ctfhub -SSRF

最新推荐文章于 2024-05-21 22:07:05 发布
最新推荐文章于 2024-05-21 22:07:05 发布
阅读量422 收藏
点赞数 1
文章标签: 安全 http 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55702959/article/details/122773299
版权

目录

内网访问

伪协议读取文件

 端口扫描

 POST请求

上传文件

FastCGI协议 

Redis协议

URL Bypass

 数字IP Bypass

302跳转 Bypass

DNS重绑定 Bypass

 

内网访问

SSRF(Server-Side Request Forgery:服务请求伪造)是一种由攻击者构造,从而让服务端发起请求的一种安全漏洞,它将一个可以发起网络请求的服务当作跳板来攻击其他服务,SSRF的攻击目标一般是内网。

?url=127.0.0.1/flag.php

抓包

伪协议读取文件

https://blog.csdn.net/qq_39431542/article/details/89483887

php伪协议:
File:// 访问本地文件系统
http:// 访问 HTTPs 网址
ftp:// 访问 ftp URL
Php:// 访问输入输出流
Zlib:// 压缩流
Data:// 数据
Ssh2:// security shell2
Expect:// 处理交互式的流
Glob:// 查找匹配的文件路径

?url=file:///var/www/html/flag.php

 端口扫描

 

 

 POST请求


https://blog.csdn.net/qq_33295410/article/details/108619685

上传文件

CTFHUB-技能树-Web-SSRF-上传文件 - 码上快乐https://www.codeprj.com/blog/d165a31.html

FastCGI协议 

Fastcgi就是一个通信协议,而FastCGI就是服务器中间件与某个语言后端进行数据交换的协议。

https://blog.csdn.net/mysteryflower/article/details/94386461

---------------------------------------------

解题文章

ctfhub-fastcgi协议_o3Ev的博客-CSDN博客https://blog.csdn.net/qq_51652864/article/details/118697060CTFHub-SSRF部分(已完结)_feng的博客-CSDN博客_ctfhub ssrfhttps://blog.csdn.net/rfrder/article/details/108589988

Redis协议

Redis协议详细规范 Redis客户端和服务器端通信使用名为 RESP (REdis Serialization Protocol) 的协议。 虽然这个协议是专门为Redis设计的,它也可以用在其它 client-server 通信模式的软件上。

CTFHub SSRF | Y0ng的博客http://www.yongsheng.site/2021/04/04/CTFHub%20SSRF/

https://www.freebuf.com/articles/web/258365.html 

URL Bypass

题目说url必须一“http://notfound.ctfhub.com”开头。我们可以用@绕过“http://notfound.ctfhub.com@127.0.0.1(http://notfound.ctfhub.com连接到站点127.0.0.1)

 数字IP Bypass

题目提示:这次ban掉了127以及172.不能使用点分十进制的IP了。但是又要访问127.0.0.1。该怎么办呢

我们访问IP地址,十六进制,二进制转换在线计算器,在线计算,在线计算器,计算器在线计算icon-default.png?t=M0H8https://www.osgeo.cn/app/sc126

 

进行ip的转换在访问?url=http://2130706433/flag.php

302跳转 Bypass

报错说必须从目标机本地访问:

 我们构造/?url=http://127.0.0.1/flag.php,发现被检测了:

网址为 http://xip.io,当访问这个服务的任意子域名的时候,都会重定向到这个子域名,举个例子:

当我们访问 http://127.0.0.1.xip.io/flag.php,那么实际上我们访问的是就 http://127.0.0.1/flag.php

将127.0.0.1用0或localhost等代替。

盲猜访问

http://0.xip.io/flag.php
http://localhost.xip.io/flag.php
http://①②⑦.⓪.⓪.①.xip.io/flag.php

 

DNS重绑定 Bypass

对于用户请求的URL参数,首先服务器端会对其进行DNS解析,然后对于DNS服务器返回的IP地址进行判断,如果在黑名单中,就pass掉。

但是在整个过程中,第一次去请求DNS服务进行域名解析到第二次服务端去请求URL之间存在一个时间差,利用这个时间差,我们可以进行DNS 重绑定攻击。我们利用DNS Rebinding技术,在第一次校验IP的时候返回一个合法的IP,在真实发起请求的时候,返回我们真正想要访问的内网IP即可。

