攻防世界—webbaby详解

1.ssrf注入漏洞

ssrf(服务端请求伪造)是一种安全漏洞,攻击者通过该漏洞向受害服务器发出伪造的请求,从而访问并获取服务器上的资源,常见的ssrf攻击场景包括访问内部网络的服务,执行本地文件系统命令,攻击外部系统等等

ssrf注入漏洞是一种特殊的ssrf漏洞,攻击者通过在目标网站的url参数中注入恶意代码,是服务器向攻击者指定的网址发起请求,从而实现攻击者的目的,例如,攻击者可以利用ssrf注入漏洞访问内部系统,窃取敏感i信息,发起攻击等

2.文件读取漏洞

文件读取漏洞是一种web应用程序漏洞,攻击者可以借助该漏洞读取系统中的敏感文件或配置文件,该漏洞常常出现在对于用户上传没有充分进行验证和处理时,攻击者可以通过上传一个包含特殊字符的文件名,例如(".../.../.../etc/passwd"),来访问系统中的敏感文件,从而获取敏感信息或控制系统,因此,web应用程序的开发者需要对用户上传的文件进行严格的过滤

开始做题

打开题目,提示不是内部用户,通过内部这两个字可以联想到ssrf注入漏洞,尝试访问ssrf.php文件

如图所示的结果,使用文件读取协议file:///etc/passwd回显了第二张图的内容

使用file:///flag可以直接读取到flag

感谢支持!!!!

相关推荐
IDIOT___IDIOT10 分钟前
Linux mount 命令
linux·运维·服务器
CTRA王大大1 小时前
【golang】制作linux环境+golang的Dockerfile | 如何下载golang镜像源
linux·开发语言·docker·golang
小张程序人生2 小时前
《VMware 安装 CentOS 7.9 虚拟机详细教程(含图解步骤)》
linux·centos
天纵软件3 小时前
全国网络安全知识竞赛有哪些
网络安全·技能知识竞赛·知识竞赛活动公司·知识竞赛活动策划·知识竞赛软件·高端知识竞赛活动
泡沫冰@3 小时前
管理 SELinux 安全性
linux
于冬恋4 小时前
RabbitMQ高级
服务器·网络·rabbitmq
std860214 小时前
ISO 22341 及ISO 22341-2:2025安全与韧性——防护安全——通过环境设计预防犯罪(CPTED)
安全
展信佳_daydayup5 小时前
03 基础篇-润和开发板连接过程
linux·开源·嵌入式
两张不够花5 小时前
Shell脚本源码安装Redis、MySQL、Mongodb、PostgreSQL(无报错版)
linux·数据库·redis·mysql·mongodb·postgresql·云计算
tan77º5 小时前
【Linux网络编程】分布式Json-RPC框架 - 项目设计
linux·服务器·网络·分布式·网络协议·rpc·json