【CTFSHOW】web入门SSRF

最新推荐文章于 2024-05-14 08:32:17 发布
最新推荐文章于 2024-05-14 08:32:17 发布
阅读量925 收藏 1
点赞数 3
分类专栏: CTFSHOW 文章标签: 安全 xss csrf php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46003360/article/details/118096181
版权

文章目录

写在前面

发现学习渗透和ctf对xss,ssrf,csrf,ssti都有挺高要求的,一直没怎么系统刷过题。今天学习学习,补补之前落下的债(* ̄3 ̄)╭

web351

扫描网站发现存在flag.php文件,通过分析和测试发现需要服务器本地访问,故使用传入127.0.0.1/flag.php

ssrfweb351

web352

payload:

ssrfweb352

web353

过滤代码:

if($x['scheme']==='http'||$x['scheme']==='https'){
    if(!preg_match('/localhost|127\.0\.|\。/i', $url)){

payload:

  1. 使用127.1代替127.0.0.1

ssrfweb353

  1. 将127.0.0.1转成十进制

ssrfweb353_2

  1. 十六进制(记得添加0x前缀)

ssrfweb353_3

  1. 二进制(但不知到为什么没有回显flag(;´д`)ゞ)

ssrfweb353_4二进制失败

附:

  • 正则表达式分析网站:Regulex

具体使用如下:

ssrf正则表达式分析网站

具体使用如下:

ssrf进制转换网站

web354

过滤代码:

if($x['scheme']==='http'||$x['scheme']==='https'){
if(!preg_match('/localhost|1|0|。/i', $url)){

可以看到1也被过滤了

payload:

  1. 将域名解析的A记录指向127.0.0.1即可,下面用的域名sudo.cc已指向127.0.0.1。有条件的朋友可以更改自己域名的A记录

ssrfweb354_1A记录解析为127

  1. 在vps上设置302跳转(但不知道为啥不回显flag)

ssrfweb354_2vps302跳转

文件设置如下:

ssrfweb354_2vps目录

ssrfweb354_2vps302内容

访问http://truthahn.top/SSRF/302.php结果:

ssrfweb354_2vps302跳转结果

  1. 用预期解替换原字符串localhost(但不知道为啥还是不回显flag)

ssrfweb354_3预期解替换

生成预期解代码如下:

with open('Expectedsolution.txt','w') as f:
    for i in range(128,65537):    
        tmp=chr(i)    
        try:        
            res = tmp.encode('idna').decode('utf-8')        
            if("-") in res:            
                continue
            f.write("U:{}    A:{}      ascii:{} ".format(tmp, res, i) + '\n')       
            print("U:{}    A:{}      ascii:{} ".format(tmp, res, i))    
        except:        
            pass
f.close()

替换字符a为£Á:

ssrfweb354_3预期解替换a

即loc£Álhost

web355

要求host长度小于5,用127.1即可

payload:

ssrfweb355

web356

要求host长度小于3,补知识点咯:linux里0解析为127.0.0.1,而windows里解析为0.0.0.0

payload:

ssrfweb356

web357

代码:

if($x['scheme']==='http'||$x['scheme']==='https'){
$ip = gethostbyname($x['host']);
echo '</br>'.$ip.'</br>';
if(!filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE)) {
    die('ip!');
}


echo file_get_contents($_POST['url']);
}
else{
    die('scheme');
}

payload:

  1. 使用web354中的302重定向
  2. 羽神提供了一种方法:使用dns重绑定

ssrfweb357

食用 方法如下:

在网站http://ceye.io/注册账号,会自动分配一个域名给你:

ssrfweb357_ceye

在profile最下面的DNS Rebinding里添加127.0.0.1

然后payload为:url=http://r.你的域名/flag.php

注意要多试几次才会回显flag

web358

过滤代码:

if(preg_match('/^http:\/\/ctf\..*show$/i',$url)){
    echo file_get_contents($url);
}

正则逻辑如下:

ssrfweb358regulex

考察的是parse_url地址解析问题,具体解释可以看yq1ng师傅推荐的17年blackhat峰会PDF

自己测试了几下,觉得挺好玩的:

ssrfweb358test1

ssrfweb358test2

具体原理以后找点时间多研究研究。

payload:

ssrfweb358

web359

打开靶机显示一个登陆界面,随便输入用户名和密码,跳转到check.php。

ssrfweb359returl

发现post了两个参数:returl和u。参考了下大佬博客,原来注入点不是username,而是使用gopher工具在returl上做文章。

本题需要使用的工具:Gopherus

ssrfweb359gopher_git

下载完code,在对应目录下输入sudo ./install.sh进行安装。安装完毕后:

ssrfweb359gopher

根据题目提示选择 mysql,输入数据库用户名root,并输入要执行的传马sql语句。之后会returl对应的payload。注意,在3306/_后面的一串字符串需要再进行一次url编码才可以使用。

