2021-08-06网鼎杯ssrfme的绕过地址waf运用ssrf-redis-主从复制写shell题解

最新推荐文章于 2024-04-04 13:26:06 发布
最新推荐文章于 2024-04-04 13:26:06 发布
阅读量504 收藏 2
点赞数 1
分类专栏: CTF 文章标签: 网络
原文链接:https://blog.csdn.net/qq_43756333/article/details/107536521
版权

平台:buuoj.cn

直接给出源码

<?php
function check_inner_ip($url)
{
    $match_result=preg_match('/^(http|https|gopher|dict)?:\/\/.*(\/)?.*$/',$url);
    if (!$match_result)
    {
        die('url fomat error');
    }
    try
    {
        $url_parse=parse_url($url);
    }
    catch(Exception $e)
    {
        die('url fomat error');
        return false;
    }
    $hostname=$url_parse['host'];
    $ip=gethostbyname($hostname);
    $int_ip=ip2long($ip);
    return ip2long('127.0.0.0')>>24 == $int_ip>>24 || ip2long('10.0.0.0')>>24 == $int_ip>>24 || ip2long('172.16.0.0')>>20 == $int_ip>>20 || ip2long('192.168.0.0')>>16 == $int_ip>>16;
}

function safe_request_url($url)
{ 

<span class="token keyword">if</span> <span class="token punctuation">(</span><span class="token function">check_inner_ip</span><span class="token punctuation">(</span><span class="token variable">$url</span><span class="token punctuation">)</span><span class="token punctuation">)</span>
<span class="token punctuation">{<!-- --></span>
    <span class="token keyword">echo</span> <span class="token variable">$url</span><span class="token punctuation">.</span><span class="token single-quoted-string string">' is inner ip'</span><span class="token punctuation">;</span>
<span class="token punctuation">}</span>
<span class="token keyword">else</span>
<span class="token punctuation">{<!-- --></span>
    <span class="token variable">$ch</span> <span class="token operator">=</span> <span class="token function">curl_init</span><span class="token punctuation">(</span><span class="token punctuation">)</span><span class="token punctuation">;</span>
    <span class="token function">curl_setopt</span><span class="token punctuation">(</span><span class="token variable">$ch</span><span class="token punctuation">,</span> <span class="token constant">CURLOPT_URL</span><span class="token punctuation">,</span> <span class="token variable">$url</span><span class="token punctuation">)</span><span class="token punctuation">;</span>
    <span class="token function">curl_setopt</span><span class="token punctuation">(</span><span class="token variable">$ch</span><span class="token punctuation">,</span> <span class="token constant">CURLOPT_RETURNTRANSFER</span><span class="token punctuation">,</span> <span class="token number">1</span><span class="token punctuation">)</span><span class="token punctuation">;</span>
    <span class="token function">curl_setopt</span><span class="token punctuation">(</span><span class="token variable">$ch</span><span class="token punctuation">,</span> <span class="token constant">CURLOPT_HEADER</span><span class="token punctuation">,</span> <span class="token number">0</span><span class="token punctuation">)</span><span class="token punctuation">;</span>
    <span class="token variable">$output</span> <span class="token operator">=</span> <span class="token function">curl_exec</span><span class="token punctuation">(</span><span class="token variable">$ch</span><span class="token punctuation">)</span><span class="token punctuation">;</span>
    <span class="token variable">$result_info</span> <span class="token operator">=</span> <span class="token function">curl_getinfo</span><span class="token punctuation">(</span><span class="token variable">$ch</span><span class="token punctuation">)</span><span class="token punctuation">;</span>
    <span class="token keyword">if</span> <span class="token punctuation">(</span><span class="token variable">$result_info</span><span class="token punctuation">[</span><span class="token single-quoted-string string">'redirect_url'</span><span class="token punctuation">]</span><span class="token punctuation">)</span>
    <span class="token punctuation">{<!-- --></span>
        <span class="token function">safe_request_url</span><span class="token punctuation">(</span><span class="token variable">$result_info</span><span class="token punctuation">[</span><span class="token single-quoted-string string">'redirect_url'</span><span class="token punctuation">]</span><span class="token punctuation">)</span><span class="token punctuation">;</span>
    <span class="token punctuation">}</span>
    <span class="token function">curl_close</span><span class="token punctuation">(</span><span class="token variable">$ch</span><span class="token punctuation">)</span><span class="token punctuation">;</span>
    <span class="token function">var_dump</span><span class="token punctuation">(</span><span class="token variable">$output</span><span class="token punctuation">)</span><span class="token punctuation">;</span>
<span class="token punctuation">}</span>

