攻防世界—webbaby详解

1.ssrf注入漏洞

ssrf(服务端请求伪造)是一种安全漏洞,攻击者通过该漏洞向受害服务器发出伪造的请求,从而访问并获取服务器上的资源,常见的ssrf攻击场景包括访问内部网络的服务,执行本地文件系统命令,攻击外部系统等等

ssrf注入漏洞是一种特殊的ssrf漏洞,攻击者通过在目标网站的url参数中注入恶意代码,是服务器向攻击者指定的网址发起请求,从而实现攻击者的目的,例如,攻击者可以利用ssrf注入漏洞访问内部系统,窃取敏感i信息,发起攻击等

2.文件读取漏洞

文件读取漏洞是一种web应用程序漏洞,攻击者可以借助该漏洞读取系统中的敏感文件或配置文件,该漏洞常常出现在对于用户上传没有充分进行验证和处理时,攻击者可以通过上传一个包含特殊字符的文件名,例如(".../.../.../etc/passwd"),来访问系统中的敏感文件,从而获取敏感信息或控制系统,因此,web应用程序的开发者需要对用户上传的文件进行严格的过滤

开始做题

打开题目,提示不是内部用户,通过内部这两个字可以联想到ssrf注入漏洞,尝试访问ssrf.php文件

如图所示的结果,使用文件读取协议file:///etc/passwd回显了第二张图的内容

使用file:///flag可以直接读取到flag

感谢支持!!!!

相关推荐
轻抚酸~9 分钟前
小迪23-28~31-js简单回顾
javascript·web安全
羊锦磊4 小时前
[ java 网络 ] TPC与UDP协议
java·网络·网络协议
筵陌5 小时前
Linux线程概念与控制(下)
linux
-SGlow-6 小时前
MySQL相关概念和易错知识点(3)(表内容的CURD、内置函数)
linux·运维·服务器·数据库·mysql
永远向阳而生7 小时前
【Linux】磁盘存储+文件系统简介
linux
君不见~7 小时前
Windows 10 WSL&Ubuntu 22.04 安装并迁移到 F 盘
linux·ubuntu·wsl迁移盘符·wsl迁移
PanYu——BJ7 小时前
CentOS Nginx 1.13.9 部署文档
linux·nginx·centos
UQWRJ7 小时前
菜鸟教程Linux ViVimYumApt笔记
linux·运维·笔记
Ray Song7 小时前
Linux DNS解析3 -- DNS解析代理配置使用
linux·dns解析·dns代理
cpsvps8 小时前
文件系统完整性校验工具在美服安全审计中的关键作用与实施步骤
服务器·网络·架构