审计 6 SSRF和任意文件读取

最新推荐文章于 2025-06-17 16:57:46 发布
最新推荐文章于 2025-06-17 16:57:46 发布
阅读量368 收藏 1
点赞数
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/pojun/p/7354916.html
本文分析了一个特定的SSRF与任意文件读取漏洞案例,详细介绍了如何利用上传功能修改$_SESSION['avatar']变量,从而实现任意文件读取及服务器侧请求伪造(SSRF)的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1 <?php
2 error_reporting(0);
3 session_start();
4 header("Content-type:image/jpeg");
5 echo file_get_contents($_SESSION['avatar']); 
6 ?>

在第5行发现    读取的文件后,将文件进行了输出。  所以猜测此处可能存在SSRF 和  任意文件读取

搜索关键变量$_SESSION['avatar']  发现在登陆 和修改密码 读取了改变量,而上传的地方可以修改该变量 。

因为所有的$_SESSION['avatar']变量在发送数据包时都是加密的所以不能直接修改$_SESSION['avatar']导致任意文件读取,所以采用上传时修改其路径。来改$_SESSION['avatar']

 1 <?php
 2 include_once('../sys/config.php');
 3 $uploaddir = '../uploads';
 4 
 5 if (isset($_POST['submit']) && isset($_FILES['upfile'])) {
 6 
 7     if(is_pic($_FILES['upfile']['name'])){
 8 
 9         $avatar = $uploaddir . '/u_'. time(). '_' . $_FILES['upfile']['name'];
10 
11         if (move_uploaded_file($_FILES['upfile']['tmp_name'], $avatar)) {
12             //更新用户信息
13             $query = "UPDATE users SET user_avatar = '$avatar' WHERE user_id = '{$_SESSION['user_id']}'";
14             mysql_query($query, $conn) or die('update error!');
15             mysql_close($conn);
16             //刷新缓存
17             $_SESSION['avatar'] = $avatar;
18             header('Location: edit.php');
19         }
20         else {
21             echo 'upload error<br />';
22             echo '<a href="edit.php">返回</a>';
23         }
24     }else{
25         echo '只能上傳 jpg png gif!<br />';
26         echo '<a href="edit.php">返回</a>';
27     }
28 }
29 else {
30     not_find($_SERVER['PHP_SELF']);
31 }
32 ?>

在第13行发现   $query = "UPDATE users SET user_avatar = '$avatar' WHERE user_id = '{$_SESSION['user_id']}'"; 他直接把上传的路径$avatar直接取出来,更新了数据库

而UPDATE有个特殊的属性在set设置多个相同的键时,只取最后一个键的值。  因此可以导致可以构造$_SESSION['avatar']  

payload:

$avatar=  ' , user_avatar = '读取的文件路径' WHERE user_id = 'zzz'  首先用单引号把$avatar去闭合,然后用逗号接下一个构造的变量 user_avatar = '读取的文件路径' ,但是出现了一个问题  user_id不是知道   但是可以取构造   user_name='注册的用户'

然后发现  if(is_pic($_FILES['upfile']['name']))  对文件后缀进行了验证

最终payload:   $avatar=  ' , user_avatar = '读取的文件路径' WHERE  user_name='注册的用户' #.jpg

 然后用户登录 上传抓包,把抓到的

  上传文件修改文件名的包

   去取变量$avatar

   将取到的$avatar读出来

修改文件名 filename

发现数据库得到是 ../upload/..........._config.php   是因为取 单引号时对单引号和 / 进行了转义导致单引号没闭合

重新编码成16进制 绕过单引号和/

 