}
if(isset(KaTeX parse error: Expected '}', got 'EOF' at end of input: …oken variable">url = G E T < / s p a n > < s p a n c l a s s = " t o k e n p u n c t u a t i o n " > [ < / s p a n > < s p a n c l a s s = " t o k e n s i n g l e − q u o t e d − s t r i n g s t r i n g " > ′ u r l ′ < / s p a n > < s p a n c l a s s = " t o k e n p u n c t u a t i o n " > ] < / s p a n > < s p a n c l a s s = " t o k e n p u n c t u a t i o n " > ; < / s p a n > < s p a n c l a s s = " t o k e n k e y w o r d " > i f < / s p a n > < s p a n c l a s s = " t o k e n p u n c t u a t i o n " > ( < / s p a n > < s p a n c l a s s = " t o k e n o p e r a t o r " > ! < / s p a n > < s p a n c l a s s = " t o k e n f u n c t i o n " > e m p t y < / s p a n > < s p a n c l a s s = " t o k e n p u n c t u a t i o n " > ( < / s p a n > < s p a n c l a s s = " t o k e n v a r i a b l e " > _GET</span><span class="token punctuation">[</span><span class="token single-quoted-string string">'url'</span><span class="token punctuation">]</span><span class="token punctuation">;</span> <span class="token keyword">if</span><span class="token punctuation">(</span><span class="token operator">!</span><span class="token function">empty</span><span class="token punctuation">(</span><span class="token variable"> GET</span><spanclass="tokenpunctuation">[</span><spanclass="tokensinglequotedstringstring">url</span><spanclass="tokenpunctuation">]</span><spanclass="tokenpunctuation">;</span><spanclass="tokenkeyword">if</span><spanclass="tokenpunctuation">(</span><spanclass="tokenoperator">!</span><spanclass="tokenfunction">empty</span><spanclass="tokenpunctuation">(</span><spanclass="tokenvariable">url)){
safe_request_url($url);
}
}
else{
highlight_file(FILE);
}
// Please visit hint.php locally.
?>

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 39
  • 40
  • 41
  • 42
  • 43
  • 44
  • 45
  • 46
  • 47
  • 48
  • 49
  • 50
  • 51
  • 52
  • 53
  • 54
  • 55
  • 56
  • 57
  • 58

首先对传入的url进行check_inner_ip检查是否为内网ip地址,这一部分限制了协议的使用,使用parse_url解析url,并使用gethostname、ip2long函数获取ip地址以及将ip地址转化为整数,不允许内网ip发送请求。
通过检查则返回safe_request_url使用curl处理。
注释提示我们应当以本地访问hint.php,我们构造如下url传入

?url=http://0.0.0.0/hint.php

 
 
 
 
  • 1

0.0.0.0的IP地址表示整个网络,代表所有主机的ipv4地址,传入绕过
在这里插入图片描述
得知redis的密码是root,考点是redis主从复制rce。
下载以下脚本到同一目录下
https://github.com/n0b0dyCN/redis-rogue-server
https://github.com/xmsec/redis-ssrf
在这里插入图片描述
修改python文件
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
生成payload
在这里插入图片描述
启动redis rogue server, 接受redis的连接
在这里插入图片描述
把payload传入,这里注意还要url编码一次
在这里插入图片描述
在这里插入图片描述
得到flag

