SSRF
文章平均质量分 79
SSRF
bfengj
vegetable web dog
展开
-
bestphp‘s revenge
前言很有意思的一道题目,知识点虽然都是很常见的,但是结合到一起去思考,去解题就是很困难的了。这道题大致涉及了这些知识点:session反序列化PHP原生类SoapClient的SSRF。变量覆盖。CRLFWP这题其实也是有提示的,访问一下flag.php,可以提示要127.0.0.1,暗示了SSRF。再加上session,很容易想到session反序列化,利用PHP的原生类实现SSRF。首先写一下反序列化的构造:<?php$a = new SoapClient(null,原创 2021-03-06 16:35:43 · 943 阅读 · 0 评论 -
CTFshow-WEB入门-SSRF
前言开始学习SSRF,学习文章:SSRF 学习记录(需要fq)比较简单的题目就直接放payload了,不做解释。web351url=http://127.0.0.1/flag.phpweb352scheme必须是http或者https,但是不能有127.0.0.1或者localhost。这个绕过技巧很多了,列具一些常用的吧:进制绕过 url=http://0x7F000001/flag.php0.0.0.0绕过 url=http://0.0.0.0/flag.php短标签绕过,但是这原创 2021-02-18 22:35:37 · 1593 阅读 · 0 评论 -
[网鼎杯 2020 玄武组]SSRFMe
前言一道非常眼熟的SSRF题目了,一开始的代码审计现在已经成了很多SSRF教程中关于绕过127.0.0.1的过滤的一个例子,但是这题后面的redis主从复制却是我不会的东西。正好今天一个大师傅和我讨论了这题,就顺便做了这题,学习了一下redis的主从复制的SSRF。WP首先就是熟悉的代码审计:<?phpfunction check_inner_ip($url){ $match_result=preg_match('/^(http|https|gopher|dict)?:\/\/.*原创 2021-02-04 16:15:36 · 1296 阅读 · 1 评论 -
[BJDCTF 2nd]文件探测
知识点HTTP响应头文件包含代码审计SSRFsprintf格式化漏洞session绕过WP一道综合性很强的题目,真的很有意思,自己做的时候状态太差连文件包含都没弄出来,实在是太菜了,还是要加油。不过这题真的可以学到很多知识,very nice。首先进入环境,f12拉到最下面可以看到提示:看了一下,BJDCTF的传统header里藏东西,看一下header,发现了hint:除此之外,尝试一下robots.txt:可以发现admin.php,flag.php是不存在的。进入h原创 2020-12-19 00:31:25 · 485 阅读 · 1 评论 -
[HITCON 2017]SSRFme
知识点代码审计SSRFWP其实是一道很简单的SSRF的题目,但是自己又没完完全全的做出来,卡在了一些奇奇怪怪的地方。首先进入环境审一下代码:<?phpif (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR'] = $http_x_headers[0];}原创 2020-12-12 12:17:00 · 1033 阅读 · 0 评论 -
[GKCTF2020]EZ三剑客-EzWeb
知识点SSRFWP一道SSRF,但是自己对于SSRF还停留在CTFHub的技能树那样题目告诉你打什么,自己才知道打什么的层度。真正的让自己去探索还是不太会。正好利用这个题目对于SSRF的大致过程有了一定的学习。首先进入环境,看到输入框url的第一反应就是SSRF。再通过f12看一下源码,发现有?secret,输入后发现:eth0 Link encap:Ethernet HWaddr 02:42:0a:53:f4:09inet addr:10.83.244.9 Bcast:10原创 2020-12-06 16:29:56 · 388 阅读 · 0 评论 -
[De1CTF 2019]SSRF Me 1
知识点python代码审计SSRF哈希长度拓展攻击WP首先进入环境,是一串python代码,整理一下:#! /usr/bin/env python# #encoding=utf-8from flask import Flaskfrom flask import requestimport socketimport hashlibimport urllibimport sysimport osimport jsonreload(sys)sys.setdefaultenc原创 2020-11-13 19:45:47 · 1968 阅读 · 2 评论 -
[GKCTF2020]cve版签到 1
WP这题的SSRF还是挺明显的,抓包看一下响应头,可以得到:Hint: Flag in localhost说明SSRF要访问127.0.0.1,但是必须要以.ctfhub.com结尾。一开始我以为是后端判断的代码的问题,可以用@2个host这样的方法来绕过,但是不行。后来看了一下hint,提示了这个:在低于7.2.29的PHP版本7.2.x,低于7.3.16的7.3.x和低于7.4.4的7.4.x中,同时将get_headers()与用户提供的URL一起使用时,如果URL包含零(\ 0)字符,则原创 2020-11-10 17:28:52 · 230 阅读 · 0 评论 -
网鼎杯2018 fakebook
知识点PHP反序列化备份文件下载SSRFSQL注入前言我就是fw…又没解出来,主要的问题还是在自己身上,当时sql注入读了username,以为就是我输入的,就没继续爆破了,没想到data居然是序列化的,还有就是SQL注入学的还不好,导致自己没能解出来。WP首先进入环境,有join和login。先用dirsearch扫一下目录,发现存在robots.txt,访问发现存在user.php.bak备份文件。下载下来:<?phpclass UserInfo{ publi原创 2020-10-28 20:53:58 · 354 阅读 · 0 评论 -
Redis在SSRF中的应用
偶然找到的一篇文章,觉得写的很不错。本来只是收藏而不是转载,但是我发现这篇文章的原文已经挂了,因此就转载了过来。转载 2020-10-06 18:53:32 · 2063 阅读 · 0 评论 -
CTFHub-SSRF部分(已完结)
内网访问根据题目意思,让我们如访问内网的flag.php,因此抓包进行访问,即可得到flag:伪协议读取文件根据题目的意思我们需要使用URL的伪协议去读取文件,那么我们首先要了解URL的伪协议。URL伪协议有如下这些:file:///dict://sftp://ldap://tftp://gopher://具体的用法请参考SSRF中URL的伪协议这里我们使用file伪协议从文件系统中读取文件,我们直接抓包读取:这里其实有点考常识了,因为网站的目录一般都在/var/ww原创 2020-09-14 23:17:39 · 18904 阅读 · 17 评论