最终payload如下:

ssrfweb359

这样名称为truthahn.php的🐎就上传成功了。使用蚁剑连接,在根目录找到flag:

ssrfweb359蚁剑1

ssrfweb359flag

web360

题目提示为redis

和web359思路相似,exploit后面为redis:

ssrfweb360gopher

将生成的 payload url编码一下,再用url作为参数post(不知道咋回事post完后显示404容器未生成,不过不影响shell.php的访问)。

默认生成的🐎名称为shell.php,浏览器访问shell.php并使用cmd作为参数执行命令即可。

ssrfweb360cmd1

吐槽: 感觉最近ctfshow的靶机生成速度越来越慢了,不知道是不是因为被DDos了(ToT)/~~~

TurkeyMan
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
WEB渗透测试入门.rar
03-07
WEB渗透测试入门】 在网络安全领域,Web渗透测试是一种评估Web应用程序安全性的重要方法。它涉及到模拟恶意黑客的行为,以发现并修复潜在的安全漏洞。对于初学者来说,掌握Web渗透测试的基本概念和技术是至关重要...
Web入门指北1
08-03
Web入门指南旨在帮助初学者了解并踏入Web安全领域。Web方向是网络安全竞赛(CTF)中的一个重要部分,因其不需要深入的系统底层知识或高级数学能力而成为相对较易入门的领域。Web安全的特点在于其涉及的知识点众多且...
CTFshow——SSRF
lee_maple的博客
04-23 3648
CTFshow——SSRF Web351 <?php error_reporting(0); highlight_file(__FILE__); $url=$_POST['url']; $ch=curl_init($url); curl_setopt($ch, CURLOPT_HEADER, 0); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $result=curl_exec($ch); curl_close($ch); echo ($result
Jarvis-OJ-Web writeup
a370793934的专栏
11-28 1084
PORT51 访问了页面发现让你 Please use port 51 to visit this site. 明显是绑定的端口,不可能用51端口去访问啊,很困惑结果是自己去访问的时候需要用到51端口啊…原来如此,使用curl中的–local-port命令 --local-port <端口号>[-num]设置连接使用的首选端口号或本地端口范围。请注意,端口号是一种稀缺资源,繁忙...
ctfshow web入门 ssrf web351--web360
最新发布
2301_81040377的博客
05-14 333
我测试了一下会显示504,我以为是环境的问题就没有整了,结果问了大菜鸡师傅,没问题,直接访问shell.php就行,这个故事告诉我们还是要多尝试。127.0.0.0/8是一个环回地址网段,从127.0.0.1 ~ 127.255.255.254都表示localhost。这道题我先是直接想访问flag.php,后来回显说必须是本地,于是payload。ip地址还可以通过表示成其他进制的形式访问,IP地址二进制、十进制、十六进制互换。然后访问shell.php进行rce即可。用服务器DNS重定向。
CTFHub技能树 Web-SSRF 内网访问
Senimo
07-01 422
CTFHub技能树 Web-SSRF 内网访问 hint:尝试访问位于127.0.0.1的flag.php吧 启动环境,访问页面为空白,查看URL: http://challenge-25917a94dca3ca9a.sandbox.ctfhub.com:10800/?url=_ 其中存在 GET 方式的传参:url=_,将127.0.0.1/flag.php地址填入尝试访问: http://challenge-25917a94dca3ca9a.sandbox.ctfhub.com:10800/?url=
ctfhub--web--SSRF(1.内网访问2.伪协议读取文件 3.端口扫描 4.POST请求 5.文件上传 8.URL Bypass 9.数字IP Bypass) )
feiniaotjx的博客
10-10 545
ctfhub--web--SSRF1.内网访问2.伪协议读取文件3.端口扫描4.POST请求 1.内网访问 传参给url,访问一个地址文件 2.伪协议读取文件 读取网站文件 3.端口扫描 通过返回的内容判断端口是否存在 import requests try: for i in range(8000,9001): url='http://challenge-43493ad3b38edf3f.sandbox.ctfhub.com:10800/?url=127.0.0.1:'+
ctfshow ssrf
qq_74806534的博客
04-09 161
题目提示打无密码的mysql,这里感觉也算是盲打了,第一是不知道secure_file_priv的值,也就是说允不允许导入导出;第二是不知道当前网站路径有没有写入权限;
第29天:WEB漏洞-CSRFSSRF漏洞案例讲解1
08-03
