攻防世界—webbaby详解

1.ssrf注入漏洞

ssrf(服务端请求伪造)是一种安全漏洞,攻击者通过该漏洞向受害服务器发出伪造的请求,从而访问并获取服务器上的资源,常见的ssrf攻击场景包括访问内部网络的服务,执行本地文件系统命令,攻击外部系统等等

ssrf注入漏洞是一种特殊的ssrf漏洞,攻击者通过在目标网站的url参数中注入恶意代码,是服务器向攻击者指定的网址发起请求,从而实现攻击者的目的,例如,攻击者可以利用ssrf注入漏洞访问内部系统,窃取敏感i信息,发起攻击等

2.文件读取漏洞

文件读取漏洞是一种web应用程序漏洞,攻击者可以借助该漏洞读取系统中的敏感文件或配置文件,该漏洞常常出现在对于用户上传没有充分进行验证和处理时,攻击者可以通过上传一个包含特殊字符的文件名,例如(".../.../.../etc/passwd"),来访问系统中的敏感文件,从而获取敏感信息或控制系统,因此,web应用程序的开发者需要对用户上传的文件进行严格的过滤

开始做题

打开题目,提示不是内部用户,通过内部这两个字可以联想到ssrf注入漏洞,尝试访问ssrf.php文件

如图所示的结果,使用文件读取协议file:///etc/passwd回显了第二张图的内容

使用file:///flag可以直接读取到flag

感谢支持!!!!

相关推荐
编程小能手@7 分钟前
【计算机网络】子网划分
服务器·网络·计算机网络
骷大人1 小时前
Thinkphp6实现websocket
网络·websocket·网络协议
中云时代-防御可测试-小余1 小时前
怎么选择合适的高防IP
服务器·网络·网络协议·tcp/ip·阿里云·udp·ddos
碳酸的唐4 小时前
现代网络安全攻防技术与发展现状
网络·安全·web安全
CodeWithMe4 小时前
【Net】TCP粘包与半包
网络·网络协议·tcp/ip
m0_555762905 小时前
使用 Let‘s Encrypt 和 Certbot 为 Cloudflare 托管的域名申请 SSL 证书
网络·网络协议·ssl
挺6的还5 小时前
15.进程间通信(一)
linux
电子科技圈5 小时前
芯科科技推出首批第三代无线开发平台SoC,高度集成的解决方案推动下一波物联网实现突破
嵌入式硬件·mcu·物联网·网络安全·智能家居·智能硬件·iot
舰长1156 小时前
源的企业级网络安全检测工具Prism X(棱镜X)
安全·web安全
CYRUS_STUDIO6 小时前
攻防 FART 脱壳:特征检测识别 + 对抗绕过全解析
android·安全·逆向