CTFHub技能树 Web-SSRF URL Bypass
hint:请求的URL中必须包含http://notfound.ctfhub.com,来尝试利用URL的一些特殊地方绕过这个限制吧
启动环境,打开题目:
给出提示,url
参数的值中必须包含有http://notfound.ctfhub.com
可以采用@
,也就是 HTTP 基本身份认证绕过
HTTP 基本身份认证允许 Web 浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式。
也就是:http://www.xxx.com@www.yyy.com
形式
构造题目所需 Payload:
?url=http://notfound.ctfhub.com@127.0.0.1/flag.php
构造传参访问,得到flag: