ctfshow ssrf篇

最新推荐文章于 2024-05-28 15:09:40 发布

XiLitter

最新推荐文章于 2024-05-28 15:09:40 发布

阅读量677

点赞数

分类专栏： # web 文章标签：大数据 web安全 php

本文链接：https://blog.csdn.net/m0_62422842/article/details/125697782

版权

web 专栏收录该内容

30 篇文章 0 订阅

订阅专栏

web351

刚开始做的时候思路错了，我还想着找到内网ip访问内网，内网Ip是找到了，也访问成功了，但是里面随机数判等不会绕，看了wp直接访问flag文件就行了，人麻了。

 <?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
?>

我们直接访问127.0.0.1/flag.php，让服务器替我们发出请求，curl_exec会传回读取的内容。所以payload为

http://127.0.0.1/flag.php

成功得出flag。

web352

上一个payload为啥能用，无法理解。

web353

多了一些限制，看代码：

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
if(!preg_match('/localhost|127\.0\.|\。/i', $url)){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{
    die('hacker');
}
}
else{
    die('hacker');
}

这里只能用http和https协议，然后过滤了localhost等环回地址的过滤。我们可以通过127.0.0.1进制转换来绕过。一个ip进制转换网站：IP地址进制转换

这里测试只能用十进制来绕过。还有绕过姿势：

127.1可被解析为127.0.0.1，为0可缺省
在linux中，0会被解析为127.0.0.1
127.0.0.0/8是一个环回地址网段，从127.0.0.1 ~ 127.255.255.254都表示localhost

这些都可以来绕过上述正则的限制。其中一个payload为

url=http://2130706433/flag.php

成功得出flag。

web354

这一题貌似需要自己的域名，通过302跳转来绕过。但是没有也没关系，这里直接用sodo.cc这个来访问flag就可以，这里看羽师傅的wp是用脚本找一些字符来代替。

for i in range(128,65537):    
    tmp=chr(i)    
    try:        
        res = tmp.encode('idna').decode('utf-8')        
        if("-") in res:            
            continue        
        print("U:{}    A:{}      ascii:{} ".format(tmp, res, i))    
    except:        
        pass

感觉好厉害。

web355

这道题限制了host的长度，但是没了上题那么变态的过滤了，所以还是好做的。

if($x['scheme']==='http'||$x['scheme']==='https'){
$host=$x['host'];
if((strlen($host)<=5)){

其中一个payload为http://127.1/flag.php，得出flag。

web356

同样限制了长度，这次小于等于3，同样好绕过。

if($x['scheme']==='http'||$x['scheme']==='https'){
$host=$x['host'];
if((strlen($host)<=3)){

payload为url=http://0/flag.php。

web357

这题的host部分限制不能为ip了。

if($x['scheme']==='http'||$x['scheme']==='https'){
$ip = gethostbyname($x['host']);
echo '</br>'.$ip.'</br>';
if(!filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE)) {
    die('ip!');
}

看wp是利用302跳转或者dns重绑定。自己没有服务器的可以在http://ceye.io/这个网站上注册一个账号，然后就会给你分配一个域名。

然后在这里添加127.0.0.1的ip。再用分配给你的域名去访问flag.php。基本格式为http://r.xxx/flag.php。注意一定要在前面加上r，添加ip的时候第一个随便写，第二个写127.0.0.1。多试几次，就能出flag了。

web358

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if(preg_match('/^http:\/\/ctf\..*show$/i',$url)){
    echo file_get_contents($url);
}

我们需要满足传入的url首部为http://ctf，尾部为show，可以用这样的骚姿势

这个问号也可以用#来替换，是将show作为了参数来处理。

所以payload为

http://ctf.@127.0.0.1/flag.php?show

web359（无密码的mysql）

打开题目是一个登录页面啊，我们随便输，登进去。登录到check.php，然后抓包看是有ssrf漏洞的。利用gopher协议去打无密码的mysql。对gopher协议相关利用：https://blog.csdn.net/qq_41107295/article/details/103026470

这里要用到工具Gopherus来生成payload进行rce了。通过这个工具来写一句话木马。

生成的payload再进行url编码一次。打进去访问1.php，执行命令成功，一句话应该写入成功。

再就命令执行就得到flag。

web360

又是一段代码：

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
?>

这次的flag并不在本地的flag文件中。题目提示我们打redis，同样用Gopherus工具来生成我们的payload。同样写一句话木马进去。