《从0到1:CTFer成长之路》书籍配套题目 [第二章 web进阶]SSRF Training

最新推荐文章于 2024-07-11 21:39:24 发布
最新推荐文章于 2024-07-11 21:39:24 发布
阅读量91 收藏
点赞数
文章标签: php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_59607911/article/details/134144607
版权

进入环境

点进 intersting challenge,开始看它的代码。

<?php 
highlight_file(__FILE__);
function check_inner_ip($url) 
{ 
    $match_result=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url); 
    if (!$match_result) 
    { 
        die('url fomat error'); 
    } 
    try 
    { 
        $url_parse=parse_url($url); 
    } 
    catch(Exception $e) 
    { 
        die('url fomat error'); 
        return false; 
    } 
    $hostname=$url_parse['host']; 
    $ip=gethostbyname($hostname); 
    $int_ip=ip2long($ip); 
    return ip2long('127.0.0.0')>>24 == $int_ip>>24 || ip2long('10.0.0.0')>>24 == $int_ip>>24 || ip2long('172.16.0.0')>>20 == $int_ip>>20 || ip2long('192.168.0.0')>>16 == $int_ip>>16; 
} 

function safe_request_url($url) 
{ 
     
    if (check_inner_ip($url)) 
    { 
        echo $url.' is inner ip'; 
    } 
    else 
    {
        $ch = curl_init(); 
        curl_setopt($ch, CURLOPT_URL, $url); 
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); 
        curl_setopt($ch, CURLOPT_HEADER, 0); 
        $output = curl_exec($ch); 
        $result_info = curl_getinfo($ch); 
        if ($result_info['redirect_url']) 
        { 
            safe_request_url($result_info['redirect_url']); 
        } 
        curl_close($ch); 
        var_dump($output); 
    } 
     
} 

$url = $_GET['url']; 
if(!empty($url)){ 
    safe_request_url($url); 
} 

?>

 开始逐句过

<?php 
highlight_file(__FILE__);//用PHP高亮显示当前的文件
function check_inner_ip($url) //获取url的域名,将域名转为ip,然后再判断这个ip是否是私有地址
{ 
    $match_result=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url); 
  	//返回$url的匹配,值将是 0 次(不匹配)或 1 
    //^从开头开始匹配
   	//? 匹配0或1个正好在它之前的那个字符。注意:这个元字符不是所有的软件都支持的
    //( )标记一个子表达式的开始和结束位置。子表达式可以获取供以后使用。要匹配这些字符,请使用 \( 和 \)
    //.	匹配除换行符 \n 之外的任何单字符。要匹配 . ,请使用 \. 
    //*	匹配前面的子表达式零次或多次。要匹配 * 字符,请使用 \*
    //$:从字符串末尾进行匹配
    if (!$match_result) 
    { 
        die('url fomat error'); 
        //如果url不符合正则表达式
    } 
    try 
    { 
        $url_parse=parse_url($url); 
        //分解出一个URL的各个部
        // $url_parse是一个数组
        
    } 
    catch(Exception $e) 
    { 
        die('url fomat error'); 
        return false; 
    } 
    $hostname=$url_parse['host']; //hostname 为主机名,也就是域名
    $ip=gethostbyname($hostname); //通过域名获取IP地址
    $int_ip=ip2long($ip); //ip2long:将IPv4的ip地址(以小数点分隔形式)转换为int
    return ip2long('127.0.0.0')>>24 == $int_ip>>24 || ip2long('10.0.0.0')>>24 == $int_ip>>24 || ip2long('172.16.0.0')>>20 == $int_ip>>20 || ip2long('192.168.0.0')>>16 == $int_ip>>16; 
    //判断是否是私有地址,是则这个函数就返回1
} 

