CTF web题总结--SSRF

最新推荐文章于 2025-07-01 19:59:11 发布
原创 最新推荐文章于 2025-07-01 19:59:11 发布 · 1.5w 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web #安全漏洞

本文深入解析了SSRF(Server-Side Request Forgery)漏洞的概念及原理,并通过PHP代码示例展示了如何利用file_get_contents()函数存在的漏洞实施攻击。此外,文章还提供了一种获取内网资源的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内网。(正因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内网)
SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤和限制。即SSRF漏洞就是通过篡改获取资源的请求发送给服务器,但是服务器并没有发现这个请求是非法的,然后服务器以他的身份来访问其他服务器的资源。

利用php中file_get_contents()漏洞:

<?php
if (isset($_POST['url'])) {
    $url = $_POST['url'];
    if (preg_match('/^http[s]?:\/\/([(\w|\d)+\.]+[\/]?)*/', $url, $matches)) {
        $content = file_get_contents($_POST['url']);
        $filename = str_replace('/', '', $matches[1]);
        $filename = './chuoybinu/' . md5($filename) . $matches[1];
        file_put_contents($filename, $content);
        $image = getimagesize($filename);
        $image_type = $image[2];
        if(in_array($image_type, array(IMAGETYPE_GIF, IMAGETYPE_JPEG, IMAGETYPE_PNG, IMAGETYPE_BMP))) { 
            echo '<img src="' . $url . '">';
        } else {
            echo '<a href="' . $url . '">' . $url . '</a>';
        }
    } else if (preg_match('/^file:\/\/([\/\w\d\.]+)/', $url)) {
        $content = file_get_contents($url);
        readfile($file);
        $filename = './chuoybinu/' . md5(time());
        file_put_contents($filename, $content);
        if (strpos($url, '_')) {
            echo '<p>Flag is not such easy to get!(:◎)≡</p>';
        } else {
            echo '<a href="' . $filename . '">' . $filename . '</a>';
        }
    } else {
        echo '<p>Protocol Not Supported!(:◎)≡</p>';
    }
} else {
?>

审计代码发现开头必须是 http[s]😕/ 或者是 file:// ,可以进行SSRF攻击:

