[第二章 web进阶]SSRF Training

最新推荐文章于 2024-05-28 22:13:30 发布
最新推荐文章于 2024-05-28 22:13:30 发布
阅读量1k 收藏 4
点赞数 1
文章标签: 前端 php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54929891/article/details/124852224
版权

好久没写过SSRF了,感觉都忘了,就找来一个写写

<?php 
highlight_file(__FILE__);
function check_inner_ip($url) 
{ 
    $match_result=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url); 
    if (!$match_result) 
    { 
        die('url fomat error'); 
    } 
    try 
    { 
        $url_parse=parse_url($url); 
    } 
    catch(Exception $e) 
    { 
        die('url fomat error'); 
        return false; 
    } 
    $hostname=$url_parse['host']; 
    $ip=gethostbyname($hostname); 
    $int_ip=ip2long($ip); 
    return ip2long('127.0.0.0')>>24 == $int_ip>>24 || ip2long('10.0.0.0')>>24 == $int_ip>>24 || ip2long('172.16.0.0')>>20 == $int_ip>>20 || ip2long('192.168.0.0')>>16 == $int_ip>>16; 
} 

function safe_request_url($url) 
{ 
     
    if (check_inner_ip($url)) 
    { 
        echo $url.' is inner ip'; 
    } 
    else 
    {
        $ch = curl_init(); 
        curl_setopt($ch, CURLOPT_URL, $url); 
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); 
        curl_setopt($ch, CURLOPT_HEADER, 0); 
        $output = curl_exec($ch); 
        $result_info = curl_getinfo($ch); 
        if ($result_info['redirect_url']) 
        { 
            safe_request_url($result_info['redirect_url']); 
        } 
        curl_close($ch); 
        var_dump($output); 
    } 
     
} 

$url = $_GET['url']; 
if(!empty($url)){ 
    safe_request_url($url); 
} 

?>

点中间连接可以找到源码,get方法传入一个url首先进入safe_request_url函数,去瞅瞅

function safe_request_url($url) 
{ 
     
    if (check_inner_ip($url)) 
    { 
        echo $url.' is inner ip'; 
    } 
    else 
    {
        $ch = curl_init(); 
        curl_setopt($ch, CURLOPT_URL, $url); 
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); 
        curl_setopt($ch, CURLOPT_HEADER, 0); 
        $output = curl_exec($ch); 
        $result_info = curl_getinfo($ch); 
        if ($result_info['redirect_url']) 
        { 
            safe_request_url($result_info['redirect_url']); 
        } 
        curl_close($ch); 
        var_dump($output); 
    } 
     
}

发现有一个函数check_inner_ip的判断

function check_inner_ip($url) 
{ 
    $match_result=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url); 
    if (!$match_result) 
    { 
        die('url fomat error'); 
    } 
    try 
    { 
        $url_parse=parse_url($url); 
    } 
    catch(Exception $e) 
    { 
        die('url fomat error'); 
        return false; 
    } 
    $hostname=$url_parse['host']; 
    $ip=gethostbyname($hostname); 
    $int_ip=ip2long($ip); 
    return ip2long('127.0.0.0')>>24 == $int_ip>>24 || ip2long('10.0.0.0')>>24 == $int_ip>>24 || ip2long('172.16.0.0')>>20 == $int_ip>>20 || ip2long('192.168.0.0')>>16 == $int_ip>>16; 
}

首先有个正则,是一个传入url的格式要求,相当于我们常见的url连接格式

这里用到一个parse_url函数(这里因为不是认证机制因此没有添加username和password)

parse_url函数的解释和绕过 - 百度文库 

 一个对url进行解析分割成数组的函数,下面只用了url的host,再用gethostbyname函数将host转换为对应的ip地址;后面的ip2long函数用一种计算方法将ip地址转换为一个整数,测试如下:

接下来是一个返回值(结合后面的函数必须要返回0,否则进入不了后面那个函数)

return ip2long('127.0.0.0')>>24 == $int_ip>>24 || ip2long('10.0.0.0')>>24 == $int_ip>>24 || ip2long('172.16.0.0')>>20 == $int_ip>>20 || ip2long('192.168.0.0')>>16 == $int_ip>>16;

 一开始这种移位并没懂,但是自己写代码试试即可

 

是一个对于私有地址的判断,说明我们给予的域名不能是私有地址,也就是不让我们用127.0.0.1这个回环地址

进入下一个函数

$ch = curl_init(); 
        curl_setopt($ch, CURLOPT_URL, $url); 
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); 
        curl_setopt($ch, CURLOPT_HEADER, 0); 
        $output = curl_exec($ch); 
        $result_info = curl_getinfo($ch); 
        if ($result_info['redirect_url']) 
        { 
            safe_request_url($result_info['redirect_url']); 
        } 
        curl_close($ch); 
        var_dump($output);

这里只需要看到最后面var_dump将会话结果输出出来了即可,但还是要学习一下,借鉴别人的

curl_init — 初始化一个cURL会话
curl_setopt — 设置一个cURL传输选项
curl_exec — 执行一个cURL会话
curl_getinfo — 获取一个cURL连接资源句柄的信息
curl_close — 关闭一个cURL会话

一个cURL执行的基本流程

因此我们思路清晰,由最前面的页面可知道flag在flag.php下,因为是SSRF,我们肯定要用127.0.0.1去访问,现在就是我们要绕过这个函数不能解析为127.0.0.1,但是url可以解析为127.0.0.1即可。

