[NISACTF 2022]easyssrf wp(SSRF入门)

原创 已于 2023-04-11 00:03:46 修改 · 2.3k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全

于 2023-04-11 00:00:47 首次发布
文章介绍了SSRF攻击中常用的file和Gopher协议,以及PHP中的file_get_contents()、readfile()和curl_exec()函数。通过示例代码展示了如何利用这些函数触发SSRF,并详细描述了在NISACTF2022的EasySSRF题目中,逐步构造payload来寻找并读取目标文件的过程,最终找到flag。

在wp开始前,先介绍入门阶段最常用的关于SSRF的类和函数以及相关协议:

file协议:

我们通常要利用filex协议来进行文件读取,下面是file的最简单的用法

file:///etc/passwd
Gopher协议:

gopher是在ssrf中最常用的攻击协议,我们常常可以利用它来攻击网站从而来获取到flag(由于还没怎么了解所以就不哗众取丑了)

file_get_contents()函数

测试代码:

//ssrf.php
<?php
$url = $_GET['url'];;
echo file_get_contents($url);
?>

上述测试代码中,file_get_contents() 函数将整个文件或一个url所指向的文件读入一个字符串中,并展示给用户,我们构造类似ssrf.php?url=../../../../../etc/passwd的payl

最低0.47元/天 解锁文章
[NISACTF 2022]easyssrf Leaderchen
qq_73767109的博客
06-24 425
这里主要是因为不是在index.php中而在别的php文件中,可能会存在遍历。存在文件包含,利用file协议读取flag失败。访问ha1x1ux1u.php发现源码。可以使用php协议中的filter来读取。这里也可以使用写入链的方式读取。利用file协议读取。应该是过滤了file。得base64加密的。
CTF ssrf 基础入门 (一)
2301_81040377的博客
07-24 992
我发现我其实并不是很明白这个东西,有些微妙,而且记忆中也就记得Gopherus这个工具了,所以重新学习了一下,顺便记录一下吧。
nssctf web 入门(3)
qq_61988806的博客
04-13 1433
这里通过nssctf的题单入门来写,会按照题单详细解释每题。题单在中。想入门ctfweb的可以看这个系列,之后会一直出这个题单的解析,题目一共有28题,打算写10篇。
NSSCTF(easyssrf -- EasySQL)
最新发布
Zhi366293261的博客
10-27 1035
这里有PHP伪协议和SSRF的标签当然这也是一种提示进来让我们CURL这里我们用file协议来读取file:///flag发现给了我们提示让我们看看/fl4g然后给了我们一个ha1x1ux1u.php,我们访问一下回显了一段PHP代码,看了代码他说flag在/flag里,参数是file,加上前面的提示是PHP伪协议那就用回显一串base64编码,解一下码回显flag。
NSSCTF中24网安培训day2中web题目【下】
2302_78903258的博客
07-16 891
攻击者可以使用fsockopen函数来发送恶意请求,例如将远程服务器地址设置为攻击者控制的恶意服务器,然后尝试读取该服务器上的敏感数据或执行任意命令。代码的作用是通过将传递的参数$data进行base64解码后,将数据发送到指定的主机$host和端口$port,并读取响应数据。此方法返回仍然存在的所有这些引用的列表,并按定义顺序排序。然后,它将传入的 base64 编码的数据解码,并将数据写入到连接的 socket 中。那么直接构建我们的恶意的外部实体,实现攻击,先尝试获取/etc/passwd下的文件。
[NISACTF 2022]easyssrf
2301_80218721的博客
09-02 917
将得到的进行base64解码就能得到flag。害羞羞,试试其他路径?
web安全漏洞之ssrf入门
2402_87039650的博客
11-09 1386
SSRF(Server Side Request Forgery,服务端请求伪造)是一种通过构造数据进而伪造成服务端发起请求的漏洞。因为请求是由服务器内部发起,所以一般情况下SSRF漏洞的目标往往是无法从外网访问的内系统。SSRF漏洞形成的原理多是服务端提供了从外部获取数据的功能但没有对目标地址、协议等重要参数进行过滤和限制,从而导致可以自由构造参数并发出预期之外的请求。
Burp suite靶场SSRF练习(1)-持续更新中
09-09
在网络安全领域,SSRF(服务器端请求伪造)是一种常见的攻击技术,它允许攻击者迫使服务器端应用程序执行一个它本不该执行的请求。Burp Suite 是一款广泛使用的用于网络安全测试的工具,它提供了多种功能,包括手动...
NSS [NISACTF 2022]easyssrf
Jay17的博客
10-18 1279
NSS [NISACTF 2022]easyssrf
[NISACTF 2022]
snowlyzz的博客
09-09 6570
NISACTF部分WP
[NISACTF 2022]easyssrf coolsword2023
divils的博客
09-18 263
[NISACTF 2022]easyssrf coolsword2023 wp
[NISACTF 2022]easyssrf、[NISACTF 2022]level-up
2401_82985722的博客
05-27 1397
php的数组在进行string强制转换时,会将数组转换为NULL类型 null=null成立,没有绕过去。: 是 PHP 内置函数之一,用于解析 URL 字符串,将其拆分为不同的组成部分,可以获取协议、主机名、端口号、路径、查询参数等信息。函数读文件,故可以用 php://filter伪协议 读取源代码并进行base64编码输出。用于获取指定字符串A在另一个字符串B中首次出现的位置,并返回从字符串B到末尾的所有字符串。匹配任何不可见字符,/D如果以$限制结尾字符,则不允许结尾有换行。