要完成DNS重绑定攻击,我们需要一个域名,并且将这个域名的解析指定到我们自己的DNS Server,在我们的可控的DNS Server上编写解析服务,设置TTL时间为0,这是为了防止有DNS服务器对解析结果进行缓存。这样就可以进行攻击了,完整的攻击流程为:

  1. 服务器端获得URL参数,进行第一次DNS解析,获得了一个非内网的IP

  2. 对于获得的IP进行判断,发现为非黑名单IP,则通过验证

  3. 服务器端对于URL进行访问,由于DNS服务器设置的TTL为0,所以再次进行DNS解析,这一次DNS服务器返回的是内网地址。

  4. 由于已经绕过验证,所以服务器端返回访问内网资源的结果。

    参考wp:我在CTFHub学习SSRF - FreeBuf网络安全行业门户

 

我们可以自己编写解析服务,也可以利用这个网站获取一个测试用的域名:rbndr.us dns rebinding serviceicon-default.png?t=M0H8https://lock.cmpxchg8b.com/rebinder.html

访问:

 

 

daphne31
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTFHUB SSRF 【全】
Jay17的博客
04-17 1317
CTFHUB SSRF 题解 【全】
CTFHub-SSRF部分(已完结)
热门推荐
feng的博客
09-14 1万+
内网访问 根据题目意思,让我们如访问内网的flag.php,因此抓包进行访问,即可得到flag: 伪协议读取文件 根据题目的意思我们需要使用URL的伪协议去读取文件,那么我们首先要了解URL的伪协议。 URL伪协议有如下这些: file:/// dict:// sftp:// ldap:// tftp:// gopher:// 具体的用法请参考SSRF中URL的伪协议 这里我们使用file伪协议从文件系统中读取文件,我们直接抓包读取: 这里其实有点考常识了,因为网站的目录一般都在/var/ww
CTFHUB技能树——SSRF(一)
最新发布
2401_82985722的博客
05-21 1258
大多是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制,导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据。(7)从URL关键字中寻找(share、wap、url、link、src、source、target、u、display、sourceURl、imageURL、domain)(1)可以对外网、内网、本地进行端口扫描,某些情况下端口的Banner会回显出来(比如3306的);(5)使用file:///协议读取本地文件(或其他协议)
CTFHub-SSRF(全部)
1stPeak's Blog
08-01 2686
文章目录内网访问伪协议读取文件端口扫描POST请求 内网访问 解题步骤 伪协议读取文件 解题步骤 端口扫描 提示: 根据提示对目标端口进行爆破 注:使用字典也可以,用for循环写一个字典出来,还有就是爆破时线程不能太高,太高容易失败,无法爆出来 POST请求 注:中途靶机重启过一次,网址有些改变,不要在意,看payload即可 解题步骤 根据网上的一些内容,他共有3个php文件,分别是flag.php、302.php、index.php http://challenge-d01e92
CTFHUB - SSRF
m0_64180167的博客
10-05 534
gopher 是个万能协议 用来查看信息我们利用的时候 需要按GET POST 格式写请求包然后通过 一次url编码修改%0a 为 %0d%0a在末尾也要写上 %0d%0a然后再进行一次url编码然后按照 gopher格式gopher://ip:port/_数据流写入即可我们发现 ssrf 我们可以传递 需要的数据包 需要是值 我们就可以传递值 需要是文件我们也可以传递文件。
CTFHUB--技能树--SSRF全解(上篇)
errorr0
05-11 2178
SSRF技能树
uptime-checks-ssrf
04-06
这是视频,介绍在那里发现的31,000美元盲SSRF的理论:该实验室只是一个模拟,它使您可以尝试使用视频中介绍的盲目数据泄露的先进技术来尝试编写利用程序的技能。 有一个公开的服务可以模拟GCP控制台的“正常运行...
开发技术-硬件-SSRF前端挡光元件设计中的若干力学问题研究.zip
04-09
SSRF(Server-Side Request Forgery)前端挡光元件设计中的力学问题研究主要涉及软件开发与硬件工程的交叉领域,特别是在网络安全和机械结构设计方面。SSRF是一种利用服务器发起请求的安全漏洞,通常针对的是服务器...
开发技术-硬件-SSRF前端挡光元件设计中的若干力学问.zip
04-09
开发技术-硬件
mars-ssrf:SSRFDedektörü
03-04
火星 SSRFDedektörü
exchange-ssrf-rce:交换服务
03-15
