CTFHUB WEB SSRF(中)

最新推荐文章于 2024-08-28 22:25:00 发布
最新推荐文章于 2024-08-28 22:25:00 发布
阅读量52 收藏
点赞数
分类专栏: CTFHUB 文章标签: php 服务器 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wwwwyyyrre/article/details/130187531
版权
文章详细介绍了在CTF挑战中遇到的各种URL和IP绕过技术,包括使用提交按钮上传文件、URL编码来绕过限制、利用HTTP协议特性构造payload、改变IP地址的表示方式以及DNS重绑定实现访问目标。通过实例展示了如何通过这些方法找到并获取flag。
摘要由CSDN通过智能技术生成

上传文件

题目提示 让上传一个文件 和post请求基本是一样的 不同的点是它不需要302跳转

打开页面是一片空白 用file读一下源码

还是curl函数 再读一下flag.php 出来了东西

有一个上传的东西 但是没有提交 我们可以直接在浏览器里添加提交按钮

这么做是因为<input type="submit">

因为submit是提交按钮并且可以发送表单 也就是说 有了这个东西 我们上传的文件才能上传成功

 接下来就可以随便上传一个文件然后抓包 将抓到的包进行url编码 这里需要进行三次编码

因为

 gopher://IP:port/_TCP/IP数据流 这是gopher的基本结构

第一次编码需要把%0A换成%0D%0A 第二和第三次则是直接编码

在抓一个普通包 利用gopher协议来找flag

得到flag ctfhub{275c970527fa819c1e728a8e}

URL Bypass

题目提示

让我们用url的一些特殊地方来绕过

通过扫描 扫到了flag.php

访问一下 结果没得到flag

他显示要用127.0.0.1进行访问

所以我们就要构造payload 既要包含http://notfound.ctfhub.com 还要有127.0.0.1/flag.php

我首先想到的就是绕过 把前面的http://notfound.ctfhub.com饶过 让他进入127.0.0.1/flag.php

这里利用的是解析url的规则问题 类似于url重定向绕过

所以这里构造的payload是 ?url= http://notfound.ctfhub.com@127.0.0.1/flag.php

这个的意思和?url=127.0.0.1/flag.php是一样的 相当于用@绕过

这里推荐一篇大佬的博客

SSRF学习(8)URL Bypass_m0_64417923的博客-CSDN博客

我没太理解他的意思 但是我把它当作类似url重定向的绕过 类似的还有ssrf绕过 这种的会让我容易理解

最后得到了flag

 数字IP Bypass

 题目提示

给了好多限制条件 数字ip的绕过

关于数字ip的绕过 几种方法

1、更改IP地址写法

 2、利用解析URL所出现的问题

3、利用302跳转

4、通过各种非HTTP协议

5、DNS Rebinding

这道题利用的应该是更改ip地址写法

把127.0.0.1这个10进制换成8进制 16进制这种的

十六进制 = 0x7F000001

也可以把127.0.0.1换成localhost 都是本地的意思

 302跳转 Bypass

 

 绕过ip的检测 访问flag.php

先看一下源码 用file协议访问var/www/html/index.php

发现它过滤了这些 但是没有过滤localhost

那么直接访问 ?url=localhost/flag.php

或者把ip转换成10进制

用localhost

其他的 用16进制或者2进制都不能绕过

DNS重绑定 Bypass 

题目提示

先来了解一下dns重绑定

我的理解就是 我们要访问的127.0.01这个域名 但是用302重定向    去访问A就相当于访问了127.0.0.1 就是用A去访问127.0.0.1(A相当于另外一个域名)

DNS重绑定并没有违反同源策略,相当于是钻了同源策略,同域名同端口访问的空子

rbndr.us dns rebinding service这是302重定向的网站

 最后用这个ip找到了flag

?url=7f000001.7f000002.rbndr.us/flag.php

这块没太弄懂 会与其他的ssrf漏洞内容重新写一下 在CTFHUB WEB SSRF(下)中见

 

