[HITCON 2017]SSRFme

最新推荐文章于 2024-06-22 17:34:31 发布
最新推荐文章于 2024-06-22 17:34:31 发布
阅读量407 收藏 2
点赞数
分类专栏: BUUCTF web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53314778/article/details/114459778
版权
web 同时被 2 个专栏收录
52 篇文章 0 订阅
订阅专栏
BUUCTF
46 篇文章 0 订阅
订阅专栏

考点:

  • 代码审计
  • SSRF

知识点

perl脚本GET open命令漏洞

GET是Lib for WWW in Perl中的命令 目的是模拟http的GET请求,GET函数底层就是调用了open处理

open存在命令执行,并且还支持file函数

pathinfo() 函数在这里插入图片描述
进入环境审一下代码:

<?php
if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
    $_SERVER['REMOTE_ADDR'] = $http_x_headers[0];
}

echo $_SERVER["REMOTE_ADDR"];

$sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);

@mkdir($sandbox);
@chdir($sandbox);

$data = shell_exec("GET " . escapeshellarg($_GET["url"]));
$info = pathinfo($_GET["filename"]);
$dir = str_replace(".", "", basename($info["dirname"]));
@mkdir($dir);
@chdir($dir);
@file_put_contents(basename($info["basename"]), $data);
highlight_file(__FILE__);

可以发现,sandbox是我们可以知道的,file_put_contents的路径也是我们可控的,我唯一不太确定的就是那个$data,看到GET,可能是一个GET请求?。。然后我先尝试file:///etc/passwd,发现没回显,然后又试了www.baidu.com,发现我写入的那个文件还是空的,又试了几个发现还是不行,就卡住了,去看了一下大师傅们的WP的前面部分。

也是可以学到一些东西的,首先就是这些:

$info = pathinfo($_GET["filename"]);
$dir = str_replace(".", "", basename($info["dirname"]));
@mkdir($dir);
@chdir($dir);
@file_put_contents(basename($info["basename"]), $data);

如果你只输入比如feng.txt这样的filename,得到的$info['dirname']就只是一个点:.
然后再进行str_replace就没了,也就是其实可以直接写一个文件名,就是我们要写入的文件,而不用前面再附带一个$dir

然后就是那个$data = shell_exec("GET " . escapeshellarg(\$_GET["url"]));和@file_put_contents(basename($info["basename"]), $data);
看了一下,原来用file那样读是错误的姿势,可以直接?url=/etc/passwd就可以读文件了。?url=www.baidu.com也是可以访问的,也就是GET访问。但是这里有一个坑我踩了。就是我一开始用了错误的file姿势来读文件,虽然没读到,但是已经file_put_contents一次了。经过测试,发现这个题目只能在创建文件的时候往文件里写内容,当你想重写来覆盖原有的内容的时候,是不行了,相当于你没有修改文件内容的权限。而我也正是因为第一次创建了个空文件,第二次访问www.baidu.com虽然可以访问,但是因为无更改文件的权限,也就没法把内容覆盖掉,使得我以为?url=www.baidu.com这样的姿势也是错误的,然后就迷了。

根据WP:
前面的代码返回了我的ip,和orange一起进行md5加密。通过url参数输入的内容会以GET命令执行,
命令执行的结果会被存入我们以filename参数的值命名的文件里

首先创建一个沙盒文件夹,路径为sandbox/加上MD5加密过后的orange加页面输出的ip,
在我这里即orange222.92.251.179
通过url参数输入的内容会以GET命令执行,
GET是Lib for WWW in Perl中的命令 目的是模拟http的GET请求

命令执行的结果会被存入我们以filename参数的值命名的文件里
尝试读取根目录,并创建文件名为abc的文件
在这里插入图片描述
md5出来的文件名16f57b890ff7bf36356ebd4718b79bc4

在这里插入图片描述
在这里插入图片描述

然后readflag,如果直接/readflag的话,那么会在服务器的根目录创建这个文件,而不是在网站的那个目录,所以是无法命令执行的,所以可以用bash -c 相当于./readflag,而根据php字符解析特性,如果直接将./readflag传入,那么.就会变成下划线,从而不能命令执行。直接bash的话好像是只能bash 有sh后缀的文件,所以不能用
综上所述,bash -c 是最好的选择

运行两遍

?url=file:bash -c /readflag|&filename=bash -c /readflag|

进到路径
sandbox/d8e89061a29f8a91a52da35482c8256b/bash%20-c%20/readflag%7C

在这里插入图片描述

无尽星河-深空
关注
专栏目录
ssrfme(flask代码审计)
weixin_52780973的博客
10-31 613
简单的flask框架代码审计
HITCON2017 babyfirst-revenge v2
forbidd3n,keep going
05-22 581
被5虐过后,现在到4了,没想到难度大很多,这些就记一下总结下来的方法和姿势。先总结ls -t的方法,后面再补充tar的姿势。 1、构造ls -t 在上一题中我们大概知道了构造ls -t的要素,但是在本题中,由于长度的进一步限制,`ls>>_`将无法使用。这就要使用到其他技巧。 技巧0:* 在当前工作目录下使用*命令,会将目录名当作命令执行(顺序) 执行*即-t ...
[HITCON 2017]SSRFme1
最新发布
alwtj的博客
06-22 974
大概总结一下就是你要传入一个url参数和一个filename参数,url参数会被执行get请求,得到后的内容会被写入到 sandbox/md5(orange.ip)/filename 目录下.首先,通过pathinfo函数解析$_GET["filename"],获取其中的目录名和文件名.然后,它尝试创建一个新的目录(基于目录名,但移除了所有点。最后,使用file_put_contents函数将数据保存到文件中,文件名基于$_GET["filename"]中的基本文件名.不过有一个叫readflag的文件.
hitcon_2017_ssrfme
o3Ev的博客
05-02 408
hitcon_2017_ssrfme 题目: 打开环境,得到: <?php $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); @mkdir($sandbox); @chdir($sandbox); $data = shell_exec("GET " . escapeshellarg($_GET["url"])); $info = pathinfo($_GET["file
[hitcon 2017]ssrfme 1
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。...
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理...............................................................................................................................................................................
BMZCTF hitcon_2017_ssrfme
qq_26243045的博客
11-26 629
考点:perl脚本open命令执行 打开题目显示如下代码 将GET请求到的数据保存在我们自定义的文件名当中。 给url参数传递/可以查看根目录下的内容 Perl的open函数执行会执行给open函数所传递的文件名参数中的系统命令,但是前提是这个文件名是需要存在的。 这道题因为文件名是可以控制的,所以就先生成一个以读取flag命令命名的文件 然后使用file协议去读取文件 访问即可获得flag ...
Hitcon2017 babyfirst-revenge复现
0verWatch的博客
09-06 2836
前言 开学了还是得学习的,复现一波题目来玩玩,其实是实力不够不能去打网鼎杯emmm 正文 先从Hitcon2017 babyfirst-revenge这一个题目,总结一下还是学到很多东西的 复现地址 https://github.com/Pr0phet/hitconDockerfile/tree/master/hitcon-ctf-2017/babyfirst-revenge 这是题目回...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值