攻防世界—webbaby详解

1.ssrf注入漏洞

ssrf(服务端请求伪造)是一种安全漏洞,攻击者通过该漏洞向受害服务器发出伪造的请求,从而访问并获取服务器上的资源,常见的ssrf攻击场景包括访问内部网络的服务,执行本地文件系统命令,攻击外部系统等等

ssrf注入漏洞是一种特殊的ssrf漏洞,攻击者通过在目标网站的url参数中注入恶意代码,是服务器向攻击者指定的网址发起请求,从而实现攻击者的目的,例如,攻击者可以利用ssrf注入漏洞访问内部系统,窃取敏感i信息,发起攻击等

2.文件读取漏洞

文件读取漏洞是一种web应用程序漏洞,攻击者可以借助该漏洞读取系统中的敏感文件或配置文件,该漏洞常常出现在对于用户上传没有充分进行验证和处理时,攻击者可以通过上传一个包含特殊字符的文件名,例如(".../.../.../etc/passwd"),来访问系统中的敏感文件,从而获取敏感信息或控制系统,因此,web应用程序的开发者需要对用户上传的文件进行严格的过滤

开始做题

打开题目,提示不是内部用户,通过内部这两个字可以联想到ssrf注入漏洞,尝试访问ssrf.php文件

如图所示的结果,使用文件读取协议file:///etc/passwd回显了第二张图的内容

使用file:///flag可以直接读取到flag

感谢支持!!!!

相关推荐
xixixi777778 小时前
信息安全和网络安全的区分在哪
网络·安全·web安全·信息安全
金仓拾光集8 小时前
__金仓数据库替代MongoDB护航医疗隐私:医院患者随访记录安全存储实践__
数据库·安全·mongodb
newxtc8 小时前
【江苏政务服务网-注册_登录安全分析报告】
人工智能·安全·yolo·政务·1024程序员节·安全爆破
cellurw8 小时前
Day69 SQLite3动态库移植 + BMP图像解析显示 + 进度条控件设计与动态文本管理
linux
上海云盾第一敬业销售9 小时前
游戏盾和高防IP的差异与选择
网络·tcp/ip·游戏
nono牛9 小时前
Linux基础指令大全(快速上手)
linux·服务器·windows·智能手机
<但凡.9 小时前
Linux修炼:库制作与原理(一)
linux·运维·服务器
程序员大柱9 小时前
推荐一个免费的IP地址库:纯真社区版IP库
网络·网络协议·tcp/ip
lang201509289 小时前
Spring空安全指南:告别空指针异常
java·安全·spring
Tony Bai10 小时前
【Go 网络编程全解】14 QUIC 与 HTTP/3:探索下一代互联网协议
开发语言·网络·后端·http·golang