ssrf绕过filter_var函数使用file_get_contents读取任意文件

最新推荐文章于 2023-09-17 09:16:42 发布
最新推荐文章于 2023-09-17 09:16:42 发布
阅读量2.8k 收藏 11
点赞数 2
分类专栏: ctf ssrf 文章标签: ssrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46091464/article/details/108570212
版权
ctf 同时被 2 个专栏收录
23 篇文章 3 订阅
订阅专栏
ssrf
1 篇文章 0 订阅
订阅专栏

前几天师傅给我发了一个ssrf的题目,是一个比赛题目,但是也一直没有拿下,就是可以执行xss,但是flag存在根目录下面,要需要读取文件,百度了一下没有发现新思路。在之后师傅给我提供了新思路。

1. ssrf绕过filter_var函数使用file_get_contents读取任意文件

直接上源代码

<?php
highlight_file(__FILE__);
$argv[1]=$_GET['a']; 
if(filter_var($argv[1],FILTER_VALIDATE_URL)) {
    //echo($argv[1])."\n";
    $r = parse_url($argv[1]);  
    print_r($r); 
    if(preg_match('/great\.ctf$/',$r['host'])){ 
        $a=file_get_contents($argv[1]); 
        echo($a);
    }
    else{
        echo("error");
    }  
}
else{
    echo "Error:Invalid URL; WhereIsSourceCode ";}
?>

filter_var()函数是通过指定的过滤器过滤一个变量。
FILTER_VALIDATE_URL过滤器
parse_url是解析 URL,返回其组成部分

所以代码逻辑就是我提交一个参数a满足是url形式并且进行解析该url返回的[host]部分是匹配great.ctf,之后就可以读取a所提交的参数

2. 绕过filter_var($argv[1],FILTER_VALIDATE_URL)

之前看过网上很多师傅们总结的,这里我就直接进行使用,附上师傅们的文章
SSRF技巧之如何绕过filter_var( )
payload:0://example.com
在这里插入图片描述
成功绕过了第一个条件

3. 绕过preg_match('/great\.ctf$/',$r['host'])

这一步就只是需要解析的url的主机部分是great.ctf
payload:0://great.ctf
在这里插入图片描述
成功绕过第二个条件

4. 使用file_get_contents()读取文件

这个可以说是该题的重点,而且没有百度到任何关于该方面的信息
(可能是自己的信息收集能力有限)

现在的问题就是需要构造/flag.txt去读取该文件而且还要满足前面的条件。
最后在师傅提供的资料上面得到了答案~~~~

柳暗花明又一村
php源码中,在向目标请求时先会判断使用的协议。如果协议无法识别,就会认为它是个目录。
所以我们就可以使用前面构造的payload(php如果识别不了就会当成一个目录)在进行目录穿越,穿越到根目录读取flag.txt

我们之前构造的 0://great.ctf就相当于目录,下一步就是目录穿越啦~~~
payload:0://great.ctf/../../../flag.txt
在这里插入图片描述成功读取flag.txt

5.总结

这道题的考点就是file_get_contents使用不存在的协议名导致目录穿越,实现SSRF
还有可以实现xss漏洞。总的来说,ssrf漏洞危害比较严重,可以构造出很多骚姿势。

