攻防世界—webbaby详解

1.ssrf注入漏洞

ssrf(服务端请求伪造)是一种安全漏洞,攻击者通过该漏洞向受害服务器发出伪造的请求,从而访问并获取服务器上的资源,常见的ssrf攻击场景包括访问内部网络的服务,执行本地文件系统命令,攻击外部系统等等

ssrf注入漏洞是一种特殊的ssrf漏洞,攻击者通过在目标网站的url参数中注入恶意代码,是服务器向攻击者指定的网址发起请求,从而实现攻击者的目的,例如,攻击者可以利用ssrf注入漏洞访问内部系统,窃取敏感i信息,发起攻击等

2.文件读取漏洞

文件读取漏洞是一种web应用程序漏洞,攻击者可以借助该漏洞读取系统中的敏感文件或配置文件,该漏洞常常出现在对于用户上传没有充分进行验证和处理时,攻击者可以通过上传一个包含特殊字符的文件名,例如(".../.../.../etc/passwd"),来访问系统中的敏感文件,从而获取敏感信息或控制系统,因此,web应用程序的开发者需要对用户上传的文件进行严格的过滤

开始做题

打开题目,提示不是内部用户,通过内部这两个字可以联想到ssrf注入漏洞,尝试访问ssrf.php文件

如图所示的结果,使用文件读取协议file:///etc/passwd回显了第二张图的内容

使用file:///flag可以直接读取到flag

感谢支持!!!!

相关推荐
2401_853275731 小时前
Sentinel实现原理
服务器·网络·sentinel
楼台的春风2 小时前
【Linux驱动开发 ---- 4_驱动开发框架和 API】
linux·c语言·c++·人工智能·驱动开发·嵌入式硬件·ubuntu
楼台的春风2 小时前
【Linux驱动开发 ---- 1.1_Linux 基础操作入门】
linux·c语言·c++·人工智能·驱动开发·嵌入式硬件·ubuntu
Listennnn4 小时前
AI Agent开发与安全
人工智能·安全
新时代牛马4 小时前
OpenSSL引擎 + PKCS11 + SoftHSM2认证
linux
皓月盈江5 小时前
国产Linux银河麒麟操作系统安装开源免费Draw.io(diagrams.net)替代Visio
linux·ubuntu·开源·draw.io·visio·银河麒麟操作系统·diagrams.net
炎码工坊6 小时前
服务网格安全(Istio):用零信任架构重构微服务通信安全
网络安全·微服务·云原生·系统安全·安全架构
西岭千秋雪_7 小时前
计算机网络学习笔记:TCP可靠传输实现、超时重传时间选择
网络·笔记·学习·tcp/ip·计算机网络
2301_793102497 小时前
linux——C程序的编译与调试
linux
三体世界7 小时前
HTTPS加密原理
linux·开发语言·网络·c++·网络协议·http·https