  1. 首先读取index.php:
file:///var/www/index.php
  1. 观察到flag在 flag_chunibyou.php 中,但是index限制读取的文文件不不能包含 _ ,所以只能找其他方法。
  2. 根据提示,数据库文件是可以访问的,从index文件中可以看到数据库结构,因此可以下载ibd文文件:
file://.../ctf/user.ibd
  1. 通过 strings user.idb 可以拿到password,进而拿到flag。
CTFHub之webssrf
ineedmoreMuQ的博客
07-24 384
2024/7/24我们来做一做CTFHub之webssrf的靶场攻略。
CTFweb学习记录 -- SSRF
lifanxin的博客
06-29 2083
SSRF概述SSRF原理SSRF漏洞修复一道例总结 概述   SSRF(Server-Side Request Forgery)服务器端请求伪造,是一种由攻击者构造请求,服务器端发起请求的安全漏洞。当然之所以要这样曲折,是因为SSRF的目标一般是外网无法访问的内部系统,所以需要用服务器端发送。 SSRF原理   SSRF形成的原因在于服务器端提供了从其它服务器应用获取数据的功能且没有对目标地址做过滤和限制。通过该漏洞我们可以攻击内网的服务器,获取相应的资源信息,利用file协议读取内部网络文件等。   如
CTFHub SSRF总结
iO快到碗里来
08-25 2984
内网访问 目描述:尝试访问位于127.0.0.1的flag.php吧 进入目: 可以看到该链接可以传入一个参数url=,跟据目描述直接构造payload:url=http://127.0.0.1/flag.php,成功得到flag。 伪协议读取文件 目描述:尝试去读取一下Web目录下的flag.php吧 进入目: 和第一一样,可以传入一个参数url=,首先尝试第一的payload:url=http://127.0.0.1/flag.php 蟹bro,What’s up ??? F12看
CTF自学-SSRF(1)
最新发布
m0_61926696的博客
07-01 394
SSRF(Server-Side Request Forgery)即服务端请求伪造,应用的场景通常是在已经获取某台服务器的漏洞后,利用这台服务器发送请求获取同一内网环境中其他服务器上的资源(或者本服务器上的其他资源),这些资源通常是在内网环境中开放访问而对外网ip则进行限制。
CTF Web-SSRF
weixin_44414845的博客
11-16 168
CTF Web-SSRF1.SSRF 常见场景:2.SSRF 常见后端实现2.1 file_get_contents2.2 fsockopen2.3 curl2.4 总结3.SSRF 利用思路3.1 利用Curl自带协议进行攻击3.2 利用SSRF攻击本地服务3.3 攻击数据库&缓存3.3.1 redis3.3.1 Memcached3.3.3 CouchDB4.SSRF 案例 1.SSRF 常见场景: 能够对外发起网络请求的地方,就可能存在 SSRF 漏洞 从远程服务器请求资源(Upload
SSRF总结
weixin_30474613的博客
06-22 452
ssrf漏洞,全称为服务端请求伪造漏洞,由于有的web应用需要实现从其它服务器上获取资源的功能,但是没有对url进行限制,导致可以构造非本意的url对内网或者其它服务器发起恶意请求。ssrf漏洞的危害可以通过ssrf漏洞可以对内网或本地机器进行主机发现,服务版本探测或者针对内网或本地一些薄弱的应用进行攻击,同时利用ssrf漏洞还可以时服务器主动发起请求,从而做为一个攻击跳板或者绕过CDN找到其...
CTFHub-Web-SSRF过程
2401_86440467的博客
08-10 2001
开启环境访问后,url=后添加如下,得到flag。
CTF 攻防世界 Web: SSRF Me write-up
qq_60256199的博客
11-22 780
CTF 攻防世界 Web: SSRF Me write-up
CTFHub技能树 Web-SSRF系列通过全技巧(已完结)
m0_59151303的博客
07-24 1443
第二步:选择一个文件上传,点击提交查询并用Burp Suite抓包,修改包内容,右击发送到Reperter,打开重放器,发现有中文乱码,修改中文乱码为“提交“,点击发送,发现Content-Length:的长度改变。第三步:用在线工具对修改后包进行URL编码,将编码后内容的%0A替换成%0D%0A并且在末尾再加一个%0D%0A,对替换后的内容再进行URL编码。第三步:用在线工具进行URL编码,将编码后内容的%0A替换成%0D%0A并且在末尾再加一个%0D%0A,对替换后的内容再进行URL编码。
CTFHub技能树 Web-SSRF
2301_80176211的博客
08-27 269
进入技能书,找到WEB-SSRF
CTFHub技能树 Web-SSRF篇(保姆级通过全攻略)
2301_76631050的博客
07-24 1137
要完成DNS重绑定攻击,我们需要一个域名,并且将这个域名的解析指定到我们自己的DNS Serve在我们的可控的DNS Server上编写解析服务,设置TTL时间为0,这是为了防止有DNS服务器对解析结果进行缓存。步骤三:将HTTP头部的Host字段修改为127.0.0.1:80然后就是老操作... url编码一次在把%0A换成 %0D%0A 并且末尾要加上%0D%0A,然后再对url进行第二次编码....如下。步骤三:将其中的%0A 替换成%0D%0A 并且末尾要加上%0D%0A。
ctfshow SSRF总结
qq_53755216的博客
04-25 1312
web351 <?php error_reporting(0); highlight_file(__FILE__); $url=$_POST['url']; $ch=curl_init($url); curl_setopt($ch, CURLOPT_HEADER, 0); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $result=curl_exec($ch); curl_close($ch); echo ($result); ?> 直接POST
CTFshow刷日记-WEB-SSRFweb351-360)SSRF总结
Love&Share
09-28 8905
SSRF基础 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) 相关函数和类 file_get_contents():将整个文件或一个url所指向的文件读入一个字符串中 readfile():输出一个文件的内容 fsockopen():打开一个网络连接或者一个Unix 套接字连接
ssrf漏洞 CTF
zb0567的专栏
04-21 1920
扫描 /index.php /robots.txt User-agent: * Disallow: /webshe11231231231.php http://*:8016/index.php?url=www.baidu.com http://*:8016/index.php?url=file:///etc/passwd 读取文件 http://*:8016/index.php?u...
ctfshow ssrf
jie_a的博客
07-03 483
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) web351-353 前两个无过滤 url=http://127.0.0.1/flag.php 第三个 payload:url=http://0x7F000001/flag.php 也可以用地址转换进制 转换 web354 Y4师傅
ctfshow web入门 SSRF(超详解)
qq_50589021的博客
09-08 8118
前言 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) https://ctf-wiki.org/web/ssrf/ https://www.freebuf.com/articles/web/260806.html web351 <?php error_reporting(0)
CTF目合集
cgygsw的博客
01-26 5056
在给定的代码中,call_user_func_array(array($this, $this->method), $this->args) 的作用是调用对象 $this 的方法 $this->method(也就是调用ping函数的方法 也就是destruct下面那个ping函数),并将 $this->args 数组作为参数传递给该方法。反序列化之后就会调用wakeup这个函数 : 这个函数的内容 是对参数的内容进行了循环遍历 执行WAF函数的内容。
SSRF类型的CTF目[De1CTF 2019]SSRF Me1
weixin_73049307的博客
09-26 1046
第一个if要求传入的action中含有scan,然后调用scan函数从文件中查找param这个文件,将文件名给resp,然后通过tmpfile函数写入result.txt中,且令它连通。我们已知flag在flag.txt中,而且最终要通过/De1ta中的param来得到,所以/De1ta中的param=flag.txt。第二个if要求传入的action中含有read,然后从result.txt中查找连通的文件作为f,并让result['data']=f.read得到它的内容。
CTFSHOW SSRF
羽的博客
01-05 4771
了前八道,因为目上的比较匆忙,提前做下就当测试目了。 web351 存在一个flag.php页面,访问会返回不是本地用户的消息,那肯定是要让我们以本地用户去访问127.0.0.1/flag.php payload:url=http://127.0.0.1/flag.php web352 过滤了localhost和127.0.0。还是有很多方法的,比如127.0.1 、127.1、 127。0.0.1 或者转成16进制 2进制 转进制的地址https://tool.520101.com/wangluo/
ctf-ssrf-redis
06-14
我们正在讨论CTF比赛中与SSRF(Server-SideRequestForgery)和Redis相关的攻击或防御技巧。...> 参考案例:某CTF通过SSRF的gopher协议发送Redis命令写入Webshell,最终用蚁剑连接获取flag(引用[2])。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值