热热的雨夜
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
redis主从复制_通过 SSRF 操作 Redis 主从复制 Webshell
weixin_39953102的博客
11-27 419
公众号拖了半年没,文章了一个月没发,懒得该死。废话说起来很巧,这篇文章早就完了,当时完的时候并没有发出去,因为本想着等曲老板的其他东西一起,结果第二天发现安恒他们发了一篇差不多的文章,看样子源码几乎是一致或者大部分相似的,当时真的觉得太巧了,安全圈是真的小,2333333 不过能见识到大家不同方面的思考和渗透思路,还是觉得是挺有意思的,于是将这篇文章部分内容发出来,一起学习交流...
2021-07-28 CTF Webbuuoj [网鼎杯 2020 半决赛]faka
LiNa_lInA_741的博客
07-28 917
CTF Web buu oj[网鼎杯 2020 半决赛]faka解题 [网鼎杯 2020 半决赛]faka 解题 不会网站,做不了代码审计,就记录别人WP的解题思路,再回头来看 下载网站源代码,html/applilcation/admin,网站打开admin,跳到管理后台登录页面。 目录文件中有tk.sql文件,phpmyadmin先创建数据库,再导入tk.sql。 数据库打开表system_user,找到admin/md5后得密码 md5解密得到admin密码admincccbbb123 登
2021-09-21-网鼎杯AreUSerialz
unexpectedthing的博客
09-22 387
文章目录前言--php反序列化代码显示 前言–php反序列化 地址:buuctf 代码显示 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filena
WAF攻防之SSRF绕过
weixin_34248849的博客
05-17 891
前言 简单整理一下漏洞中ssrf绕过的一些方法,希望在渗透测试中有更清晰的思路。 什么是SSRF SSRF(Server-Side Request Forgery:服务器端请求伪造)是从服务端获取其他服务器信息的的功能。使用指定的URL,web应用可以获取图片,下载文件,读取文件内容等。这个功能如果被恶意使用,可以利用存在缺陷的Web应用作为代理,访问内网,攻击远程服务器,读取敏感信息等...
2021-8-7[网鼎杯 2020 青龙组]AreUSerialz的wp(经典反序列化例题)
qq_45290991的博客
08-07 498
[网鼎杯 2020 青龙组]AreUSerialz 目录 题目:在buu平台上,题目传送门 解题过程: 两个防护: is_valid() destruct()魔术方法 本地进行序列化操作 题目:在buu平台上 解题过程: 代码审计 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { ...
2021-10-17[网鼎杯 2020 朱雀组]phpweb
qq_50613938的博客
10-17 203
在我们页面其实并没有看见什么有用的信息,我只能通过大佬wp来看见,原来我们捉包后的func参数和p参数是能传递执行函数的,首先我们 所以我们会想能不能执行file_get_contents函数来查看参数,查看index.php看到了参数 function gettime($func, $p) { $result = call_user_func($func, $p); $a= gettype($result); if ($a == "string") { return
SSRF漏洞以及其WAF绕过总结
b1ackc4t的博客
01-24 3429
SSRF基本介绍 SSRF(Server-Side Request Forgery),服务器端请求伪造,利用漏洞伪造服务端发起请求,从而突破客户端获取不到数据的限制 常见存在SSRF的功能点 在线翻译 图片加载 下载服务 网站采集 文件包含 预览内容 转码 收藏 分享 多媒体加载 在线编程 api demo 站长工具 扫一扫 markdown浏览 常见判断方法 有回显 有延时 比如?url=www.google.com,有大量延时,而访问有的很快,有差异 外带请求 可以利用dnslog平台测试(htt
Redis中利用SSRFwebshell
a21536545645的博客
07-06 351
前置知识: curl详解 gopher详解 redis详解 利用过程: 用redis语法shell 用工具或者脚本把shell转化为符合RESP协议的格式 在目标主机上curl gopher 运行编码后的shell 菜刀蚂剑连接shell 具体参考这篇文章 注意: shell中目标的端口应该是6379(redis的端口) 复现的时候注意关闭防火墙,并且打开6379端口 当出现拒绝访问的时候:ip不对;端口问题;防火墙 在ubuntu中打payload提示目录不在,百度一下有说是因为安装账号对这个目
Redis基于主从复制的RCE 4.x/5.x 复现
weixin_30408165的博客
07-12 420
