SSRF-Vulnerable-Lab靶场训练

最新推荐文章于 2024-06-25 15:48:54 发布
最新推荐文章于 2024-06-25 15:48:54 发布
阅读量2.1k 收藏 4
点赞数
分类专栏: 网络安全 文章标签: 网络安全 安全漏洞 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44023442/article/details/113291009
版权

参考文章

1、file_get_content.php

提取并显示指定文件内容的应用程序代码
在编程语言中,有一些函数可以获取本地保存文件的内容。这些功能可能能够从远程URL以及本地文件(例如PHP中的file_get_contents)中获取内容。
如果没有对输入内容进行处理,或者处理的不够严格,将有可能导致SSRF漏洞攻击。
输入:file_get_content.php
显示:
在这里插入图片描述
直接暴露源码
输入:file:///C:/Windows/System32/drivers/etc/hosts
在这里插入图片描述
暴露出hosts文件内容
输入:http://127.0.0.1:80
在这里插入图片描述
可以探测端口

查看源码(部分):

if(isset($_POST['read']))
{

$file=trim($_POST['file']);

echo htmlentities(file_get_contents($file));

}

发现对输入没有任何过滤。

2、sql_connect.php

应用程序提供接口以连接到远程主机
Web应用程序具有允许用户使用任何端口指定任何IP的接口。在这里,该应用程序具有尝试连接到“ MySQL”,“ LDAP”等服务的功能。

应用程序希望用户在输入字段中指定远程服务器的主机名/ IP,用户名和密码。然后,应用程序尝试通过指定的端口连接到远程服务器。在这种情况下,应用程序尝试与侦听特定端口的远程服务进行通信。当易受攻击的代码具有连接到MySQL之类的服务器的功能并且用户指定了SMB端口时,易受攻击的应用程序将尝试使用MySQL服务器服务数据包与SMB服务进行通信。即使端口是开放的,由于通信方式的差异,我们仍无法与服务进行通信。
按照默认值访问如图:
在这里插入图片描述
修改Host IP为:127.0.0.1:80 (80端口开启了)
在这里插入图片描述
明显不一样,用burpsuite爆破IP和端口,
查看源码(部分):

<?php
set_time_limit(0);
error_reporting(0);
if(isset($_POST['sbmt']))
{
$host=trim($_POST['host']);
$uname=trim($_POST['uname']);
$pass=trim($_POST['pass']);

$r=mysqli_connect($host,$uname,$pass);

if (mysqli_connect_errno())
  {
  echo  mysqli_connect_error();
  }
}
echo "<br>";
?>

可知,主要是通过mysqli_connect()连接,错误信息是mysqli_connect_errno(),

3、download.php

与file_get_content.php类似,
输入:download.php,就会下载download.php文件
在这里插入图片描述
同样的,输入:file:///C:/Windows/System32/drivers/etc/hosts
在这里插入图片描述
查看源码(部分):

function file_download($download)
{
	if(file_exists($download))
				{
					header("Content-Description: File Transfer"); 
					
					header('Content-Transfer-Encoding: binary');
					header('Expires: 0');
					header('Cache-Control: must-revalidate, post-check=0, pre-check=0');
					header('Pragma: public');
					header('Accept-Ranges: bytes');
					header('Content-Disposition: attachment; filename="'.basename($download).'"'); 
					header('Content-Length: ' . filesize($download));
					header('Content-Type: application/octet-stream'); 
					ob_clean();
					flush();
					readfile ($download);
				}
				else
				{
				echo "<script>alert('file not found');</script>";	
				}
	
}
if(isset($_POST['download']))
{
$file=trim($_POST['file']);
file_download($file);
}

其中没有过滤,通过readfile()函数读取文件。

4、dns-spoofing.php

输入:dns-spoofing.php
直接爆出源码:
在这里插入图片描述
查看源码(部分):

if(isset($_POST['read']))
{
$file=strtolower($_POST['file']);
if(strstr($file, 'localhost') == false && preg_match('/(^https*:\/\/[^:\/]+)/', $file)==true)
  {
	$host=parse_url($file,PHP_URL_HOST);
	if(filter_var($host, FILTER_VALIDATE_IP)) 
		{
			if(filter_var($host, FILTER_VALIDATE_IP, FILTER_FLAG_IPV4 | FILTER_FLAG_NO_PRIV_RANGE |  FILTER_FLAG_NO_RES_RANGE)== false) 
				{
					
					echo '
						   <table width="50%" cellspacing="0" cellpadding="0" class="tb1" style="opacity: 0.6;">
						   <tr><td align=center style="padding: 10px;" >
							The provided IP is from Private range and hence not allowed

