NSSCTF-Web方向题目-WriteUP-NSSCTF-5604
North-Glory 2024-12-04
CTF
NSSCTF
WriteUP
[LitCTF 2024]这套题是Web方向入门题单,这是我的第27题
| 题目编号 | 题目名称 | 题目方向 | 难度 |
|---|---|---|---|
| 5604 | 浏览器也能套娃? | Web | 1 |
# 题目27:浏览器也能套娃?
# 题目描述:浏览器里套浏览器再套浏览器!
# 考点:SSRF服务器端请求伪造
# 预期解:用伪协议查看服务器文件内容
进入页面后,发现是在页面里显示了一个浏览器,如下图
这道题需要对SSRF伪协议有一个基本的了解,掌握基本的用法
SSRF(服务器端请求伪造,Server-Side Request Forgery):
定义:是一种网络安全攻击,攻击者可以通过服务器发起未经授权的请求,目的是利用服务器向其他网络或服务器发送恶意请求。简单来说,就是攻击者诱导服务器去访问本来不应该访问的资源或地址。
作用:允许浏览器或应用访问本地计算机中的文件,而不是通过网络访问资源。
示例:file:///C:/Users/YourName/Documents/file.txt,这个伪协议会让浏览器直接显示本地硬盘中的文件。
通俗理解:这是让浏览器去你的电脑里找东西,而不是去互联网中找文件。
超级简单题,地址栏输入以下内容,即可访问文件
file:///flag
1