用法 python3 .\exchange-exp.py 使用方式: python PoC.py <target> ...[*] Getting ComputerName and DomainName [+] domain : xxx-xxxx | [+] computer : xxx.xxx-xxxx.xxx | [*] Getting LegacyDN ...
SSRF详解 基于CTFHub(上篇)
Bossfrank的博客
04-28 1855
本文简要介绍了SSRF服务端请求伪造的原理,并通过CTFHub的实例,介绍SSRF的基本原理、利用方式、绕过思路等。
CTFHUB SSRF POST小记
I_WORM的博客
02-02 1390
ctfhub ssrf post小记
CTFhub-ssrf-POST请求
qq_51553814的博客
08-11 3858
CTFhub-ssrf-POST请求 解题 进入靶场,首先看到的是一片空白,没有任何返回,甚至看源码里面也没有任何东西 使用dirsearch扫描,扫出了一个文件/index.php 还有一个flag.php,我是在网上看WP才知道有这个文件,看了很多篇WP都没有说这个文件怎么来的,只是直接说发现了这个文件 现在先来看一看这两个文件吧 首先是flag.php文件,我们让url=127.0.0.1/flag.php,通过内网来访问就能直接访问到了,访问后是一个方框 再看源码发现,需要用post传输一个key
CTFHub技能树 Web-SSRF 上传文件
Senimo
07-04 1772
CTFHub技能树 Web-SSRF 上传文件 hint:这次需要上传一个文件到flag.php了,祝你好运 启动环境,依然为空白页面,查看URL: http://challenge-30455822aa791779.sandbox.ctfhub.com:10800/?url=_ 其通过 GET 方式传递了参数url,依照之前题目,尝试访问?url=127.0.0.1/flag.php: 提示需要上传 Webshell,只有选择文件功能,并没有提交按钮。 使用file协议读取flag.php的源码: ?
CTFHub-FastCGI协议及其ssrf漏洞
XYH_233的博客
02-04 642
​FastCGI协议和HTTP协议一样是通信协议
CTFHUB技能树-SSRF【持续更新】
qq_33295410的博客
09-16 7013
CTFHUB SSRF POST请求首先开始解题构造gopher数据构造获取flag的请求 POST请求 最近ctfhub新添加了一些题目,看到有ssrf的题目便去试了一下,前面几个都比较简单就暂时先不写,post 请求那个折腾了几天终于弄懂了,把过程记录下。 首先 我们看下题目描述,这个肯定是不能错过的。 描述:这次是发一个HTTP POST请求.对了.ssrf是用php的curl实现的.并且会跟踪302跳转.我准备了一个302.php,可能对你有用哦 开始解题 我们打开题目,发现了flag.php 3
ctfhub--web--SSRF(1.内网访问2.伪协议读取文件 3.端口扫描 4.POST请求 5.文件上传 8.URL Bypass 9.数字IP Bypass) )
feiniaotjx的博客
10-10 543
ctfhub--web--SSRF1.内网访问2.伪协议读取文件3.端口扫描4.POST请求 1.内网访问 传参给url,访问一个地址文件 2.伪协议读取文件 读取网站文件 3.端口扫描 通过返回的内容判断端口是否存在 import requests try: for i in range(8000,9001): url='http://challenge-43493ad3b38edf3f.sandbox.ctfhub.com:10800/?url=127.0.0.1:'+
CTFHub技能树 Web-SSRF DNS重绑定 Bypass
Senimo
07-05 1838
CTFHub技能树 Web-SSRF DNS重绑定 Bypass hint:关键词:DNS重绑定。剩下的自己来吧,也许附件中的链接能有些帮助 启动环境,打开题目为空白,查看URL: http://challenge-cafd9f03daa84720.sandbox.ctfhub.com:10800/?url=_ 与之前一样的形式,查看?url=127.0.0.1/flag.php: 提示不允许企业内部IP访问,尝试使用file协议读取源码:?url=file:///var/www/html/index.
CTFHUB SSRF文件上传
07-28
- *1* *2* *3* [CTFHub-SSRF---(Post请求/上传文件/FastCGI/Redis/URL/数字IP/302跳转/DNS重绑定 Bypass)](https://blog.csdn.net/qq_31710331/article/details/119765578)[target="_blank" data-report-click={"spm...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值