CTFHub-SSRF---(Post请求/上传文件/FastCGI/Redis/URL/数字IP/302跳转/DNS重绑定 Bypass)
目录
一、Post请求
二、上传文件
三、FastCGI协议
四、Redis协议
五、几道IP绕过
1.URL Bypass
2.数字IP Bypass
3. 302跳转 Bypass
4.DNS重绑定 Bypass
一、Post请求
1.先用伪协议尝试读取index.php和flag.php文件
以下为index.php源代码
再看flag.php里出现了一串奇怪的key,利用curl和gopher协议POST数据到flag.php即可
key=88e24a185b1471ea34764dfb6129c7d7
思路:往index.php里传入我们的payload
/?url=127.0.0.1:80/index.php?url=gopher://POST包
2.构造post请求
注意项: ①对构造的post包进行三次URL编码,本体一次,传入index一次,跳转到flag一次
②编码第一次后的%0A全部替换成%0D%0A
③content-length为最后一行的长度,即post数据的大小
POST /flag.php HTTP/1.1
Host: 127.0.0.1:80
Content-Type: application/x-www-form-urlencoded
Content-Length: 36key=8a6d748f4f820709cd9e444991d49dd0
进行三次编码修改后可得:
POST%252520/flag.php%252520HTTP/1.1%25250D%25250AHost%25253A%252520127.0.0.1%25253A80%25250D%25250AContent-Type%25253A%252520application/x-www-form-urlencoded%25250D%25250AContent-Length%25253A%25252036%25250D%25250A%25250D%25250Akey%25253D88e24a185b1471ea34764dfb6129c7d7
3.发送请求
gopher协议格式:URL:gopher://<host>:<port>/<gopher-path>_后接TCP数据流
?url=127.0.0.1/index.php/?url=gopher://127.0.0.1:80/_POST包
如图发送数据包即可返回两个HTTP请求(右边两次 200 OK)
注意:要进行两次?url=跳转,第一次转到127.0.0.1/index.php后,再将?url=构造的post包传入index.php后才可成功获取flag,否则返回错误
二、上传文件
1.构造file伪协议payload查看index.php和flag.php源代码
?url=file:///var/www/html/index.php(flag.php)
发现此题跟上题类似,只是这次需要post上传的是一个文件
2.网页中没有提交按钮,修改源代码添加提交按钮
<input type="submit" name="submit">
3.提交文件,并抓包,这个包就是我们要构造的POST包
编码左边请求包--->编码一次修改%0A为%0D%0A后,再连续编码两次
4.构造payload发送请求
?url=127.0.0.1/index.php/?url=gopher://127.0.0.1:80/_POST包
成功获取flag!
三、FastCGI协议
协议具体介绍和漏洞分析如下链接
Fastcgi协议分析 && PHP-FPM未授权访问漏洞
网上已经有很多利用nc 和exp解题的操作,这里使用Gopherus工具来构造payload
很多教程都是使用 /usr/local/lib/php/PEAR.php
实测发现:/var/www/html/index.php即可使用
1. 直接在gopherus中输入PHP文件后加上命令即可:ls
将得到的payload再次进行URL编码,是协议后面那串进行第二次编码
之后用burp抓包加上gopher协议并发送,返回了ls的结果,并没有发现flag相关文件
2.使用查找命令: find / -name flag*
编码操作如上,发现最后一个文件应该就是要找的flag文件
3.使用cat命令查看文件
成功拿到flag!
附上另一个大佬写的博客,看了很有启发:SSRF 学习之 ctfhub靶场-FastCGI - soapffz's blog
四、Redis协议
浅析Redis中SSRF的利用 - 先知社区 (aliyun.com)---前置知识
此题是利用gopher写入木马文件,执行命令,最后拿到flag
1.构造Redis命令(在这里我使用的是Gopherus工具)
构造一句话代码的Redis命令
2.再次编码并利用gopher协议,burp抓包发送
3.尝试用蚁剑访问shell.php
访问成功并找到flag文件
五、几道IP绕过
常用绕过方法---链接
- locahost绕过
- 利用@
- 进制转换绕过
- 短网址访问
- 利用句号:127。0。0。1 >>> 127.0.0.1
- 利用http://xip.io和xip.name绕过
- 利用Enclosed alphanumerics绕过
1.URL Bypass
根据提示构造:?url=http://notfound.ctfhub.com@127.0.0.1/flag.php
2.数字IP Bypass
当特定IP数字被过滤时,可以考虑用其他进制代替
- 例如:127.0.0.1可以转换为:
- 十六进制 = 0x7F000001
- 十进制 = 2130706433
或者使用localhost代替127.0.0.1也可
3. 302跳转 Bypass
直接访问flag.php,提示要让我们从?url=127.0.0.1中访问
访问发现该地址被过滤了
我们可以用file:///协议看下index.php的源代码
仅仅过滤了数字,用进制绕过或者localhost绕过皆可成功
4.DNS重绑定 Bypass
题目附件资料
这道题可以照搬第三题的方法,查看源代码后尝试用localhost和进制转换来绕过,发现成功
下面是使用DNS绑定攻击,参考文章:CTFHub技能树 Web-SSRF DNS重绑定 Bypass_Senimo-CSDN博客
理解原理之后,用文章中的链接工具,达到攻击效果
通过rbndr.us dns rebinding service网站设置DNS
SSRF部分到此结束,收获颇多!