function safe_request_url($url) 
{ 
     
    if (check_inner_ip($url)) 
    //判断url是否是私有地址
    { 
        echo $url.' is inner ip'; 
    } 
    else 
    {
        $ch = curl_init(); //初始化新的会话,返回 cURL 句柄,供curl_setopt()、 curl_exec() 和 curl_close() 函数使用
        curl_setopt($ch, CURLOPT_URL, $url); //访问的域名
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); //
        curl_setopt($ch, CURLOPT_HEADER, 0); //
        //curl_setopt函数参数解释:https://www.cnblogs.com/lilyhomexl/p/6278921.html
        $output = curl_exec($ch); //抓取URL并把它传递给浏览器
        $result_info = curl_getinfo($ch); //php curl请求在curl_exec()函数执行之后,可以使用curl_getinfo()函数获取CURL请求输出的相关信息
        //[php curl curl_getinfo()返回参数详解](https://www.cnblogs.com/zqifa/p/php-curl-3.html)
        if ($result_info['redirect_url']) 
        { 
            safe_request_url($result_info['redirect_url']); 
        } 
        curl_close($ch); // 关闭cURL资源,并且释放系统资源
        var_dump($output); //执行
    } 
     
} 

$url = $_GET['url']; 
if(!empty($url)){ 
    safe_request_url($url); 
}

 

prase_url绕过

传入的URL为http://a:@127.0.0.1:80@baidu.com,那么进入 safe_request_url检测之后 parse_url取到的host是baidu.com,而curl取到的是127.0.0.1:80,所以就实现了检测IP时候是一个正常的一个网站域名而实际curl请求的时候是构造的127.0.0.1。

payload

url=http://a:@127.0.0.1:80@baidu.com/flag.php

 而curl取到的是127.0.0.1:80,所以就实现了检测IP时候是一个正常的一个网站域名而实际curl请求的时候是构造的127.0.0.1

 

