企业3合1网站建设,html 网站 模板,wordpress 百科 插件,网站开发众包平台目录 一、环境
二、漏洞讲解
三、靶场讲解
四、可利用协议
4.1 dict协议
4.2 file协议
4.3 gopher协议
五、看一道ctf题吧#xff08;长亭的比赛#xff09;
5.1环境
5.2开始测试
编辑 一、环境
pikachu#xff0c;这里我直接docker拉取的#xff0c;我只写原…目录 一、环境
二、漏洞讲解
三、靶场讲解
四、可利用协议
4.1 dict协议
4.2 file协议
4.3 gopher协议
五、看一道ctf题吧长亭的比赛
5.1环境
5.2开始测试
编辑 一、环境
pikachu这里我直接docker拉取的我只写原理靶场都是随便找的
docker run --name piakchu -d -p 8000:80 area39/pikachu 二、漏洞讲解
SSRF(Server-Side Request Forgery:服务器端请求伪造)
其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制
导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据 数据流:攻击者-----服务器----目标地址 根据后台使用的函数的不同,对应的影响和利用方法又有不一样
PHP中下面函数的使用不当会导致SSRF:
file_get_contents()
fsockopen()
curl_exec()如果一定要通过后台服务器远程去对用户指定(或者预埋在前端的请求)的地址进行资源请求,则请做好目标地址的过滤。三、靶场讲解
首先点进来是一首诗点击后url后面会有参数请求本地的一个资源?urlhttp://127.0.0.1/vul/ssrf/ssrf_info/info1.php 去看看源码吧用vscode直接远程连接docker里面 请求的东西在这里 代码不等于空就执行最后curl_exec执行 比如访问百度就会把百度加载出来那这有什么用呢有什么危害 可以通过各种协议读取文件等等我们一个一个研究
四、可利用协议
4.1 dict协议
dict 协议是一个在线网络字典协议这个协议是用来架设一个字典服务的。不过貌似用的比较少所以网上基本没啥资料包括谷歌上。可以看到用这个协议架设的服务可以用 telnet 来登陆说明这个协议应该是基于 tcp 协议开发的。
所以像 mysql 的服务因为也是基于 tcp 协议开发所以用 dict 协议的方式打开也能强行读取一些 mysql 服务的返回内容比如我本地开的mysql我们尝试读取
利用点在于可以探测内网端口比如我们渗透的时候遇到的不出网协议fastcgiredis pass:readis【6379】未授权访问写入webshell物理路径写入任务计划反弹webshell写入公钥直接登录服务器很盛行因为低版本90%的人基本上不会设置密码但到2024年有些企业很注意这个点了大部分人也开始设置了
4.2 file协议
读取文件 包括php连接文件可以读出来mysql的账号和密码 4.3 gopher协议
可以发送发送gopher get请求
我们gethub上面开源了一款工具叫做gopherus这个工具
可以攻击点就这么多可以想象这个漏洞的危害已经可以直接写一句话木马了 我刚刚克隆了一下这个工具给大家展示一下作用 问反弹shell还是写入phpshell 而这个协议最重要的还是物理路径如果网站的debug没关的话也许我们日常挖洞的时候可以爆出来我docker里面做测试我已经知道本地物理路径这里只展示 我们来看一下它写入解码后的一个值是 很明显可以看到它在将我写入的内容存入到shell.php这个目录下相当于是内存数据落盘 来看看反弹shell是怎么回事
任务计划root权限 还有一个写公钥的功能它并没有但这个也合理正常来说公钥是我们自己生成的用-t就可以了这样就可以实现免密登录了 五、看一道ctf题吧长亭的比赛
5.1环境
自己网上找名字web-ssrfme.md 5.2开始测试
访问如下限制了协议file、dict、localhost,不能探测内网端口和文件 访问是可以但是没什么用 当我们去探测内网端口的时候直接nonono 但是它给了提示可以用info打印出phpinfo可以看出使用的是apache7.0 看出它的docker里面的ip 那我们去访问一下看看又打印了一次那我可以用它来探测端口3306和6379都没有反应好像什么服务都没装 bp爆破探测一下看看 但是不好的消息是好像只开放了80那没必要在这个服务器浪费时间了 手工探测一下0.10.3等等先看看很明显0.2和0.1是有服务器的但0.1是默认html文件对我们用处不大去看看0.2吧 爆破0.2很明显有6379和80端口 那我们就需要考虑传webshell但是我们不知道物理路径先猜吧/var/www/html ,用刚才的Gopherus工具生成个payload 很明显并没有写进去 用上帝视角去看一下updload给的权限这么高很明显就是上面我们所讲的 但正常做题我们并没有上帝视角一般都是用gethub上面开源的目录等等我们做题只模拟假设我们字典只有这五个 用bp抓包然后爆破假设我们扫出来了那我们gopherus的目录就要变了我们接着写入才有可能会成功 还是没有成功很快就结束了并没有下一步动作 考虑一下二次编码 再次测试,很明显已经成功实现了 但是我们发现id并没有进行一个执行 排一下错我们上帝视角改一下看看 这样是执行成功了 那说明我们写的解析有问题重新写下看看 这下是ok的那就证明正常解法就是如此那我正常入侵的时候写webshell和反弹shell也ok
