四,post请求
1.打开环境,提示说发一个HTTP POST请求,ssrf是用php的curl实现的.并且会跟踪302跳转。
2.用dirsearch扫一下常见的端口,看到有三个可以访问的页面
3.构造伪协议,因为要通过172.0.0.1访问,我们需要bp抓包来修改,先访问一下302.php,没有什么,再访问flag.php,有一个key值,但是不是我们想要的东西。
4.看一下flag.php的源码,上面说使用gopher://协议进行传输,修改一下
5.进行二次编码(后面解释),再发送post请求,即可成功。
五,上传文件
1.提示说,需要上传一个flag.php文件,按照之前的惯例,就是上传一个一句话木马,先用file协议访问一下flag.php,看看它原本是什么,
2.看到里面有上传文件的位置,但是没有提交的按钮,那就自己加一个
语句: <input type="submit" value="提交">
3.上传文件后抓包,和上一题一样,需要两次编码,编码后放包访问就可以得到flag
六,FastCGI协议
附件:Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp编写-CSDN博客
1.进入Gopherus目录下,先弄一个payload出来
2.对payload编码
3.抓flag
4.二次编码
5.输入payload,访问
附
gopher协议
在SSRF中经常会使用Gopher来构造GET/POST包攻击应用
Gopherus:go语言的高效静态代码分析工具
1.为什么要用:
工具会对playload进行两次url转码,为了绕过网址访问时进行的url解码,故必须再次对工具构造的playload进行url编码。
2.使用流程
(1)kali下载:用root身份 git clone https://github.com/tarunkant/Gopherus.git
(2)进入该目录 cd Gopherus
(3)
./gopherus.py --exploit fastcgi 明确攻击协议
(4)工具提示先设置可访问的网页文件地址(一般是php文件),然后加载命令(shell)。
文件地址:/var/www/html/index.php(一般都是这个,如果不是用其他工具扫了看)
shell:输入ls / 看根目录,直接输ls应该看不到什么
(5)这样你就得到了一个已经编码过一次的payload,然后再编码一次(url编码),放到url里,就可以得到你想要的了。
(6)后面的步骤要看情况而定。
3.为什么要二次编码
kctf web方向与php学习记录24(SSRF续)_gopher --exploit fastcgi-CSDN博客文章浏览阅读645次。一,FastCGI协议根据附件提示,只要找到9000端口并监听,然后构造可执行任意代码的playload上传即可。这里推荐一款神器Gopherus,安装简单,装在kali里就可以了。工具会对playload进行两次url转码,为了绕过网址访问时进行的url解码,故必须再次对工具构造的playload进行url编码。1工具的使用首先,输入python gopherus.py --exploit fastcgi明确攻击协议,然后构造访问用的playload。工具提示先设置可访问的网页文件地址,然后加载命_gopher --exploit fastcgihttps://blog.csdn.net/weixin_46203060/article/details/109548606
)
)
