[网鼎杯 2020 玄武组]SSRFMe

[网鼎杯 2020 玄武组]SSRFMe

news/2024/10/5 14:44:19/文章来源:https://blog.csdn.net/2202_75361164/article/details/137570588

[网鼎杯 2020 玄武组]SSRFMe

源码

<?php
function check_inner_ip($url)
{$match_result=preg_match('/^(http|https|gopher|dict)?:\/\/.*(\/)?.*$/',$url);if (!$match_result){die('url fomat error');}try{$url_parse=parse_url($url);}catch(Exception $e){die('url fomat error');return false;}$hostname=$url_parse['host'];$ip=gethostbyname($hostname);$int_ip=ip2long($ip);return ip2long('127.0.0.0')>>24 == $int_ip>>24 || ip2long('10.0.0.0')>>24 == $int_ip>>24 || ip2long('172.16.0.0')>>20 == $int_ip>>20 || ip2long('192.168.0.0')>>16 == $int_ip>>16;
}function safe_request_url($url)
{if (check_inner_ip($url)){echo $url.' is inner ip';}else{$ch = curl_init();curl_setopt($ch, CURLOPT_URL, $url);curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);curl_setopt($ch, CURLOPT_HEADER, 0);$output = curl_exec($ch);$result_info = curl_getinfo($ch);if ($result_info['redirect_url']){safe_request_url($result_info['redirect_url']);}curl_close($ch);var_dump($output);}}
if(isset($_GET['url'])){$url = $_GET['url'];if(!empty($url)){safe_request_url($url);}
}
else{highlight_file(__FILE__);
}
// Please visit hint.php locally.
?>

题目给了提示，请在本地访问hint.php。
代码不算难懂：就是只能使用这些协议：http|https|gopher|dict，而且还进行了过滤不严的127.0.0.1，直接使用0.0.0.0绕过
[[ssrf绕过#绕过127.0.0.1]]
访问得到

<?php
if($_SERVER['REMOTE_ADDR']==="127.0.0.1"){highlight_file(__FILE__);
}
if(isset($_POST['file'])){file_put_contents($_POST['file'],"<?php echo 'redispass is root';exit();".$_POST['file']);
}

尝试绕过死亡exit()，但是/var目录没有写了权限，/tmp目录有写入权限
而且这里给了提示：redis pass is root 告诉我们密码是root

主从复制

[[redis-主从复制]]

原理

字面意思，redis为了数据更改方便，有这一模式，主机的内容更改会导致从机的内容跟着更改。
这时我们将自己的服务主机设置为主机，目标的设置为从机，则从机会有主机的执行脚本，从而rce
详细的参考博客
redis主从复制

使用

准备工作

需要使用
https://github.com/xmsec/redis-ssrf 和 https://github.com/n0b0dyCN/redis-rogue-server 下的exp.so文件

使用过程

在自己的服务主机里把这两个py文件和exp.so传至同一目录下，也可以开个小号使用buu内网

更改ssrf-redis.py内容

这里只需要更改4处内容就行
lhost改为自己或者buu内网的IP，command改为执行的命令

更改ip绕过本题的waf

根据提示填入passwd为root

生成payload启动服务

只是在kali下演示一下，自己主机得到的回显

使用payload得到flag，要进行二次编码

反弹shell

参考下一篇文章
[网鼎杯 2020 玄武组]SSRFMe-反弹shell

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.rhkb.cn/news/303120.html

如若内容造成侵权/违法违规/事实不符，请联系长河编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！

相关文章

真实世界的映照-DDD实体

真实世界的映照-DDD实体

什么是实体？ 实体，官方的解释是：实体（Entity，又称为Reference Object）很多对象不是通过他们的属性定义的，而是通过一连串的连续事件和标识定义的。主要由标识定义的对象被称为ENTITY。但&…

阅读更多...