感谢师傅们的文章让自己学习。

Firebasky
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
20210218CTF伪协议绕过file_get_contents(bugkuctf的web21御结冰城感想)
qq_45290991的博客
02-18 1万+
CTF中常用的php伪协议利用 </h1> <div class="clear"></div> <div class="postBody"> file://# 作用: 用于访问文件(绝对路径、相对路径、网络路径) 示例: http://www.xx.com?file=file:///etc/passswd ph...
BugkuCTF-WEB题file_get_contents
am_03的博客
08-29 6089
知识点 empty() 函数用于检查一个变量是否为空。empty() 判断一个变量是否被认为是空的。当一个变量并不存在,或者它的值等同于 FALSE,那么它会被认为不存在。如果变量不存在的话,empty()并不会产生警告。 extract()函数从数组里将变量导入到当前的符号表。extract函数:可以进行变量覆盖。 语法:extract(array,extract_rules,prefix) 该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组里的各元素,将在当前符号表里创建对应的一个变量。第二
Web漏洞-SSRF漏洞(详细)
Ays.Ie的博客
03-10 2920
该篇为Web漏洞-SSRF漏洞(详细)
生命在于学习——SSRF漏洞
易水哲的博客
08-23 2192
本篇文章是关于SSRF的学习笔记
2020易博霖CTFWeb2--SSRF题解
flying_bird2019的博客
04-01 2341
Web2 SSRF (靶机服务器已关闭,因此没有截图) 观察题目url index.php?file=WTNSbWFXMWhaMlV1YW5Cbg== 将参数file 进行两次base64解密得ctfimage.jpg 网页输出了上述图片 尝试读取index.php源代码,将file改为YVc1a1pYZ3VjR2h3(index.php两次base64加密) 转到后发现图片无法显示,猜测应该是文...
ssrf 过滤.php,SSRF技巧之如何绕过filter_var( )
weixin_42478292的博客
03-22 415
0x00 前言前几天我读了两篇非常棒的论文:第一篇是发表在blackhat.com上的“A New Era of SSRF ”,讲述的是不同编程语言的SSRF问题;第二篇是由Positive Technology发表的一篇名为“PHP Wrapper” 的论文,它主要讲述的是如何以多种不同的方式使用PHP Wrapper来绕过过滤器以及受过滤的输入(您可以在结尾处找到这两个链接)。在本文中,我将深...
ssrfpll.rar_DQ 锁相环_SSRF-PLL_同步锁相环_锁相环_锁相环 同步
07-14
基于同步坐标系的自建锁相环模块仿真,dq坐标系与matlab自带模块相差90度,新建的dq坐标系是符合中式习惯坐标系
SSRF_Vulnerable_Lab:本实验包含易受服务器端请求伪造攻击的示例代码
05-12
这些功能可能能够从远程URL以及本地文件(例如PHP中的file_get_contents)中获取内容。 如果应用程序未在用户提供的数据之前添加任何字符串以从文件获取内容,即应用程序未在提供用户提供的数据的目录名或路径,...
SSRF_Vulnerable_Lab-master.zip
10-21
备份,github:https://github.com/incredibleindishell/SSRF_Vulnerable_Lab
关于file_put_contents的一些小测试1
08-03
在安全性和利用方面,`file_put_contents`可能成为攻击者的目标,因为它允许向任意文件写入数据。在上述描述中,提到了利用`file_put_contents`绕过限制的情况,主要涉及到编码和过滤器策略。 - **Base64编码**:...
SSRF_ex:SSRF漏洞测试、利用 SSRF vulnerability testing and utilization
05-08
SSRF_exSSRF漏洞测试、利用 SSRF vulnerability testing and utilizationSSRF[+] 服务端请求伪造,当作跳板攻击内网服务[+] 扫描内部网络、服务[+] 访问本机敏感文件[+] 向特定端口发送数据包、payload.├── ...
[原题复现]ByteCTF 2019 –WEB- Boring-Code[无参数rce、绕过filter_var(),等]
笑花大王
05-13 1774
简介 原题复现: 考察知识点:无参数命令执行、绕过filter_var(), preg_match() 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 环境复现 目录 www/flag flag文件 www/code/code.php 代码 1 <?php 2 function...
pikachu靶场练习——SSRF详解
qq_42176496的博客
09-06 6559
pikachu靶场——SSRF详解
SSRF漏洞渗透
dzhccc的博客
09-17 103
SSRF(Sever-Side Request Forgery 服务器端请求伪造攻击)是一种由攻击者构造请求,由服务器端发起请求的安全漏洞。SSRF漏洞通过存在漏洞的服务器端作为代理通道攻击本地或远程服务器,获取与服务器端相连而与外网隔绝的内部系统。
SSRF相关知识点总结
since_2020的博客
08-20 588
SSRF(Server-Side Request Forgery)服务端请求为伪造 一、容易产生SSRF漏洞的函数 file_get_contents()、fsockopen()、curl_exec() 1、file_get_contents() 该函数的作用是将整个文件读入一个字符串中 <?php if(isset($_POST['url'])) { $content=file_get_contents($_POST['url']); $filen
pikachu--ssrf(Server-Side Request Forgery):服务器端请求伪造
qq_43660551的博客
05-17 637
PHP中导致ssrf的函数file_get_contents()、fsockopen()、curl_exec()。 一、curl_exec(): 通过URL语法在命令行下工作的文件传输工具。访问其他地址上的资源。curl支持很多协议,有http、https、ftp、gopher、Telnet、dict、file、ldap。 1.原理: 服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制。攻击者传入恶意地址,受害人访问恶意地址,导致受到攻......
bugku never_give_up file_get_contents()有php://input漏洞 eregi \x00绕过
YouthBelief的博客
03-07 3025
bugku never_give_up0x00 never_give_up0x01 解题流程1.1查看首页 及源码1.2 访问1p.html1.3解码1.4 分析代码1.5 payload 0x00 never_give_up 0x01 解题流程 1.1查看首页 及源码 发现一个页面 访问 1.2 访问1p.html 自动跳转到主页 直接查看源码 得到JS代码 其中申明 words变量 和OutWord()方法 将 escape解码后的words变量写入页面中。 words 变量 经过 url编码
PiKachu靶场之SSRF (服务端请求伪造)
angry_program的博客
02-22 2734
概述 SSRF (Server-Side Request Forgery:服务器端请求伪造) 其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制 导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据数据流: 攻击者----->服务器---->目标地址 根据后台使用函数的不同,对应的影响和利用方法又...
[web安全原理分析]-SSRF漏洞入门
笑花大王
02-19 653
SSRF漏洞 SSRF漏洞 SSRF意为服务端请求伪造(Server-Side Request Forge)。攻击者利用SSRF漏洞通过服务器发起伪造请求,就这样可以访问内网的数据,进行内网信息探测或者内网漏洞利用 SSRF漏洞形成的原因是:应用程序存在可以从其他服务器获取数据的功能,但对服务器的地址没有做严格的过滤,导致应用程序可以访问任意的URL链接。攻击者通过精心构造URL连接,...
file_get_contents ssrf
最新发布
10-08
然而,由于远程文件读取可能存在安全风险,使用 file_get_contents 函数时需要小心防止 Server-Side Request Forgery (SSRF) 攻击。 SSRF 攻击是一种利用服务端漏洞,使服务端请求自身或者内部网络中其他服务的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值