前几天师傅给我发了一个ssrf的题目,是一个比赛题目,但是也一直没有拿下,就是可以执行xss,但是flag存在根目录下面,要需要读取文件,百度了一下没有发现新思路。在之后师傅给我提供了新思路。
1. ssrf绕过filter_var函数使用file_get_contents读取任意文件
直接上源代码
<?php
highlight_file(__FILE__);
$argv[1]=$_GET['a'];
if(filter_var($argv[1],FILTER_VALIDATE_URL)) {
//echo($argv[1])."\n";
$r = parse_url($argv[1]);
print_r($r);
if(preg_match('/great\.ctf$/',$r['host'])){
$a=file_get_contents($argv[1]);
echo($a);
}
else{
echo("error");
}
}
else{
echo "Error:Invalid URL; WhereIsSourceCode ";}
?>
filter_var()函数是通过指定的过滤器过滤一个变量。
FILTER_VALIDATE_URL过滤器
parse_url是解析 URL,返回其组成部分
所以代码逻辑就是我提交一个参数a满足是url形式并且进行解析该url返回的[host]部分是匹配great.ctf,之后就可以读取a所提交的参数
2. 绕过filter_var($argv[1],FILTER_VALIDATE_URL)
之前看过网上很多师傅们总结的,这里我就直接进行使用,附上师傅们的文章
SSRF技巧之如何绕过filter_var( )
payload:0://example.com
成功绕过了第一个条件
3. 绕过preg_match('/great\.ctf$/',$r['host'])
这一步就只是需要解析的url的主机部分是great.ctf
payload:0://great.ctf
成功绕过第二个条件
4. 使用file_get_contents()读取文件
这个可以说是该题的重点,而且没有百度到任何关于该方面的信息
(可能是自己的信息收集能力有限)
现在的问题就是需要构造/flag.txt
去读取该文件而且还要满足前面的条件。
最后在师傅提供的资料上面得到了答案~~~~
柳暗花明又一村
php源码中,在向目标请求时先会判断使用的协议。如果协议无法识别,就会认为它是个目录。
所以我们就可以使用前面构造的payload(php如果识别不了就会当成一个目录)在进行目录穿越,穿越到根目录读取flag.txt
我们之前构造的 0://great.ctf
就相当于目录,下一步就是目录穿越啦~~~
payload:0://great.ctf/../../../flag.txt
成功读取flag.txt
5.总结
这道题的考点就是file_get_contents使用不存在的协议名导致目录穿越,实现SSRF
还有可以实现xss漏洞。总的来说,ssrf漏洞危害比较严重,可以构造出很多骚姿势。
感谢师傅们的文章让自己学习。