呕...
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[WEB安全] 通过CTFHub学习SSRF
Only_kele_ 的博客
03-06 4655
目录1. ssrf简介2. 例题2.1 内网访问2.2 伪协议读文件2.3 端口扫描2.4 POST请求2.5 上传文件2.6 FastCGI协议2.7 Redis协议 1. ssrf简介 2. 例题 2.1 内网访问 2.2 伪协议读文件 2.3 端口扫描 2.4 POST请求 2.5 上传文件 直接看index.php文件,和之前的一样 再看flag.php文件,需要上传一个文件,而且只能本地上传 在POST请求那里,构造过POST请求,这里上传文件也一样,尝试构造一个文件上传的http请
CTFHubwebssrf
ineedmoreMuQ的博客
07-24 285
2024/7/24我们来做一做CTFHubwebssrf的靶场攻略。
CTFHub-SSRF(全部)
1stPeak's Blog
08-01 2999
文章目录内网访问伪协议读取文件端口扫描POST请求 内网访问 解题步骤 伪协议读取文件 解题步骤 端口扫描 提示: 根据提示对目标端口进行爆破 注:使用字典也可以,用for循环写一个字典出来,还有就是爆破时线程不能太高,太高容易失败,无法爆出来 POST请求 注:途靶机重启过一次,网址有些改变,不要在意,看payload即可 解题步骤 根据网上的一些内容,他共有3个php文件,分别是flag.php、302.php、index.php http://challenge-d01e92
ctfhub利用SSRF攻击内网FastCGI协议
qq_64201116的博客
06-23 2352
SSRF初步理解与探究
CTFHUB-SSRF漏洞详解
qq_49422880的博客
05-20 1134
CTFHUB-SSRF漏洞分析(一)SSRF漏洞分析与讲解一、内网访问二、伪协议读取文件2.1常见伪协议三、端口扫描 SSRF漏洞分析与讲解   SSRF(服务端请求伪造,Server Side Request Forgery)是指未能取得服务器权限的时候,构造服务器的身份以服务器的名义给服务器所在的内网发起请求的漏洞。   一般存在于没有对用户访问的URL进行过滤;服务器提供了对于其他服务器获取文件的功能。 一、内网访问 用burpsuite抓包,将url修改为下面这个内容,返包即可 url=127.0.
CTFHUB SSRF POST小记
I_WORM的博客
02-02 1420
ctfhub ssrf post小记
CTFHUB技能树——SSRF(一)
2401_82985722的博客
05-21 1345
大多是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制,导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据。(7)从URL关键字寻找(share、wap、url、link、src、source、target、u、display、sourceURl、imageURL、domain)(1)可以对外网、内网、本地进行端口扫描,某些情况下端口的Banner会回显出来(比如3306的);(5)使用file:///协议读取本地文件(或其他协议)
CTFHubSSRF
遇事不决冲冲冲
04-24 2021
SSRF原理 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。利用的是服务端的请求伪造。ssrf是利用存在缺陷的
ctfhub Web SSRF
qq_45079558的博客
08-27 296
修改URL编码后的数据包,同POST请求一样,将%0A全部替换成%0D%0A,在请求末尾添加%0D%0A。修改编码后的内容,将%0A全部替换成%0D%0A,在请求的末尾加上%0A%0D。访问题目链接后发现没有提交按钮,需要自己在网页源码进行添加按钮。二次编码后,将gropher请求头编码后的‘:’和‘/’还原。尝试访问,提示不能访问127.0.0.1。输入以下语句访问flag.php文件。结果如下,在8314端口找到flag。将数据包内容进行URL编码,将编码后的内容输入url框。在浏览器验证该端口。
CTFHub-Web-SSRF
IceCream的博客
04-29 1929
1.题目提示说访问127.0.0.1的flag.php,在URL后面添加路径没想到直接访问成功。
CTFhub-ssrf-POST请求
qq_51553814的博客
08-11 3929
CTFhub-ssrf-POST请求 解题 进入靶场,首先看到的是一片空白,没有任何返回,甚至看源码里面也没有任何东西 使用dirsearch扫描,扫出了一个文件/index.php 还有一个flag.php,我是在网上看WP才知道有这个文件,看了很多篇WP都没有说这个文件怎么来的,只是直接说发现了这个文件 现在先来看一看这两个文件吧 首先是flag.php文件,我们让url=127.0.0.1/flag.php,通过内网来访问就能直接访问到了,访问后是一个方框 再看源码发现,需要用post传输一个key
通过ctfhub实操学习ssrf
不想当脚本小子的脚本小子
03-21 655