又国外大佬一张ppt可以知晓,当我们利用两个@的时候可以让解析的实际地址与函数获得的地址不一样,以达到绕过的结果 

http://@127.0.0.1:80@www.baidu.com/flag.php

利用百度的公有ip来绕过私有地址检测 

进行上传 

 

-栀蓝-
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
第一节 SSRF原理介绍-01
09-15
SSRF漏洞原理介绍 SSRF(Server-Side Request Forgery,服务端请求伪造)是一种构造请求,由服务端发起请求的安全漏洞。客户端服务端内网资源一般情况下,SSRF的目标就是与外部隔离的内网资源。 SSRF漏洞定义: ...
浅谈SSRF
fflush_的博客
04-22 114
· 在redis未授权的情况下如何写webshell 命令: /bin/redis-server /etc/redis/redis.conf ##启动redis进程 ps -ef|grep 'redis' ##查看redis进程 redis-cli -h 127.0.0.1 -p 6379 ##若redis服务器开放到公网,没有密码校验,可直接连接* *进入redis后,配置目录、数据库文件和参数:* config set dir /www/wwwroot/www.baidu.com config set
[第二章 web进阶]SSRF Training 1
qq_45951598的博客
03-05 1474
一开始打开环境,可以看到一个链接,打开看一下。 打开是个代码审计 <?php highlight_file(__FILE__);//用PHP高亮显示当前的文件 function check_inner_ip($url) //获取url的域名,将域名转为ip,然后再判断这个ip是否是私有地址 { $match_result=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url); //返回$url的匹配,值将是 0 次(不匹配)或 1
[BUUCTF-n1book][第二章 web进阶]SSRF Training
nareku的博客
07-24 782
随便看看,发现了源码先代码审计(又臭又长的代码审计好讨厌捏…)限制了协议和ip地址。这里忽略了paerse_url()和curl同时处理url的差异,因此我们可以差异来进行绕过。前面已经测试过parse_url()函数得到如下结果可以看到parse_url是以www.baidu.com为目标的那么整理一下代码逻辑就是先检测是否为内网ip,通过parse_url,最后通过curl来完成请求。那么绕过方法就是让parse_url来处理外部ip,curl来处理内网ip。...
buuctf[第二章 web进阶]SSRF Training 1
m0_52299173的博客
07-08 869
[第二章 web进阶]SSRF Training 1
第29天:WEB漏洞-CSRF及SSRF漏洞案例讲解1
08-03
1、当用户发送重要的请求时需要输入原始密码 3、检验 referer 来源,请求时判断请求链接是否为当前管理员正在使用的页面(管理员在编辑文章, 4、设置验证码
Web安全漏洞进阶.pdf
03-23
DNS Rebinding攻击利用了DNS解析的延时性,通过在第一次和第二次DNS解析时返回不同的IP地址,绕过安全检查,实现对内网服务的访问。SSRF的过滤情况常常可以通过检测URL的解析问题来绕过,例如利用不同编程语言对URL...
lorsrf:SSRF参数蛮力
03-21
劳斯尔夫使用GET和POST方法对隐藏参数进行暴力破解以查找SSRF漏洞安装下载它➜ git clone https://github.com/knassar702/lorsrf➜ cd lorsrf➜ sudo pip3 install requests flask安装脚步 :恩格罗克运行您的ngrok ...
第三节 SSRF利用 - 内网资源访问-01
09-15
"第三节 SSRF利用 - 内网资源访问-01" 本节课程主要讲解了SSRF漏洞的_php_函数,包括file_get_contents、fsockopen()和curl_exec()三个函数的使用和可能存在的漏洞。 SSRF漏洞的定义 SSRF漏洞全称为Server-side ...
BUU [第二章 web进阶]SSRF Training
qq_62078839的博客
04-18 1874
打开连接发现页面上提示了flag.php,那么flag应该就放在这里了,点开intersting challenge 出现源码,审计代码 <?php highlight_file(__FILE__); function check_inner_ip($url) { $match_result=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url); if (!$match_result) { ...
buuctf [第二章 web进阶]SSRF Training
qq_52671379的博客
04-20 2033
buuctf [第二章 web进阶]SSRF Training
《从0到1:CTFer成长之路》书籍配套题目 [第二章 web进阶]SSRF Training
wuyaowangchuan的博客
12-06 1953
进入环境
SSRF】01ctfer【SSRF】SSRF Training
wj33333的博客
11-17 77
01ctfer【SSRF】SSRF Training
ssrf刷题——buu [第二章 web进阶]SSRF Training [网鼎杯 2020 玄武组]SSRFMe
最新发布
m0_73756016的博客
05-28 1522
需要用到的工具。
9th Geek SSRF
柠檬木有枝
12-08 2479
前言 学校举办的第九届极客大挑战,其中一道根据 Blackhat 议题出的 ssrf 题目,也是第一次尝试阅读 php 源码,望大牛们勿喷 代码分析 &lt;?php function check_inner_ip($url) { $match_result=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url); if (!$m...
PHP cURL
weixin_30299709的博客
03-22 74
curl_init— 初始化一个cURL会话 curl_close— 关闭一个cURL会话 curl_setopt— 设置一个cURL传输选项 curl_exec— 执行一个cURL会话 curl_copy_handle— 复制一个cURL句柄和它的所有选项 curl_errno— 返回最后一次的错误号 curl_error— 返回一个保护当前会话最近一次错误的字符串 c...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值