刷题目录
[网鼎杯 2020 玄武组]SSRFMe
想好好做一下ssrf打redis
<?php
function check_inner_ip($url)
{
$match_result=preg_match('/^(http|https|gopher|dict)?:\/\/.*(\/)?.*$/',$url);
if (!$match_result)
{
die('url fomat error');
}
try
{
$url_parse=parse_url($url); //分割url
}
catch(Exception $e) //$e是Exception(异常) new出来的对象,包含Exception类中的所有属性方法,所以你才可以在catch中写$e->getMessage()这样的语句来打印异常信息
{
die('url fomat error');
return false;
}
$hostname=$url_parse['host'];
$ip=gethostbyname($hostname);
$int_ip=ip2long($ip);
//ip2long函数获取ip地址以及将ip地址转化为整数
//不允许内网ip发送请求
return ip2long('127.0.0.0')>>24 == $int_ip>>24 || ip2long('10.0.0.0')>>24 == $int_ip>>24 || ip2long('172.16.0.0')>>20 == $int_ip>>20 || ip2long('192.168.0.0')>>16 == $int_ip>>16;
}
function safe_request_url($url)
{
if (check_inner_ip($url))//不允许内网ip发送请求
{
echo $url.' is inner ip';
}
else
{
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_HEADER, 0);
$output = curl_exec($ch);
$result_info = curl_getinfo($ch);
if ($result_info['redirect_url'])
{
safe_request_url($result_info['redirect_url']);
}
curl_close($ch);
var_dump($output);
}
}
if(isset($_GET['url'])){
$url = $_GET['url'];
if(!empty($url)){
safe_request_url($url);
}
}
else{
highlight_file(__FILE__);
}
// Please visit hint.php locally.
?>
ip2long函数获取ip地址以及将ip地址转化为整数
-
代码审计
- check_inner_ip函数判断其是否为合法内网ip,是否使用http或gopher等协议
- safe_request_url先判断inner_ip,不符合即会开启curl会话,输入值
- curl_exec() 提示ssrf
根据提示
访问公网hint.php
/?url=htpp://0.0.0.0/hint.php
0.0.0.0的IP地址表示整个网络,代表所有主机的ipv4地址,传入绕过
#hint.php
if($_SERVER['REMOTE_ADDR']==="127.0.0.1"){
highlight_file(__FILE__);
}
if(isset($_POST['file'])){
file_put_contents($_POST['file'],"<?php echo 'redispass is root';exit();".$_POST['file']);
}
提示redispass is root
得知redis的密码是root,考点是redis主从复制rce
主从复制,是指将一台Redis服务器的数据,复制到其他的Redis服务器。前者称为主节点(master),后者称为从节点(slave);数据的复制是单向的,只能由主节点到从节点。
redis的持久化使得机器即使重启数据也不会丢失,因为redis服务器重启后会把硬盘上的文件重新恢复到内存中,但是如果硬盘的数据被删除的话数据就无法恢复了,如果通过主从复制就能解决这个问题,主redis的数据和从redis上的数据保持实时同步,当主redis写入数据是就会通过主从复制复制到其它从redis。
因为vps环境原因暂时搁置