ssrf学习（ctfhub靶场）

ssrf练习

目录

ssrf类型

漏洞形成原理（来自网络）

靶场题目

第一题（url探测网站下文件）

第二关（使用伪协议）

关于http和file协议的理解

file协议

http协议

第三关（端口扫描）

第四关（post请求）

---

ssrf类型

漏洞形成原理（来自网络）

很多网站提供了从其他的服务器上获取数据的功能。通过指定的URL，网站可以从其他地方获取图片、下载文件、读取文件内容等。SSRF的实质就是利用存在缺陷的Web站点作为代理攻击远程和本地的服务器。

SSRF漏洞形成的原因大都是由于服务端提供了从其他服务器获取数据的功能但没有对目标地址做过滤与限制。攻击者可以利用改漏洞获取内部系统的一些信息（因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内网系统）。

靶场题目

第一题（url探测网站下文件）

非常的简单，ok呀，有30分钟，不着急，这一关的目的应该是通过url跳转到内网服务器上的127.0.0.1/flag，没有做任何限制，导致可以直接读取到内网的文件

/?url=http://127.0.0.1/flag.php

?url这个意思应该是参数可控，导致可以跳转到别的界面

题目让我们访问内网的http://127.0.0.1/flag.php

开头也是直接给出来了啊，非常的不错，没有什么难度

第二关（使用伪协议）

Apache2的默认目录在：/var/www/html，也就是网站的默认目录

让我想一想，这一关和上一关有什么不同的地方，上一关是直接读取内网的127.0.0.1/flag.php文件，那这一关为什么不可以呢？

我尝试用http协议，发现并不能访问到这个文件

用file协议就可以获取，当然也可以写成/?url=http:///var/www/html/flag.php，/应该是表示本地的IP地址的意思

关于http和file协议的理解

file协议主要是读取本地的文件，是不对外开放的

http协议是对外开放的，在搭建的网站下的目录

file协议

本地系统的文件

http协议

，例如读取到pikachu下的文件（靶场的本地网站）

第三关（端口扫描）

这一关需要使用dict伪协议了，具体是什么我也不知道啊

在网上找的

Dict协议

查看端口，版本信息；向服务器端口请求curl命令

来靶场给的提示

开局一个IP地址啊，非常的人性化，

那我们直接加上dict协议，再打开我们的bp开始爆破

添加payload位置

payload选数值，8000-9000

爆破到8839号时，发现长度不一样，但是里面却没有flag，怎么回事，后来发现需要使用http协议去访问这个网站，嗯？那我一开始使用http协议不好吗？反正就是看那个长度是不是一样的，

它的目的是啥，就是判断这个端口是否开放吗，那我用http协议不也是可以看这个端口是不是开放的，那不就是打得开就是开放的，

诶好像不是这样的，如果是22号端口（ssh）话，用http协议是不能判断是不是开放的，如果22号端口开放的话就可以爆破了，真聪明。好了，用http协议直接查看这个端口吧

http协议查看端口，就是这个网站的内容咯，ok啊，主页就是flag

第四关（post请求）

ok呀，开局先看wp，不然我不会写，不就是浪费我50个金币了，哎，之前金币一下就用光了，这下给省着点了，这道题好像有点麻烦，呜呜呜，以下内容参考ctfhub之ssrf练习

先分析一下，首先利用file协议进入file:///var/www/html/index.php意思是先看他的网站主页源码吧然后再就没了，然后我们再看file:///var/www/html/flag.php代码的意思是让我们用post方法提交一个key值，然后它就给我们返回一个flagkey值怎么获取呢，那就是要用url://127.0.0.1/flag.php，获取key值，要问我怎么知道key值在这个地方的话，我也不晓得，跟着网上一步一步做的Just View From 127.0.0.1，看网上好像是这个提示知道了key值是这里，要是我自己做，我哪知道 啊，我了个豆然后再由于curl支持gopher协议，所以这里是利用curl进行进行post请求，完成内网攻击。起码你必须包含以下要素POST /flag.php HTTP/1.1
Host: 127.0.0.1:80
Content-Type: application/x-www-form-urlencoded
Content-Length: 36
key=1e91e9e5b8b3cfe84f5442b9739553c6解释几个可能存在的疑问：
1.为什么这里并没有使用curl，直接从网页上发起请求就可以了？
因为index.php本身就有curl_exec()，在截取url之后的参数后本来就能够完成操作了。2.burp suite修改参数直接post行不行？
不行，虽然能够更改包参数，但是我们无法做到从服务器发起请求3.为什么需要两次编码？
这是因为在浏览器的地址栏进行get传参时，浏览器会自动进行一次UrlDecode（）的解码。但是这里curl就需要url编码的东西，所以需要编两次