成功构造。

 然后先重放登录页面获取去取变量$avatar

然后在   将取到的$avatar读出来

如图所示攻击成功,本地文件任意读取。

 接下来测试SSRF

因为没有内网环境,所以测试百度  将http://www.baidu.com 

发现成功将百度页面读取,也就是可以读取内网信息。所以存在SSRF

转载于:https://www.cnblogs.com/pojun/p/7354916.html

【Java代码审计SSRF
大河之犬的博客
04-02 1701
SSRF(服务端请求伪造)是目前在大型站点中出现频率较高的漏洞。一般情况下,攻击者无法访问攻击目标的内网,SSRF 是攻击者访问内网的凭借之一,因为 SSRF 攻击是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统。SSRF 的漏洞原理很简单,基本上都是服务端提供了从其他服务器应用获取数据的功能且没有对目标地址传入命令进行过滤与限制造成的,如常见的从指定 URL地址加载图片、文本资源或者获取指定页面的网页内容等。
【漏洞挖掘】——75、任意文件读取攻防原理
Fly_鹏程万里
06-11 406
在web安全中任意文件读取漏洞是非常常见的一种漏洞,属于文件操作类漏洞,一般常见于PHP/java/python语言中,任意文件读取漏洞,顾名思义就是可以任意读取服务器上部分或者全部文件的漏洞,攻击者利用此漏洞可以读取服务器敏感文件如/etc/passwd,/etc/sadow,web.config等,漏洞一般存在于文件下载参数,文件包含参数,主要是由于程序对传入的文件名或者文件路径没有经过合理的校验,从而操作了预想之外的文件,导致意外的文件泄露。
SSRF(3)伪协议读取文件&Gopher协议的利用
m0_64417923的博客
05-12 4317
一:Http、Dictfile等协议的利用 1,内网访问 所以构造: /?url=http://127.0.0.1/flag.php 得到: ctfhub{ce475b59a4baee959112777b} 2,伪协议读取文件 最经典的PHP伪协议就是file:///协议了,可以用来读取php源码 构造payload: /?url=file:///var/www/html/flag.php 得到: 在单击右键查看源代码: 得到flag: ctfh..
ssrf 内网访问 伪协议 读取文件 端口扫描
qq_69100706的博客
08-12 694
SSRF(Server-Side Request Forgery,服务器侧请求伪造)是一种利用服务器发起网络请求的能力来攻击内网资源或执行其他恶意活动的技术。SSRF可以用于访问通常不可由外部直接访问的内网资源,读取文件,甚至进行端口扫描。
SSRF3 任意文件读取
最新发布
2401_89464052的博客
06-17 992
该文演示了通过SSRF漏洞利用file协议读取服务器敏感文件的过程。首先通过file:///etc/passwd读取系统文件,接着尝试读取PHP配置文件/var/www/html/pikachu-master/inc/config.inc.php,发现浏览器默认隐藏代码但可通过开发者工具查看。此外还展示了使用php://filter协议配合base64编码绕过限制读取文件的方法,包括如何对获取的base64编码内容进行解码。文章揭示了SSRF漏洞可能导致服务器敏感信息泄露的安全风险。
Web安全 SSRF漏洞的 测试利用.(读取服务器的任何文件)
网络安全领域___专研者.
03-04 4867
SSRF(Server-Side Request Forgery)服务端请求为伪造,SSRF是一种由攻击者构造形成由服务端发起请求的一个漏洞。(例如:攻击者操作服务端从指定URL地址获取网页文本内容,加载指定地址的图片等,利用的是服务端的请求伪造)SSRF利用存在缺陷的Web应用作为代理攻击远程本地的服务器.
ffmpeg 任意文件读取漏洞/SSRF漏洞 (CVE-2016-1897/CVE-2016-1898)
EC_Carrot的博客
06-03 2876
影响范围 FFmpeg 2.8.x < 2.8.5 FFmpeg 2.7.x < 2.7.5 FFmpeg 2.6.x < 2.6.7 FFmpeg 2.5.x < 2.5.10 漏洞环境 环境访问8080端口可以看到一个上传界面 由于vulhub并没有讲述该漏洞如何复现,我们需要进入环境查看源码 <?php if(!empty($_FILES)) { $filename = escapeshellarg($_FILES['file']['tmp_name']);
SSRF正则绕过1+SSRF文件读取