1、当用户发送重要的请求时需要输入原始密码 3、检验 referer 来源,请求时判断请求链接是否为当前管理员正在使用的页面(管理员在编辑文章, 4、设置验证码
lorsrf:SSRF参数蛮力
03-21
劳斯尔夫使用GET和POST方法对隐藏参数进行暴力破解以查找SSRF漏洞安装下载它➜ git clone https://github.com/knassar702/lorsrf➜ cd lorsrf➜ sudo pip3 install requests flask安装脚步 :恩格罗克运行您的ngrok ...
008-Web安全基础4 - 请求伪造漏洞.pptx
10-11
SSRF是一种由攻击者构造形成由服务端发起请求的一个安全漏洞 一般情况下,SSRF攻击的目标是从外网无法访问的内部系统 可以对外网、内网、本地进行端口扫描,某些情况下端口的Banner会回显出来(比如3306的) 使用...
ctfshowSSRF
遇事不决冲冲冲
10-02 3500
web351 <?php error_reporting(0); highlight_file(__FILE__); $url=$_POST['url']; $ch=curl_init($url); curl_setopt($ch, CURLOPT_HEADER, 0); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $result=curl_exec($ch); curl_close($ch); echo ($result); ?> 没有防护直
[网鼎杯 2018]Fakebook(ssrf漏洞)
qq_44657899的博客
03-16 4597
因为是看了wp才做出来的,所以就直接记录过程和知识点了。 知识点:SSRF SSRF,也就是Server Side RequestForgery—服务器端请求伪造。从字面上来看,与CSRF不同的是,它是服务器端发出的请求伪造而非从用户一端提交。别误会,作为受信任用户,服务器当然不可能做出损害用户信息的事。它是一种由攻击者构造形成,由服务端发起请求的一个安全漏洞。因为它是由服务端发起的,所以它能够请...
CTF web题总结--SSRF
热门推荐
bob的博客
08-29 1万+
SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内网。(正因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内网) SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤和限制。即SSRF漏洞就是通过篡改 获取
ctfshow SSRF专题
会下雪的晴天
01-02 819
title: ctfshow SSRF专题 date: 2020-12-30 11:49:30 categories: ctfshow 新博客地址:https://yq1ng.github.io/ 随缘更 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) web351 web.
SSRF详解 基于CTFHub(下篇)
Bossfrank的博客
04-28 1152
本文简要介绍了SSRF服务端请求伪造的原理,并通过CTFHub的实例,介绍SSRF的基本原理、利用方式、绕过思路等。
CTF-WEB总结之SSRF利用
weixin_41038905的博客
05-01 2497
1、dirsearch目录扫描 看不到内容是由于php的<被当做一个注释。php的格式 <?php ... ?> 通过dict协议探测端口
CTFSHOW WEB入门
qq_51558360的博客
10-11 4381
----------信息搜集---------- 源码泄露 查看源码即可 前台JS绕过 直接开发者工具查看源码 当然也可以抓包查看 也可以禁用js查看源码 协议头信息泄露 或者抓一下包也可 robots后台泄露 phps源码泄露 根据题目猜测输入index.phps 下载到一个index.phps打开得到flag 源码压缩包泄露 访问www.zip 没有flag,尝试访问fl000g.txt 版本控制泄露源码 Git是一个开源的分布式版本控制系统 git代码泄露,git上传代码会在目录创
ctfshow web入门-ssrf
akxnxbshai的博客
05-13 747
目录 开头: web 351 web 352 web 353 web 354 web 355 web 356 web 357 Web 358 Web 359 Web 360 开头: 简单了解一下SSRF。 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统
ctfshow web入门 代码审计
12-10
CTF比赛中的Web入门题目通常是一些简单的Web应用程序,可以通过代码审计来发现漏洞并获取flag。 以下是一些常见的Web漏洞和审计技巧: 1. SQL注入:通过构造恶意的SQL语句来绕过应用程序的身份验证和访问控制。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

TurkeyMan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值