参考CTFHub技能树 Web-SSRF POST请求_ctfhub 知识树 post-CSDN博客

注：在第一次编码后的数据中，将%0A全部替换为%0D%0A。
因为 Gopher协议包含的请求数据包中，可能包含有=、&等特殊字符，
避免与服务器解析传入的参数键值对混淆，所以对数据包进行 URL编码，
这样服务端会把%后的字节当做普通字节。

gopher协议格式及利用条件（看到这就是有个下划线的）

Gopher协议格式：URL:gopher://<host>:<port>/<gopher-path>_后接TCP数据流 ==》正因为这个本质，所以他可以用来发起GET、POST的http请求。

好了，开靶场了，寄，什么提示也没有，这是让我盲猜吗，是要根据前几关来做出判断吗

好了，根据前几关，我学了http协议、file协议，

先看一下http://127.0.0.1/index.php和http://127.0.0.1/index.php这里面有什么吧，前几关也是这样的，ok呀，找到了一个key值

在从网站下的目录找一下吧file://127.0.0.1/var/www/html/flag.php这里的代码没来的及截图

其实就是让我用post提交一个key值且ip地址为127.0.0.1，如果正确就返回flag

然后编码，替换我自己的key值

_POST%20/flag.php%20HTTP/1.1%0d%0AHost:127.0.0.1%0d%0AContent-Type:application/x-www-form-urlencoded%0d%0AContent-Length:36%0d%0A%0d%0Akey=d2c25785320f2cf34b3fcc8eb9e66c92%0d%0a

在编码

gopher://127.0.0.1:80/_POST%2520/flag.php%2520HTTP/1.1%250d%250AHost:127.0.0.1%250d%250AContent-Type:application/x-www-form-urlencoded%250d%250AContent-Length:36%250d%250A%250d%250Akey=d2c25785320f2cf34b3fcc8eb9e66c92%250d%250a

把编码的值放到框框里，这个框框应该是用post方法提交的，试着试着好像错了，我就在url上提交了，        

靶场时间不够了，我还续费了10分钟，其实我是把别人的payload复制过来了，改成了我自己的key值

再分析一下，需要gopher协议，换行符需要是%0D%0A，别问为啥，我也不晓得

content-length这里需要换两行（换一行行不行我也没有试过）

但是我自己去编码的时候空格会编码成加号，/会编码成%2f，但是别的文章没有，还有就是POST前面为什么会出现下划线，如果去掉会怎么样，不想再开一次靶场了，看看有没有别的靶场要不要金币

我知道了为啥会加下划线了，因为那个是gopher的语句，他的格式就是这样的

参考文章

SSRF漏洞原理解析[通俗易懂]-腾讯云开发者社区-腾讯云 (tencent.com)

Ubuntu 18.04 Apache2默认网站目录和默认网站主页修改_改变apache2的目录默认样式-CSDN博客

http协议与file协议_浏览器file协议-CSDN博客

服务器端请求伪造--SSRF - FreeBuf网络安全行业门户

SSRF - ctfhub - 1【内网访问、伪协议读取、端口扫描、POST详解、上传文件】_ssrf用bp扫描的协议-CSDN博客

【网络安全 | HTTP】 gopher协议原理、语法及利用总结-阿里云开发者社区 (aliyun.com)

Gopher协议原理和限制介绍——Gopher协议支持发出GET、POST请求（类似协议转换）：可以先截获get请求包和post请求包，在构成符合gopher协议的请求 - bonelee - 博客园 (cnblogs.com)