						   </td></tr></table>
						   <table width="50%" cellspacing="0" cellpadding="0" class="tb1" style="margin:10px 2px 10px;opacity: 0.6;" >';
				}
			else 
				{
					echo '<textarea rows=20 cols=60>'.file_get_contents($file)."</textarea>";
				}
		}
	else 
		{
			echo '<textarea rows=20 cols=60>'.file_get_contents($file)."</textarea>";
		}
  }
  
  elseif(strstr(strtolower($file), 'localhost') == true && preg_match('/(^https*:\/\/[^:\/]+)/', $file)==true) 
	{
		echo '
		<table width="30%" cellspacing="0" cellpadding="0" class="tb1" style="opacity: 0.6;">
						   <tr><td align=center style="padding: 10px;" >
							Tyring to access Localhost o_0 ? 

						   </td></tr></table>
						   <table width="50%" cellspacing="0" cellpadding="0" class="tb1" style="margin:10px 2px 10px;opacity: 0.6;" >';
	}
  else 
	{
		echo '<textarea rows=20 cols=60>'.file_get_contents($file)."</textarea>";
	}
}

简单的说就是,该脚本具有允许用户从远程URL获取数据的功能。用户需要指定远程URL与任何IP或域名这个脚本检查用户是否指定了“localhost”、“Internal IPs”或“Reserved IPs”的输入。如果用户指定的域/IP被列入黑名单,脚本将不会获取内容并停止处理。注意的是,该代码并没有将域/IP列入黑名单中
所以,没有可以类似题一的方法,输入:file:///C:/Windows/System32/drivers/etc/hosts
在这里插入图片描述

但这是不正规的,依作者的题意,应当基于DNS的欺骗绕过IP黑名单。目前并没有掌握该技巧,暂且放下。

5、dns_rebinding.php

应用程序不仅实现了内部和私有范围的IP黑名单,而且还将用户提供的域名解析为其IP,并再次执行检查是否已解析为黑名单。
在这种情况下,基于DNS的欺骗手段也不会访问内部/保留IP上托管的内容。应用程序代码对其IP执行域解析,并再次对解析的IP执行黑色列出的IP检查。

