./file/'; file_put_co
CTFHub之SSRF通关
m0_52923241的博客
03-30 339
内网访问 尝试访问位于127.0.0.1的flag.php吧 直接输入http://127.0.0.1/flag.php得到flag 伪协议读取文件 尝试去读取一下Web目录下的flag.php吧 利用本地文件读取协议读取到flag 输入file:///var/www/html/flag.php,看到显示??? 此时查看源代码,找到flag 端口扫描 来来来性感CTFHub在线扫端口,据说端口范围是8000-9000哦 这里提示端口范围是8000~9000,我们利用burpsuite爆破 先输入
php parse url ctf,一道CTF题目的探究
weixin_33907300的博客
04-14 1312
ByteCTF上遇到的一道Web题目,Boring_Code输出了代码:function is_valid_url($url) {if (filter_var($url, FILTER_VALIDATE_URL)) {if (preg_match('/data:\/\//i', $url)) {return false;}return true;}return false;}if (isset($...
CTFHub-SSRF部分(已完结)
热门推荐
feng的博客
09-14 1万+
内网访问 根据题目意思,让我们如访问内网的flag.php,因此抓包进行访问,即可得到flag: 伪协议读取文件 根据题目的意思我们需要使用URL的伪协议去读取文件,那么我们首先要了解URL的伪协议。 URL伪协议有如下这些: file:/// dict:// sftp:// ldap:// tftp:// gopher:// 具体的用法请参考SSRF中URL的伪协议 这里我们使用file伪协议从文件系统中读取文件,我们直接抓包读取: 这里其实有点考常识了,因为网站的目录一般都在/var/ww
CTFHUB技能树-SSRF【持续更新】
qq_33295410的博客
09-16 7016
CTFHUB SSRF POST请求首先开始解题构造gopher数据构造获取flag的请求 POST请求 最近ctfhub新添加了一些题目,看到有ssrf的题目便去试了一下,前面几个都比较简单就暂时先不写,post 请求那个折腾了几天终于弄懂了,把过程记录下。 首先 我们看下题目描述,这个肯定是不能错过的。 描述:这次是发一个HTTP POST请求.对了.ssrf是用php的curl实现的.并且会跟踪302跳转.我准备了一个302.php,可能对你有用哦 开始解题 我们打开题目,发现了flag.php 3
给我出一道简单的Java算法题
04-12
好的,以下是一道简单的Java算法题: 给定一个整型数组,写一个方法来判断数组中是否存在数字 7,如果数组中存在数字 7,则返回 true,否则返回 false。 你可以用以下的 Java 代码来实现这个算法: public static...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值