实战碰到的SSRF漏洞比较少,刚好在freebuf上看到了一位大佬写的ssrf系统性学习文章(https://www.freebuf.com/articles/web/258365.html)就跟着一起学习一下。 SSRF,服务端请求伪造;一般情况下,SSRF攻击的目标是外网无法连接的内部系统,比如说当我们发现一个web服务器存在ssrf时,而它又连接内网,我们就可以利用这个服务器对内网发出一些请求来获取一些敏感信息,而此时的web服务器就被当作成为跳板使用; SSRF形成的原因是由于服务端提.
CTFhub SSRF第一部分
qq_41497476的博客
09-16 798
1.内网访问 提示得很明显 就是要利用ssrf漏洞访问127.0.0.1主机内的flag.php. 在查阅资料的过程还发现了其他的绕过写法,加上这些特殊符号后对结果无影响 2.伪协议读取文件 强调了Web目录,那明显就是要用到绝对路径,file协议是用绝对路径访问本地文件的协议。 Linux系统下,网站路径是 /var/www/html/… 利用该路径去获得flag文件 看一下对比 file协议是引入绝对路径,但不理解为什么用127.0.0.1直接包含的flag.php跟用file协议绝对路径包
CTFHUB-WEB-SSRF【11】POST请求 上传文件 FastCGI协议 Redis协议
(∪.∪ )...zzz的博客
06-13 954
!!!POST请求试一下`?url=file:///var/www/html/flag.php`根据提示从127.0.0.1 访问给服务器发送一个KEY,写POST包上传文件FastCGI协议Redis协议 POST请求 试一下?url=file:///var/www/html/flag.php 根据提示从127.0.0.1 访问 给服务器发送一个KEY,写POST包 <!-- Debug: key=a977f452523073d3d7d2fd8bd41b5331--> 这个是基础po
CTFHub技能树_SSRF_Bypass
m0_54525483的博客
08-12 394
这是一个新手的做题笔记,记录一下做题的解法。 1.什么是SSRF? 很多web应用都提供了从其他服务器上获取数据的功能,根据用户指定的URL,WEB应用可以获取图片、下载文件、读取文件内容等。这种功能如果被恶意使用,将导致存在缺陷的Web应用被作为代理通道去攻击本地或远程服务器。这种形式的攻击被称为服务器端请求伪造攻击(Server-side-Request Forgery,SSRF)。 如何形成: SSRF形成的原因大都是由于服务器提供了从其他服务器或应用获取数据的功能,但没有对目标地址做出有效
一道关于php文件包含的CTF
m0_62903168的博客
08-27 1868
这是index.php的页面。点击login后会发现url里多了action的参数,那么我们就可以通过它来获取源码。?再通过base64的解码可以查看源码。
抽奖系统PHP源码开源二开版带完整后台
最新发布
jiyc2008的博客
08-28 148
抽奖系统源码是一个以php MySQL进行开发的手机抽奖系统源码。用途:适合做推广营销、直播、粉丝抽奖。1、后台可以设置每个抽奖用户的抽奖次数,后台添加设置奖品,适和企业和商场搞活动,后台添加用户,才能抽奖。经过电脑管家、网站安全狗扫描特征码,没有发现可疑文件,请放心使用。该程序可以作为活动氛围活动气氛的烘托作用,活动游戏而已!3、后台可以设置每个奖品的奖概率,奖概率采用百分制。2、后台可以添加上传抽奖商品图片和奖品名称。测试环境:php5.6 Mysql。4、会员前台可以查询奖记录。
upload-labs(Pass-18 ~ Pass-21)
m0_64849639的博客
08-23 1051
所以我们只要上传的文件后缀不是白名单的,该文件就还是会被删除2、思路:由于该文件后缀不是白名单的,该文件就还是会被删除;但是,服务器删除该php文件是有一定的延迟的,若我们在这延迟访问了该php代码,那么就会在当前目录生成shell.php文件3、实践:(1)、抓包进入爆破模块:(2)发包:此时就在源源不断的上传文件1.php服务器也在一直删除该文件;
Upload-Lab第20关:如何利用文件名可控漏洞?
didiplus
08-27 258
在Upload-Lab的第20关,系统没有对上传文件的内容进行验证,而是仅对用户输入的文件名进行了检查。具体来说,系统使用文件后缀名的黑名单进行过滤,但由于上传的文件名是用户可控的,这为绕过机制提供了可能性。此外,函数还有一个特性,即它会忽略文件名末尾的/.,这可以被利用来绕过后缀名的黑名单检查,从而上传恶意文件。通过这一关的学习,我们可以深入理解 Apache 配置文件的作用及其在安全防护的重要性。同时,这也提醒我们在设计和开发上传功能时,必须考虑到所有可能的攻击面,确保服务器配置的安全性和稳健性。
ctfhub SSRF
08-27
ctfhubSSRF模块,你可以学习和实践SSRF攻击技术,并利用平台上提供的漏洞来进行实验。 在SSRF,有一个重要的点是请求可能会跟随302跳转。你可以尝试利用这个来绕过对IP的检测,访问位于127.0.0.1的flag.php...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值