疯狂小伟哥的博客
04-16 635
docker-compose.yml文件或者docker tar原始文件。docker-compose.yml文件或者docker tar原始文件。3、扫描到文件flag.php,访问flag.php文件。4、利用file协议读取/etc/passwd文件。passwd读取成功,思考如何读取flag文件!6、成功访问passwd文件,至此实验结束。6、因此利用@、.符号?2、使用dirsearch扫描网站目录。7、至此获得flag,实验结束。5、代码中要求http格式为。4、提示仅可以本地访问。
101web漏洞挖掘之任意文件读取漏洞1
08-03
任意文件读取漏洞的根本原因在于程序设计时对客户端传递的参数,如文件名或路径,缺乏有效的验证过滤。例如,在一个URL中,`http://www.download.com/index.php?filename=code.php`,正常情况下,`filename`参数应...
python审计案例_Python代码审计实战案例总结之CRLF任意文件读取
weixin_36257554的博客
01-12 480
介绍Python代码审计方法多种多样,但是总而言之是根据前人思路的迁移融合扩展而形成。目前Python代码审计思路,呈现分散多样的趋势。Python微薄研发经验以及结合实际遇到的思路技巧进行总结,以便于朋友们的学习参考。CRLF任意文件读取审计实战CRLF 审计实战CRLF的问题经常会出现在Python的模块之中,曾经有案例说明httplib模块、urllib模块等存在CRLF问题。问题...
代码审计之csrf,ssrf
willow_liang的博客
11-12 641
CSRF (Cross -site request forgery)跨站请求伪造 csrf原理: 攻击者盗用了你的身份,以你的名义向第三方网站发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件,发私信,添加管理用户,甚 至于交易转账等。 攻击者在用户浏览网页时,利用页面元素(例如img的src),强迫受害者的浏览器向Web应用程序发送一个改变用户信息的请求。由于发生CSRF攻击后,攻击者是强迫用户向服务器发送请求,所以会造成用户信 息被...
SSRF 漏洞实践:端口扫描与任意文件读取
weixin_43822401的博客
06-10 880
SSRF 漏洞可以用来进行端口扫描任意文件读取,从而威胁目标服务器的安全。为了防止 SSRF 漏洞,需要对用户输入进行严格的校验,并使用安全的编码解码库。此外,还需要定期进行安全测试,及时发现并修复 SSRF 漏洞。
【ctfhub-ssrf】伪协议读取文件
weixin_52116519的博客
04-28 1527
题目 根据题目提示,需要我们读取服务器的web目录的flag.php文件。web目录一般在/var/www/html。 file:// 协议 中文释义:本地文件传输协议 注解:File协议主要用于访问本地计算机中的文件,就如同在Windows资源管理器中打开文件一样。 应用:要使用File协议,基本的格式如下:file:///文件路径 比如要打开F盘flash文件夹中的1.swf文件,那么可以在资源管理器或IE地址栏中键入:file:///f:/flash/1.swf并回车。 解题 ...
【CTF Web】Pikachu SSRF(file_get_content) Writeup(SSRF+读取文件)
HEX9CF的技术博客
10-16 648
其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据数据流:攻击者----->服务器---->目标地址根据后台使用的函数的不同,对应的影响利用方法又有不一样PHP中下面函数的使用不当会导致SSRF:如果一定要通过后台服务器远程去对用户指定(“或者预埋在前端的请求”)的地址进行资源请求,则请做好目标地址的过滤。
【漏洞学习——SSRF】当当网某站点SSRF可以遍历本地文件
Fly_鹏程万里
02-22 679
漏洞细节 http://caipiao.dangdang.com/api/get.php?cache_lifetime=30&amp;call_time=1467988328&amp;method=header&amp;source=a8d620b2bb6cce75bd6d7db53c1486e2&amp;url=file:///etc/passwd http://caipiao.dangda...
CTFHub技能树 Web-SSRF 伪协议读取文件
Senimo
07-01 944