与题4类似,暂且放下

白丁Gorilla
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSRF漏洞-01】服务端请求伪造靶场实战
cc
02-20 3809
服务端请求伪造)是一种由攻击者构造请求,由服务器端发起请求的安全漏洞,本质上是属于信息泄露漏洞。如果“请求伪造”发生在服务器端,那么这个漏洞就叫做“服务器端请求伪造”即SSRF。SSRF是一种攻击者发起的伪造由服务器端发起请求的一种攻击,也是常见的web安全漏洞(缺陷或者风险)之一。互联网上的很多web应用提供了从其他服务器(也可以是本地)获取数据的功能。使用用户指定的URL,web应用可以获取图片、文件资源(下载或读取)。例如:百度提供识图功能。用户可以从本地或者URL。
结合漏洞、ssrf-lab学习SSRF漏洞
Lemon's blog
03-14 1865
前言: 学习新知识,这次通过Weblogic 存在的SSRF漏洞和ssrf-lab,来学习SSRF漏洞 0x01 了解SSRF SSRF简介: SSRF(Server-Side Request Forgery),即服务器端请求伪造,利用漏洞伪造服务器端发起请求,从而突破客户端获取不到数据限制,本质上是属于信息泄露漏洞。 SSRF漏洞原理: SSRF 形成的原因大都是由于服务端提供了从其他服务器应用...
pikachu靶场中的CSRF、SSRF通关
qq_68163788的博客
05-26 2036
在Pikachu靶场中,CSRF(Cross-Site Request Forgery)和SSRF(Server-Side Request Forgery)是两种常见的Web安全漏洞。CSRF攻击利用用户在已认证的Web应用程序上执行未经意的操作,通过伪装请求来执行恶意操作,例如更改用户密码或发送资金。而SSRF漏洞则允许攻击者从受害服务器上执行请求,可能导致访问内部系统、绕过防火墙或执行其他恶意操作。
SSRF (服务器端请求伪造) 漏洞原理与利用方式
热门推荐
越努力 越自由
03-10 1万+
目录 一. 漏洞原理 二. 漏洞危害 三. 从皮卡丘靶场看懂SSRF 1. 源码解读 2. 内网环境搭建 3. SSRF漏洞利用 1. 访问正常文件 2. 端口扫描 3. 读取系统本地文件 4. 攻击内网应用 四. SSRF漏洞挖掘 1. ssrf可能出现的地方 2. 从关键字寻找 3. 绕过小技巧 五. 漏洞防御 一. 漏洞原理 SSRF(Server-Side Request Forgery,服务器端请求伪造)是一种由攻击者构造请求,由服务器端发起请求的...
Pikachu靶场--SSRF
qq_65150735的博客
06-25 1116
Pikachu靶场--SSRF(服务器端请求伪造)
SSRF_Vulnerable_Lab:本实验包含易受服务器端请求伪造攻击的示例代码
05-12
服务器端请求伪造(SSRF)易受攻击的实验室 该存储库包含容易受到服务器端请求伪造(SSRF)攻击PHP代码。 我想对@ albinowax,AKReddy,Vivek Sir(感谢一直以来支持我的杰出人物),Andrew Sir-@vanderaj(感谢他的鼓励)以及在DNS重新绑定攻击基础上共同努力的研究人员说谢谢 脆弱代码旨在针对以下5种情况演示SSRF: 1.提取并显示指定文件内容的应用程序代码 在编程语言中,有一些函数可以获取本地保存文件的内容。 这些功能可能能够从远程URL以及本地文件(例如PHP中的file_get_contents)中获取内容。 如果应用程序未在用户提供的数据之前添加任何字符串以从文件中获取内容,即应用程序未在提供用户提供的数据的目录名或路径,则该功能可能会被滥用。 在这种情况下,这些数据获取功能可以处理“ http://”或“ file://”之
SSRF_Vulnerable_Lab-master.zip
10-21
备份,github:https://github.com/incredibleindishell/SSRF_Vulnerable_Lab
Pikachu靶场SSRF漏洞练习
记录学习,一起进步
12-15 732
Pikachu靶场SSRF漏洞练习
以点到面的SSRF漏洞入门学习+安鸾渗透测试靶场SSRF系列题目练习 SSRF01 SSRF02 SSRF03
AAAAAAAAAAAA66的博客
02-03 1924
目录 认识 SSRF(服务器伪造) 实例 安鸾SSRF01 有时间的话可以先看看这里 前言:其实我很早就了解到了'SSRF' (服务器伪造)这个名词了,但是当时仅从字面上感觉非常难理解,看了下详细的描述也没有什么头绪,再加上没有碰到什么靶场或者CTF题目有把这个作为单独的考点,到了最后可能就放弃了对SSRF的学习。 所以这里最好从一些简单的靶场练习,帮助我们建立一点印象,再以点到面的学习,然后逐渐的掌握各种相关应用场景。大家耐心的看一遍话基本能简单的入门SSRF了。 这是我一个新手的一.
国光师傅的SSRF靶场docker环境.zip
01-14
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,...
ssrf-req-filter:在 NodeJS 中发送请求时防止 SSRF 的模块。 阻止对本地和私有 IP 地址的请求
05-31
ssrf-req-filter - 防止 SSRF 攻击 :shield: 服务器端请求伪造 (SSRF) SSRF 是一种攻击媒介,它滥用应用程序与内部/外部网络或机器本身进行交互。 此向量的促成因素之一是 URL 处理不当。 安装 npm install ssrf-...
