HTTP协议是浏览器和服务器中间件进行数据交换的协议,浏览器将HTTP头和HTTP体用某个规则组装成数据包,以TCP的方式发送到服务器中间件,服务器中间件按照规则将数据包解码,并按要求拿到用户需要的数据,再以HTTP协议的规则打包返回给服务器。 fastcgi协议则是服务器中间件和某个语言后端进行数据交换的协议。Fastcgi协议由多...
在我们使用一系列的方式进行信息搜集后发现目标机器使用了Fastcgi并且确认其网站上存在ssrf漏洞。 因为看他的原理就可以发现这个实现是有点复杂的,所以我们可以直接利用网上的exp进行攻击。 第一种方法利用GOPHER生成payload直接打: 可以看到打成功了。 写个定时任务就能一直弹shell了。 我们观察一下Gophers给我们的poc。
SSRF 常配合 DICT 协议探测内网端口开放情况,但不是所有的端口都可以被探测,一般只能探测出一些带 TCP 回显的端口,我们可以使用py写一个脚本发请求,或者使用bp爆破。 我们拿一道例题来演示:ctfhub技能树ssrf端口扫描 打开题目url为: http://challenge-d40e76290d36996f.sandbox.:10800/?url= 我们使用dict协议+bur...
在CTFhub的SSRF内网访问中,可以利用伪协议读取文件,查看网站目录文件通常位于`var/www/html`目录下。通过发送特定请求,可以获取源代码。端口扫描后,使用bp爆破工具找到特定端口。POST请求可以通过gopher协议发送,利用伪协议读取文件的方法获取源代码,上传文件时,需要将文件通过gopher协议发送。FastCGI协议下...
《FastCGI_SSRF》 单就FTP_SSRF而言,本题比上面两篇文章中讲到的内容简单不少。 上两篇文章中提到的内容中RCE的点是PHP-FPM,涉及到FastCGI协议(传输格式)、Web中间件等好多内容,RCE的套接字也是唯一的:127.0.0.1:9000。 而本题RCE的点是自己写的shellcheck,这个RCE在本地(127.0.0.1)任何端口都能触发,且传送的...
http://4o4notfound.org/ssrf.php?url=file:///etc/passwd 即可看到很多不可描述的东西。同理,如果屏蔽回显,该协议就废了 http/s:主要用来探测内网服务。根据响应的状态判断内网端口及服务,可以结合java系列0day和其他各种0day使用 三、攻击应用 主要攻击redis、discuz、fastcgi、memcache、内网脆弱应用这几类应用...
(SSRF(server-side request forge,服务端请求伪造),是攻击者让服务端发起构造的指定请求链接造成的漏洞。通过该实验了解SSRF漏洞的基础知识及演示实践。) 前言 有关SSRF(Server-Side Request Forgery:服务器端请求伪造)介绍的文章很多了,这里主要是把自己学习和打ctf中遇到的一些trick和用法整理和记录一下。
这里创建了一个空密码的mysql用户,并且flag就在数据库中。之前已经有利用gopher协议攻击redis、fastcgi等的案例。我们可以试着利用gopher攻击一下mysql。这里有两个要点 绕过ip检查,实现ssrf 研究mysql协议,构造payload 0x01 SSRF 通过代码逻辑我们可知 url->php parse_url(过滤ip)->过滤url各部分(空白字符和数字)-...
这里创建了一个空密码的mysql用户,并且flag就在数据库中。之前已经有利用gopher协议攻击redis、fastcgi等的案例。我们可以试着利用gopher攻击一下mysql。这里有两个要点 绕过ip检查,实现ssrf 研究mysql协议,构造payload 0×01 SSRF 通过代码逻辑我们可知 url->php parse_url(过滤ip)->过滤url各部分(空白字符和数字)-...
这里创建了一个空密码的mysql用户,并且flag就在数据库中。之前已经有利用gopher协议攻击redis、fastcgi等的案例。我们可以试着利用gopher攻击一下mysql。这里有两个要点 绕过ip检查,实现ssrf 研究mysql协议,构造payload 0x01 SSRF 通过代码逻辑我们可知 url->php parse_url(过滤ip)->过滤url各部分(空白字符和数字)->...