看到了一道简单的ssrf,由于说有非预期但是忘了这个知识点,所以还是记录一下
题目进去后就是一串代码
<?php
highlight_file(__FILE__);
//find something in flag1.php
$d = $_GET['d'];
$file = $_GET['ctf'];
if (filter_var($d, FILTER_VALIDATE_URL)) {
$r = parse_url($d);
if (isset($file)) {
if (strpos($file, "lai") !== false && strpos($file, "ya") !== false) {
@include($file . '.php');
} else {
die("Sorry, you can not pass");
}
if (preg_match('/labour$/', $r['host'])) {
@$a = file_get_contents($d);
echo ($a);
} else {
die("error");
}
} else {
die("why?");
}
} else {
echo "Invalid URL";
}
整个代码一看就懂,也没什么好解释,首先就是绕过filter_var这个函数嘛
filter_var()函数是通过指定的过滤器过滤一个变量。而FILTER_VALIDATE_URL就是他指定的过滤器,这个意思就是判断他是否是符合url规范的变量,不符合就返回false
PHP trick(代码审计关注点) (seebug.org)
SSRF和XSS-filter_var(), preg_match() 和 parse_url()绕过学习 (shuzhiduo.com)
然后parse_url解析传入的url
这个也比较好绕过
最后就是限定了传入的另一个参数要有laiya,最后构造一下payload:
?d=0://labour/../../../../../etc/passwd&ctf=laiya
再解释一下这里为什么要用0或者其他不是协议的字符,这也是利用了file_get_contents的漏洞: file_get_contents() 这个函数本来是用于将整个文件的内容读入一个字符串中。但在遇到不认识的伪协议头时候会将伪协议头当做文件夹,造成目录穿越漏洞,这时候只需不断往上跳转目录即可读到根目录的文件。所以我们之前构造的 0://
labour就相当于目录,我们构造的0:/就被PHP识别为了一个目录,然后把labour也当作了一层目录,相当于此时多了两层目录,又因为读取是从根目录开始的,而不是当前目录,所以我们需要使用.../穿越这多出来的两层目录,读取到根自录下的文件: 利用上面的Payload,实际在PHP后端我们读取的是 /0:/labour/ ../../flag.txt ,如果用http或者其他的话他就会当做协议去解析了
由于题目提示了
flag路径,直接读就好了,没读出来,多穿越几次
再读
当然这肯定是预期解,非预期解的考点是伪协议的特性,利用点在include那里,伪协议中当遇到了不认识的协议键的时候会自动忽略掉,所以这里直接将上面要求的两个协议键拼接在一起即可,最后会拼进去php
?d=http://labour&ctf=php://filter/read=convert.base64-encode/laiya/resource=flag1
laiya要放在encode后面才可以
后面的过程就是一样的了
还有个地方,通过file_get_contents获取网页内容并返回到客户端有可能造成xss,由以上代码可以我们只要满足filter_var校验url的格式构造payload即可,利用data://即可,因为要从url中提取出host头部去正则匹配host字符串,因此可以在//与/之间构造labour,/后面则跟用来xss的payload,比如<script>alert(1)</script>的base64编码
payload
?d=data://labour/plain;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==&ctf=laiya
参考文章
SSRF和XSS-filter_var(), preg_match() 和 parse_url()绕过学习 (shuzhiduo.com)
PHP trick(代码审计关注点) (seebug.org)
【SSRF】如何绕过filter_var(), preg_match() 和 parse_url() - 简书 (jianshu.com)