CTFHUB之gopher协议实现SSRF
介绍 解题思路: 利用302协议(重定向)的跳转ssrf。可以访问与服务器相连的内网 ①什么是gopher协议 ②gopher协议适用条件 ③使用步骤 结构: gopher://127.0.0.1:80/内容(比如POST请求) 其中内容可以是字符串 ...
原文:SSRF攻击-运用gopher协议构造POST包--emmmm(http://10.112.68.215:10004/index.php?action=login)
还是天枢的一道CTF题,启程 分析题目,自己注册账户并登陆后,提示输入一个url,网站会自己运行查找网页信息。 emmmmm,很挑衅,网站就当作服务器,我们在url框中输入一个伪造的执行代码,让他运行获取到机密信息,哼哼。这就是SSRF 服务端请求伪造 ,伪造的代码留给服务端自己执行并返回我们需要的机密信息。 在里面乱输入了一些东西,没有任何反馈。此时,我们就要扫描网站啊。 .扫描网站 分析ro ...
2019-01-20 17:33 0 1335 推荐指数:
相关推荐
用户请求:http://www.qf.com/login.html 跳转路径:http://www.qf.com/index.php?login=vip
需要在server里面配置: location /login.html { root /usr/share/nginx/html; index login.html index.html; rewrite /login\.html http://$host ...
Gopher协议原理和限制介绍——Gopher协议支持发出GET、POST请求(类似协议转换):可以先截获get请求包和post请求包,在构成符合gopher协议的请求
Gopher 协议是 HTTP 协议出现之前,在 Internet 上常见且常用的一个协议。当然现在 Gopher 协议已经慢慢淡出历史。Gopher 协议可以做很多事情,特别是在 SSRF 中可以发挥很多重要的作用。利用此协议可以攻击内网的 FTP、Telnet、Redis ...
index.php
index是普遍意义上的“首页”,也就是你输入一个域名后会打开一个页面,基本上就是index.xxxx(基bai本上首页都不会把index.xxxx显示在url里,但也不绝对)后面的php是“Hypertext Preprocessor”,一个脚本语言,与asp、jsp一样是用来处理网站各种事 ...
Gopher协议在SSRF漏洞中的深入研究
如果需要大佬写好的脚本,可以直接去github上面搜 参考文章:https://zhuanlan.zhihu.com/p/112055947 https: ...
index.php代码
1.Margin & Padding 例1: .div { margin-top:10px; margin-right: 5px; margin-bottom:3 ...
ssrf与gopher与redis
ssrf与gopher与redis 前言 ssrf打redis是老生常谈的问题,众所周知redis可以写文件,那么ssrf使用gopher协议去控制未授权的redis进行webshell的写入和计划任务的反弹。这类文件很多,我也自以为懂了,今天看到一道ctf题目,我才发现自己细节 ...
nginx省略index.php
文件nginx\conf\vhosts.conf location / { }加入 如: ...