0x00 前言 最近期末考试,博客好久没有更新了,这段时间爆了三四个洞,趁着还没去实习,抓紧复现一下,这次复现的是Redis的RCE,复现过程中也遇到很多问题,记录下来和大家分享一下 0x01 拉取镜像 docker确实是个好东西,有了它复现节省不少时间,首先拉取一个5.0镜像 docker search redis5.0 //查找镜像docker pull damonev...
网络安全——利用ssrf操作内网redis入计划任务反弹shell
Demo不是emo的博客
09-17 3343
今天的内容是ssrf漏洞的利用,环境选择的是discuz含有ssrf漏洞的版本,通过该漏洞来redis计划任务反弹shell(附带环境安装包)
CTF SSRF redisshell、计划任务
03-07 1020
CTF SSRF redisshell、计划任务
SSRF——手把手教你Redis反弹Shell
sudu2020dd的博客
06-04 2747
由于业务运行的服务器处于内外网边界,并且可通过利用当前的这台服务器,根据所在的网络,访问到与外部网络隔离的内网应用,所以一般情况下,SSRF漏洞的攻击目标是攻击者无法直接访问的内网系统。因为攻击Redis A之前,首先需要构造一个样本,如何构造,通过在kali本地搭建一个Redis B,作为本地测试,形成攻击链后将他的格式转换为gopher协议,然后测试完毕后,应用在真实攻击上,将gopher协议数据包发送给存在SSRF漏洞的机器实现攻击,转给Redis A,一个计划任务,反弹shell,往kali弹。
第二届网鼎杯(第三场:朱雀组)Think Java
a3320315的博客
05-20 1699
首先题目给了一些class文件,这些不需要多说,直接jd-gui反编译或者使用fernflower反编译也可以 解题过程 先扫一下目录 得到swagger-ui.html 发现几个api接口 sql注入得到密码 源代码中明显存在SQL注入(dbName可控),但是必须满足两个条件,否则不能连接数据库 #号在引号里面时当做填充符,没有实际意义(这个只是在jdbc中这样?还没来得及验证) 最终: jdbc:mysql://mysqldbserver:3306/myapp#‘ union select
i春秋CTF ssrfme (peal函数中get命令漏洞)命令执行 详细题解+原理 学习过程
AAAAAAAAAAAA66的博客
12-16 1391
前几天刚做一道命令执行的题目累的够呛,这会刷题又碰见一道,所以做个总结,梳理一下自己学到的各方面知识。 题目 分析 <?php $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); @mkdir($sandbox); @chdir($sandbox); $data = shell_exec("GET " . escapeshellarg($_GET["url"]));
buuctf [第二章 web进阶]SSRF Training
qq_52671379的博客
04-20 1924
buuctf [第二章 web进阶]SSRF Training
BMZCTF SSRFME 详解
u013797594的博客
07-04 786
BMZCTF ssrfme详解 题目: 打开题目直接是PHP代码,阅读代码:首先要求传入get参数file和path,file会直接赋值给$url,path会拼接upload,如果$path里面有…那么就会终止执行。$url如果以http://127.0.0.1/开头,则通过file_get_contents($url)读取内容,然后通过file_put_contents()入到$path中,并且通过echo输出"console.log($path update successed!)" ,$path
Redis漏洞及搭配ssrf利用的姿势
qq_71467825的博客
06-24 2305
这篇博客就总结到这里,下次把经典一点的SSRF题目都总结到一起再学习一波,冲冲冲!!!
2024-HW --->SSRF
最新发布
huohaowen的博客
04-04 1123
这不是马上准备就要护网了嘛,如火如荼的报名ing!!!那么小编就来查缺补漏一下以前的web漏洞,也顺便去收录一波poc!!!!今天讲的主人公呢就是SSRF,以前学的时候,感觉有点没有学懂,趁现在二刷一遍。
BUU [第二章 web进阶]SSRF Training
qq_62078839的博客
04-18 1800
打开连接发现页面上提示了flag.php,那么flag应该就放在这里了,点开intersting challenge 出现源码,审计代码 <?php highlight_file(__FILE__); function check_inner_ip($url) { $match_result=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url); if (!$match_result) { ...
ns-3网络仿真教程:入门与概念解析
5. **资源**: 教程提到了网络资源,包括项目网站、Git仓库(用于获取最新源码)、Waf构建系统、开发环境的设置以及套接字编程的基本知识。 6. **开始使用**: 介绍如何下载和构建ns-3,包括使用Git克隆仓库,通过Waf...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值