ssrf-lab:探索SSRF漏洞的实验室
05-22
实验室 探索SSRF漏洞的实验室 10月4日的实验室位于/ ctf目录中:-)
SSRF-Testing:SSRF(服务器端请求伪造)测试资源
04-23
SSRF(服务器端请求伪造)测试资源 基于快速URL的绕过: http://google.com:80+&@127.88.23.245:22/#+@google.com:80/ http://127.88.23.245:22/+&@google.com:80#+@google.com:80/ ...
探索Server-Side Request Forgery(SSRF)漏洞实验室:从概念到实践
gitblog_00067的博客
05-19 381
探索Server-Side Request Forgery(SSRF)漏洞实验室:从概念到实践 项目地址:https://gitcode.com/incredibleindishell/SSRF_Vulnerable_Lab网络安全领域,了解和防范Server-Side Request Forgery(SSRF)攻击至关重要。为了帮助开发者和安全研究人员深入理解这一概念并进行实战演练,我们向您...
vulnhub靶场——VULNERABLE DOCKER: 1 Easy
Czheisenberg的博客
09-26 2057
ULNERABLE DOCKER: 1 Easy 渗透过程。须要利用到内网穿透工具来打内网。
SSRF综合靶场
hot_milk1的博客
02-20 1124
常见的SSRF的一些利用。
SSRF漏洞靶场
WINDY_PACE的博客
05-15 2785
对于SSRF,回显是能够成功利⽤的重要条件,所以过滤返回信息,验证远程服务器对请求的响应是⽐较容易的⽅法。如果WEB应⽤ 是去获取某⼀种类型的⽂件,那么在把返回结果展⽰给⽤户之前先验证返回的信息是否符合标准。 禁⽤不需要的协议,仅仅允许HTTP和HTTPS请求。可以防⽌类似于file://、gopher://、ftp://等引起的问题
burp靶场--ssrf
qq_33168924的博客
01-17 1706
服务器端请求伪造是一种 Web 安全漏洞,允许攻击者导致服务器端应用程序向非预期位置发出请求。在典型的 SSRF 攻击中,攻击者可能会导致服务器连接到组织基础设施内的仅供内部使用的服务。在其他情况下,他们可能能够强制服务器连接到任意外部系统。这可能会泄露敏感数据,例如授权凭据,或者代码执行。
vuln-range之ssrf靶场
lionwerson的博客
03-31 572
1.开启靶机 提示用url传入参数进去,直接读出文件,完事。 ?url=file:///etc/passwd #注意三个斜杠
SSRF-Testing安装
最新发布
07-25
SSRF (Server Side Request Forgery) 测试是一个用于检测服务器端请求伪造漏洞的工具,它是一种常见的安全测试技术。为了安装 SSFRT 这一工具,你可以按照以下步骤操作: ### 安装依赖 首先,确保你的系统已安装 Python 和 pip(Python 的包管理器)。在命令行界面输入: ```bash pip install -r requirements.txt ``` 如果你是使用基于 Debian 或者 Ubuntu 的 Linux 发行版,则需要先安装 `libffi-dev`、`libssl-dev`、`python-dev` 等库,可以通过运行以下命令完成: ```bash sudo apt-get update sudo apt-get install libffi-dev libssl-dev python-dev ``` 接着,在你的项目目录中创建一个名为 `requirements.txt` 的文件,并添加所需的依赖(通常包括 `requests` 库),然后再次使用 `pip` 来安装: ```txt # requirements.txt 文件内容示例 requests==2.26.0 pip install -r requirements.txt ``` ### 安装 SSFRT 工具 使用 Git 克隆 SSFRT 的仓库到本地: ```bash git clone https://github.com/ssertool/ssftrt.git cd ssftrt pip install . ``` 或者从 PyPI 直接安装(如果已发布): ```bash pip install ssftrt ``` ### 使用 SSFRT 一旦 SSFRT 成功安装,你可以在 Python 脚本中导入并使用它来进行 SSRF 测试。典型的用法如下: ```python from ssertool.ssftrt import SSFRT ssf = SSFRT() results = ssf.scan('http://example.com', {'param': 'http://target.example.com'}) print(results) ``` 在这个例子中,我们尝试通过 `http://example.com` 的 URL 发起请求,其中 `param` 参数指向了目标 URL `http://target.example.com`。 ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值