CTFHub技能树 Web-SSRF 伪协议读取文件 hint:尝试去读取一下Web目录下的flag.php吧 启动环境,页面空白,查看 URL: http://challenge-d8a780b03b135e05.sandbox.ctfhub.com:10800/?url=_ 题目说明使用伪协议读取 flag,也给出了提示为 Web 目录,尝试构造 Payload,使用file协议读取文件: file:///var/www/html/flag.php 带入到 GET 传参中,查看网页源码,得到 fla
SSRF 漏洞笔记
weixin_45653478的博客
03-22 1307
Gopher 在 HTTP 协议前是非常有名的信息查找系统,但是 WWW 万维网出现之后 Gopher 逐渐没落,但是在 SSRF 漏洞中 Gopher 协议让洞利用更加灵活,利用此协议可以对 ftp,memcache,mysql,telnet,redis,等服务进行攻击,可以构造发送 GET,POST 请求包。
CTFHub技能树笔记之SSRF:内网访问、伪协议读取文件、端口扫描
weixin_48799157的博客
03-31 9843
小白一个,记录解题过程,如有错误请指正! 补充知识点: 1.什么是SSRF SSRF(Server-Side Request Forgery:服务器跨站请求),是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。 一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内网。也就是说可以利用一个网络请求的服务,当作跳板进行攻击) 2.SSRF产生的原因 SSRF 形成的原因往往是由于服务端提供了从其他服务器应用...
在PHP代码审计中,如何发现并利用SSRF漏洞进行远程文件包含攻击?请提供一个具体的操作示例。
10-27
参考资源链接:[2020 YCBCTF羊城杯官方Writeup:PHP与Web安全解题技巧实录](https://wenku.youkuaiyun.com/doc/9uv2icy61q?utm_source=wenku_answer2doc_content) SSRF(服务器端请求伪造)漏洞允许攻击者使服务器向内部或外部的任意位置发起请求,如果这些请求未经充分限制,就可能成为攻击者的攻击路径。为了帮助你深入理解如何识别利用SSRF漏洞,我推荐你阅读《2020 YCBCTF羊城杯官方Writeup:PHP与Web安全解题技巧实录》。这份资料详尽地记录了在羊城杯CTF比赛中与PHPWeb安全相关的挑战解决方案,其中包含了实际案例详细的解题步骤。 在PHP代码审计中,为了发现SSRF漏洞,你应该检查应用中所有允许用户输入的地方,并尝试输入各种协议(如***、***、***等)IP地址。以下是一个简单的工作流程示例: 1. 审计代码中所有用户可控的输入点,特别是那些用于发起网络请求的函数,比如file_get_contents、curl_exec、fsockopen等。 2. 对于每个输入点,尝试使用***协议并提供本地服务器的路径,比如尝试读取/etc/passwd,看应用是否允许这类请求。 3. 确认没有对输入的协议IP地址做严格的过滤限制。 4. 如果找到可以利用SSRF漏洞的输入点,可以进一步构造恶意的URL以获取敏感信息或执行远程代码。 示例操作: 假设我们发现在应用中,有一个参数允许我们控制fopen函数的文件名: ```php $f = fopen($input_from_user, 'r'); ``` 我们可以尝试输入: ```php *** ``` 如果服务端未对请求进行限制,我们可能会看到本地服务的响应或错误信息。这表明我们可以利用这个SSRF漏洞来读取服务器上的文件,甚至可能在本地环境中执行远程代码。 通过这个方法,你可以对找到的SSRF漏洞进行深入分析,并尝试利用它来执行远程文件包含攻击,最终获取敏感数据或者提升权限。 在你理解了如何识别利用SSRF漏洞后,你将能够在实际的安全审计中应用这些知识。《2020 YCBCTF羊城杯官方Writeup:PHP与Web安全解题技巧实录》不仅能帮助你理解识别SSRF漏洞,还能提供更多的CTF实战经验。通过深入学习这份资料,你可以获得更为全面的技术理解实战技巧。 参考资源链接:[2020 YCBCTF羊城杯官方Writeup:PHP与Web安全解题技巧实录](https://wenku.youkuaiyun.com/doc/9uv2icy61q?utm_source=wenku_answer2doc_content)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值