RTThread studio 驱动开发

RTThread studio 驱动开发

rtthread 驱动使用的两种情况 rtthread studio 自动生成由 RT Thread Studio 自动生成，无需修改任何文件或者简单定义几个宏即可直接使用的驱动，如 GPIO，UART，I2C，SPI，SDIO 和 ETH 等。使用 RT-Thread S…

阅读更多...

嵌入式硬件中常见的面试问题与实现

嵌入式硬件中常见的面试问题与实现

1 01 请列举您知道的电阻、电容、电感品牌（最好包括国内、国外品牌） ▶电阻美国：AVX、VISHAY威世日本：KOA兴亚、Kyocera京瓷、muRata村田、Panasonic松下、ROHM罗姆、susumu、TDK 台湾：LIZ丽智、PHYCOM飞元、RALEC旺诠、ROYALOHM厚生、SUPEROHM美隆、TA-I大毅、TMT…

阅读更多...

STM32学习和实践笔记（6）:自己进行时钟配置的思路

STM32学习和实践笔记（6）:自己进行时钟配置的思路

在《STM32学习和实践笔记（4）: 分析和理解GPIO_InitTypeDef GPIO_InitStructure (d)-CSDN博客》中，我了解到，在程序执行我们写的main函数之前，实际上先执行了一个汇编语言所写的启动文件，以完成相应的初始…

阅读更多...

TCP协议简单总结

TCP协议简单总结

TCP：传输控制协议特点：面向连接、可靠通信 TCP的最终目的：要保证在不可靠的信道上实现可靠的传输 TCP主要有三个步骤实现可靠传输：三次握手建立连接，传输数据进行确认，四次挥手断开连接三次握手建立可靠…

阅读更多...

【刷题篇】回溯算法(二)

【刷题篇】回溯算法(二)

文章目录 1、求根节点到叶节点数字之和2、二叉树剪枝3、验证二叉搜索树4、二叉搜索树中第K小的元素5、二叉树的所有路径 1、求根节点到叶节点数字之和给你一个二叉树的根节点 root ，树中每个节点都存放有一个 0 到 9 之间的数字。每条从根节点到叶节点的路径都代表…

阅读更多...

网络安全---Packet Tracer - 配置扩展 ACL

网络安全---Packet Tracer - 配置扩展 ACL

一、实验目的在Windows环境下利用Cisco Packet Tracer进行配置防火墙操作。二、实验环境 1.Windows10、Cisco Packet Tracer 8.2 2.相关的环境设置在最初的时候，我们已经得到了搭建好的拓扑模型，利用已经搭建好的拓扑模型，进行后续的…

阅读更多...

【AAOS车载系统+AOSP14系统攻城狮入门实战课】：正式上线了(二百零三)

【AAOS车载系统+AOSP14系统攻城狮入门实战课】：正式上线了(二百零三)

简介： CSDN博客专家，专注Android/Linux系统，分享多mic语音方案、音视频、编解码等技术，与大家一起成长！ 优质专栏：Audio工程师进阶系列【原创干货持续更新中……】🚀 优质专栏：多媒…

阅读更多...

B02、分析GC日志-6.3

B02、分析GC日志-6.3

1、相关GC日志参数 -verbose:gc 输出gc日志信息，默认输出到标准输出-XX:PrintGC 输出GC日志。类似：-verbose:gc-XX:PrintGCDetails 在发生垃圾回收时打印内存回收详细的日志， 并在进程退出时输出当前内存各区域分配情况-XX:PrintGCTimeStamp…

阅读更多...

K8S容器空间不足问题分析和解决

K8S容器空间不足问题分析和解决

如上图，今天测试环境的K8S平台出现了一个问题，其中的一个容器报错：Free disk space below threshold. Available: 3223552 bytes (threshold: 10485760B)，意思服务器硬盘空间不够了。这个问题怎么产生的，又怎么解决的呢…

阅读更多...

springboot+vue2+elementui+mybatis- 批量导出导入

springboot+vue2+elementui+mybatis- 批量导出导入

全部导出批量导出报错问题分析经过排查，原因是因为在发起 axios 请求的时候，没有指定响应的数据类型（这里需要指定响应的数据类型为 blob 二进制文件） 当响应数据回来后，会执行 axios 后置拦截器的代码&#xff0…

阅读更多...