2022NISACTF
unexpectedthing的博客
07-13 1936
NISACTF
NISA-easyssrf(wp)
wikey 的博客
03-29 2051
在做这道题之前我先简单回顾一下这道题的考点(1)LFI漏洞LFI漏洞产生的原因是由于程序员未对用户可控变量进行输入检查,此漏洞的影响可能导致泄露服务器上的敏感文件,如若攻击者能够通过其他方式在Web服务器上放置代码,那么他们便可以执行任意命令。也就是说在用户输入的界面比如查询界面由于程序猿没有过滤掉一些函数,导致用户可以不怀好意去添加恶意代码去查询网站原有文件信息。
【学习笔记】WordPress <4.5 SSRF
chualam的博客
11-01 340
SSRF服务端请求伪造 php中常见的涉及对远程资源访问的函数 fsockopen()file_get_content() curl_exec() 主要是通过request的方法 wordpress对请求的url有过滤:wp-includes/ http.php wp_http_vaildate_url进行url判断 js中的trim是删除特定符号的意思 preg_match执行正则表达式匹配 curl接受八进制 因此可以绕过ip地址段的正则表达式 有可能请求没有回显 但是可以通过nc来..
CTFHub(SSRF部分的WP)
分享与记录
11-09 1791
一、内网访问 直接访问flag.php 二、伪协议读取文件 因为网站的目录一般都在/var/www/html/,所以我们直接使用file伪协议访问flag.php就可以。在url中直接访问,这次就跟上一题不一样了,返回的不是flag而是???,应该是做了处理,所以使用burpsuite抓包查看 三、端口扫描 dict协议是一个字典服务器协议,通常用于让客户端使用过程中能够访问更多的字典源,在SSRF中如果可以使用此协议,就可以轻易获取目标服务器端口上运行的服务版本等信息(远程利用) 直接使用bu
ctfshow web入门 SSRF
02-28
### CTFShow Web 入门 SSRF 漏洞 教程 #### 什么是SSRF漏洞 SSRF (Server-Side Request Forgery, 服务器端请求伪造)是一种安全漏洞,允许攻击者构造特定形式的数据输入使服务端发起恶意构建的请求。通常这类攻击旨在让目标服务器访问内网资源或其他受保护的服务接口,这些资源通常是外部网络不可达的[^1]。 #### 利用Gopher协议针对MySQL数据库实施SSRF攻击实例 对于某些场景下的CTF练习环境而言,可能存在未设置密码的MySQL数据库。通过抓取数据包并分析其中的内容可以发现`reurl`参数表现异常,暗示着这里可能存在着可被利用的SSRF缺陷。为了验证这一点以及进一步探索潜在的安全风险,可以通过gopher协议配合专门设计用于辅助测试此类问题的应用程序——比如`gopherus`工具来生成相应的载荷(payload),进而尝试连接至本地运行的MySQL服务,并执行指定命令创建webshell文件以便后续操作[^2]。 ```bash python2 gopherus.py --exploit mysql root select '<?php eval($_POST[cmd]);?>' into outfile '/var/www/html/4.php' ``` 此段Python脚本调用了`gopherus`库中的功能函数,目的是向位于同一台机器上的MySQL数据库发送SQL语句,在/var/www/html目录下写入含有PHP代码的小型网页文件(`4.php`),该页面接收远程传来的指令并予以解析执行,从而实现反序列化后的任意代码注入效果。 #### 构造特殊URL绕过IP白名单限制 当面对严格控制客户端来源地址的应用逻辑时,巧妙运用字符串拼接技巧同样能达成突破目的。例如下面给出了一种方法,即构造形似正常业务流量却暗藏玄机的HTTP GET请求路径: ```plaintext http://ctf.@127.0.0.1/flag.php?show ``` 上述链接表面上看像是指向了一个名为`ctf.show`网站内的某个子页面;但实际上由于中间夹杂了非法字符(@),使得最终实际发出的有效部分变成了对localhost上部署有`flag.php`脚本位置的一次探测行为。这正好满足了题目所给定条件:正则表达式要求以`http://ctf.`开头以`.show`结尾[^3]。 #### 分析基于XFF头字段的身份认证机制弱点 考虑到一些Web应用程序可能会依赖于HTTP头部信息来进行用户身份识别工作,则有必要深入研究其具体处理流程是否存在安全隐患。如下所示是一份简化版伪代码片段,描述了一个简单但容易受到操纵影响的过程: ```php $xff = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); array_pop($xff); $ip = array_pop($xff); if ($ip !== '127.0.0.1') { die('error'); } else { $token = $_POST['token']; if ($token === 'ctfshow') { file_put_contents('flag.txt', $flag); } } ``` 这段PHP代码首先获取到了HTTP请求中携带的`X-Forwarded-For`(简称XFF)首部项值列表,接着从中提取倒数第二个元素作为当前用户的公网出口IP地址表示。如果这个值不是代表回环适配器的IPv4地址(也就是常说的“localhost”),那么就拒绝继续向下执行任何敏感动作;反之则会检查另一个表单变量`token`是否匹配预设密钥串,一旦成功便触发保存FLAG文本的操作。然而值得注意的是,这种方式很容易遭到伪造篡改,因为大多数情况下浏览器是可以随意修改自定义HTTP头部内容而不必经过服务器授权确认环节[^4]。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leafzzz__

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值