悲郁的秋裤
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
《从0到1:CTFer成长之路书籍配套题目-[第二章 web进阶]XSS闯关
weixin_46703850的博客
02-23 1400
《从0到1:CTFer成长之路书籍配套题目,来源网站:[《从0到1:CTFer成长之路》](https://book.nu1l.com/)
第29天:WEB漏洞-CSRF及SSRF漏洞案例讲解1
08-03
1、当用户发送重要的请求时需要输入原始密码 3、检验 referer 来源,请求时判断请求链接是否为当前管理员正在使用的页面(管理员在编辑文章, 4、设置验证码
[第二章 web进阶]SSRF Training
qq_54929891的博客
05-19 974
好久没写过SSRF了,感觉都忘了,就找来一个写写 <?php highlight_file(__FILE__); function check_inner_ip($url) { $match_result=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url); if (!$match_result) { die('url fomat error'); } try {
ssrf刷题——buu [第二章 web进阶]SSRF Training [网鼎杯 2020 玄武组]SSRFMe
m0_73756016的博客
05-28 1469
需要用到的工具。
[第二章 web进阶]SSRF Training 1
qq_45951598的博客
03-05 1421
一开始打开环境,可以看到一个链接,打开看一下。 打开是个代码审计 <?php highlight_file(__FILE__);//用PHP高亮显示当前的文件 function check_inner_ip($url) //获取url的域名,将域名转为ip,然后再判断这个ip是否是私有地址 { $match_result=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url); //返回$url的匹配,值将是 0 次(不匹配)或 1
BUU [第二章 web进阶]SSRF Training
qq_62078839的博客
04-18 1773
打开连接发现页面上提示了flag.php,那么flag应该就放在这里了,点开intersting challenge 出现源码,审计代码 <?php highlight_file(__FILE__); function check_inner_ip($url) { $match_result=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url); if (!$match_result) { ...
104-web漏洞挖掘之SSRF漏洞1
08-03
1.禁用不需要的协议 2.统一错误信息,避免用户可以根据错误信息来判断远端服务器的端口状态 3.禁止302跳转,或者每跳转一次,就检查一次新的Host是否是内网
某通用流程化管控平台编辑器SSRF到axis的RCE之旅1
08-03
有了 session,我们只需要找到在线的 session 然后替换我们当前的 seesionID 可某通流程化管控平台编辑器SSRF到axis的RCE之旅有了
SSRF_Vulnerable_Lab:本实验包含易受服务器端请求伪造攻击的示例代码
05-12
我想对@ albinowax,AKReddy,Vivek Sir(感谢一直以来支持我的杰出人物),Andrew Sir-@vanderaj(感谢他的鼓励)以及在DNS重新绑定攻击基础上共同努力的研究人员说谢谢 脆弱代码旨在针对以下5种情况演示SSRF: 1....
lorsrf:SSRF参数蛮力
03-21
劳斯尔夫使用GET和POST方法对隐藏参数进行暴力破解以查找SSRF漏洞安装下载它➜ git clone https://github.com/knassar702/lorsrf➜ cd lorsrf➜ sudo pip3 install requests flask安装脚步 :恩格罗克运行您的ngrok ...
【Docker-compose】搭建php 环境
AllenIverrui的博客
07-10 636
ElasticSearch是一款非常强大的、基于Lucene的开源搜索及分析引擎;它是一个实时的分布式搜索分析引擎,它能让你以前所未有的速度和规模,去探索你的数据。它被用作全文检索结构化搜索分析以及这三个功能的组合:Wikipedia使用 Elasticsearch 提供带有高亮片段的全文搜索,还有 search-as-you-type 和 did-you-mean 的建议。卫报使用 Elasticsearch 将网络社交数据结合到访客日志中,为它的编辑们提供公众对于新文章的实时反馈。
Laravel Excel导出功能:高效实现数据导出
liuxin33445566的博客
07-08 1150
Laravel Excel导出功能允许开发者将查询结果或其他数据集合转换成Excel格式的文件。这不仅可以提高数据交换的效率,还可以提升用户体验。Laravel Excel支持自定义导出格式,包括自定义单元格样式、合并单元格、添加图片等。这可以通过实现WithEvents等接口来实现。
数据结构第14节 加权图
hummhumm的专栏
07-07 1329
( V ) 是顶点的集合。( E ) 是边的集合,每条边连接 ( V ) 中的一对顶点。( W ) 是一个函数,将每条边映射到一个实数上,即 ( W: E \rightarrow \mathbb{R} )。
Vulnhub靶场DC-6练习
Reset
07-08 953
netdiscover探测目标主机ip。nmap探测开放端口和服务。dirsearch查看网站目录结构。wpscan扫描wordpress的用户。wpscan利用wordlists字典爆破密码。Activity monitor插件的漏洞:CVE-2018-15877反弹shell。nmap提权。
sqlmap使用之-post注入、head注入(ua、cookie、referer)
weixin_51520483的博客
07-11 91
bp抓包获取post数据将数据保存到post.txt文件加上-r指定数据文件。
wordpress网站添加一个临时维护功能
爱酷码的博客
07-07 289
有时遇到一些情况,比如站点需要闭站备案、或者被要求停站等等,我们就可以使用本文的功能,使我们的 wordpress 站点一键进入站点维护模式:打开站点的任意链接都显示“站点维护中”的字眼,而且返回 503 响应码比整站关闭对搜索引擎更加友好~把以下代码放到functions.php文件中,主要用网站临时维护或者用于备案。事情做好了,把以下代码删除即可!
使用SOAP与TrinityCore交互(待定)
最新发布
skywalk8163的专栏
07-11 599
SOAP代表简单对象访问协议,是一种类似于REST的基于标准的web服务访问协议的旧形式。PHP提供了一些使此过程更容易的方法,但根据您的使用情况,您可能需要熟悉XML。考虑到您的特定RBAC访问配置,您还需要一个有权使用GM命令的用户帐户。专门为此目的创建一个受限访问帐户,而不是一个人使用的帐户,这可能是一个好主意。这将使用正确的HTTP方法(POST)以及“授权”和“正文”选项卡下的详细信息填充新集合。在Postman界面的右侧,一个符号将打开代码片段,可以将请求转换为您选择的语言。
HECTF2023部分wp
11-27
在HECTF2023的校内网络安全竞赛中,参赛者分享了解决两道web CTF题目——"伪装者"和"EZweb"的经历和方法。首先,我们来看看"伪装者"挑战。 1. 伪装者: - 题目涉及HTTP头信息的欺骗,如X-Forwarded-For、Referer和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值