Linux内核映像vmlinux、Image、zImage、uImage，system.map区别

Linux内核映像vmlinux、Image、zImage、uImage，system.map区别

编译好内核后，一般都会生成标题中的各种文件，这些文件都有什么不同呢？ vmlinux（elf文件） vmlinux：Linux内核编译出来的原始的内核文件，elf格式，未做压缩处理。该映像可用于定位内…

阅读更多...

JVM—垃圾收集器

JVM—垃圾收集器

JVM—垃圾收集器什么是垃圾没有被引用的对象就是垃圾。怎么找到垃圾引用计数法当对象引用消失，对象就称为垃圾。对象消失一个引用，计数减去一，当引用都消失了，计数就会变为0.此时这个对象就会变成垃圾。在堆内存中主…

阅读更多...

基于SpringBoot2.x、SpringCloud和SpringCloudAlibaba并采用前后端分离的企业级微服务多租户系统架构

基于SpringBoot2.x、SpringCloud和SpringCloudAlibaba并采用前后端分离的企业级微服务多租户系统架构

简介基于SpringBoot2.x、SpringCloud和SpringCloudAlibaba并采用前后端分离的企业级微服务多租户系统架构。并引入组件化的思想实现高内聚低耦合并且高度可配置化，适合学习和企业中使用。真正实现了基于RBAC、jwt和oauth2的无状态统一权限认证的解决方案&#x…

阅读更多...

天池医疗AI大赛[第一季] Rank5解决方案

天池医疗AI大赛[第一季] Rank5解决方案

一、赛题说明数据格式本次大赛数据集包含数千份高危患者的低剂量肺部CT影像（mhd格式）数据，每个影像包含一系列胸腔的多个轴向切片。每个影像包含的切片数量会随着扫描机器、扫描层厚和患者的不同而有差异。原始图像为三维图像。这个三维图…

阅读更多...

C++设计模式：抽象工厂模式（七）

C++设计模式：抽象工厂模式（七）

1、定义与动机抽象工厂定义：提供一个接口，让该接口负责创建一系列“相关或者相互依赖的对象”，无需指定它们具体的类动机： 在软件系统中，经常面临着“一系列相互依赖的对象”的创建工作；同时，…

阅读更多...

从ChatGPT到多模态大模型:现状与未来(多模态)

从ChatGPT到多模态大模型:现状与未来(多模态)

ChatGPT 训练的核心技术主要包括: 预训练语言模型;有监督微调;基于人类反馈的强化学习 (ReinforcementLearningfrom Human Feedback,RLHF) 首先,通过自监督预训练使语言模型从大规模语料库中学习语言规律,具备基础理解和生成能力;然后,通过构造指令微调数据集并对模型进…

阅读更多...

uniapp在发行原始云打包ios时提示私钥证书不是有效的p12文件

uniapp在发行原始云打包ios时提示私钥证书不是有效的p12文件

uniapp在发行原始云打包ios时提示私钥证书不是有效的p12文件解决方法： 经过我多次的创建p12证书文件，然后更换设备继续创建，仍然存在这个问题，通过排查不是.p12的本身的问题，而是命名的问题，命名不能是中…

阅读更多...

数据仓库的概念和作用？如何搭建数据仓库？

数据仓库的概念和作用？如何搭建数据仓库？

随着企业规模的扩大和数据量的爆炸性增长，有效管理和分析海量数据成为企业数字化转型的关键。而在互联网的普及过程中，信息技术已深入渗透各行业，逐渐融入企业的日常运营。然而，企业在信息化建设中面临了一系列困境和挑战&#xf…

阅读更多...

MKS GHW-12 RF Plasma Generator Genesis 使用说明

MKS GHW-12 RF Plasma Generator Genesis 使用说明

MKS GHW-12 RF Plasma Generator Genesis 使用说明

阅读更多...

最新文章

推荐文章