CTFHub-SSRF---(Post请求/上传文件/FastCGI/Redis/URL/数字IP/302跳转/DNS重绑定 Bypass)相关推荐
- php post 文件,PHP响应post请求上传文件的方法_php技巧
本文实例讲述了PHP响应post请求上传文件的方法.分享给大家供大家参考,具体如下: function send_file($url, $post = '', $file = '') { $eol = ...
- 解决python发送multipart/form-data请求上传文件的问题
解决python发送multipart/form-data请求上传文件的问题 参考文章: (1)解决python发送multipart/form-data请求上传文件的问题 (2)https://ww ...
- java 转发上传文件_Java 发送http请求上传文件功能实例
废话不多说了,直接给大家贴代码了,具体代码如下所示: package wxapi.WxHelper; import java.io.BufferedReader; import java.io.Dat ...
- Android中使用retrofit2进行网络get请求查询数据和post请求上传文件
场景 Retrofit2 Retrofit 是对 OkHttp 的封装,是主流的网络框架. 适用于Android 和 Java 的类型安全的HTTP客户端,由Square提供的. Retrofit是一 ...
- SpringMVC实现PUT请求上传文件
在JQuery中,我们可以进行REST ful中delete和put的请求,但是在java EE标准中,默认只有在POST请求的时候,servlet 才会通过getparameter()方法取得请求体 ...
- MFC使用http post请求上传文件
文章目录 前言 代码 前言 笔者在Windows编程开发时候,有个上传文件的需求,服务端给的接口是http接口,和网页上面 表单上传文件一样(form-data方式).当然我们拿到这需求,一想 用Wi ...
- java发送post请求上传文件和json数据
java发送post请求上传文件和json数据 因为第三方的上传服务post参数使用了两个@requestpart参数. 但是feign不可以使用两个@requestpart参数.会报错:java.l ...
- Http post请求上传文件
最近遇到一个需求,需要调用HttpClient实现上传文件的功能,Content-Type为form-data形式 研究一番,代码如下: /*** multipart/form-data 上传文件方式 ...
- java http post上传文件_Java通过HTTP POST请求上传文件
我想创建一个Java应用程序来执行以下在Windows上的CURL中工作.Java通过HTTP POST请求上传文件 curl -x XXX.XXX.XXX.XXX:8080 -X POST --da ...
最新文章
- 一边动,一边画,自己就变二次元!华人小哥参与的黑科技:实时交互式视频风格化...
- 汪卫华院士:无序中找有序 复杂中寻规律
- python 四舍五入 round( x [, n] )函数 int()函数
- location驱动包_Zynq SDK 驱动探求(三):论一个外设驱动的全部身家·Xilinx SDK 驱动源码结构...
- Java基础笔记 – 增强的for循环For each循环 自动装箱拆箱 可变参数
- vlan trunk中继链路(讲解+配置)
- php 便利字符串,Go语言遍历字符串——获取每一个字符串元素
- swift调用api接口_如何在Swift中进行API调用
- //18. 定义一个基类BaseClass,从它派生出类DerivedClass,BaseClass有成员函数fn1()、fn2(),fn1()是虚函数,DerivedClass也有成员函数fn1()
- bottleneck网络结构
- 网易云信 NIM_duilib 源码分析
- WPF 让窗口激活作为前台最上层窗口的方法
- 超详细:Java 读取 Windows 共享文件夹中的文件,并下载到本地电脑中
- 青岛市人才市场2008年11月份交流会安排
- 如何处理前端js报错——容错处理的汇总
- 项目 cg day06
- 华为aaa服务器是什么系统,华为aaa认证服务器-portal认证与aaa服务器什么关系
- matlab 循环结构
- 【所思】如果要转型,你准备做什么?做产品?
- 编译原理复习——符号表