关于BMZCTF hitcon_2017_ssrfme的解法

最新推荐文章于 2024-04-11 17:56:22 发布
最新推荐文章于 2024-04-11 17:56:22 发布
阅读量837 收藏 6
点赞数 8
分类专栏: CTF 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40228200/article/details/112481089
版权

在BMZCTF中,有一道题是hitcon_2017_ssrfme,在尝试做了该题后,又翻看了现有的write-up,发现现有的write-up语焉不详,对于不原理和微操讲解不细,因此写了这篇文章,主要是在前人的基础上对此题进行进一步描述,主要针对刚接触此领域的小白用户,希望能够对他们理解这道题提供帮助。
首先,打开本题,可以看到下列代码:

 <?php 
    $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); 
    @mkdir($sandbox); 
    @chdir($sandbox); 

    $data = shell_exec("GET " . escapeshellarg($_GET["url"])); 
    $info = pathinfo($_GET["filename"]); 
    $dir  = str_replace(".", "", basename($info["dirname"])); 
    @mkdir($dir); 
    @chdir($dir); 
    @file_put_contents(basename($info["basename"]), $data); 
    highlight_file(__FILE__); ?>

简要分析上述代码,基本功能是这样的:
首先,为每一个用户建立沙箱,路径是在本地路径的基础上/sandbox/【字符串“orange”和ip地址】的md5码。
然后进入该沙箱进行工作。
然后执行get命令,(在这里,get是perl的一个命令,可以对远程的文件进行拉取)get命令的参数(用户通过url变量的方式进行get传入)可以被控制,但是后台使用了escapeshellarg对用户输入进行过滤。(不能使用传统的||链接符的方式进行命令执行)
然后根据用户get方式传入的filename变量,将上述命令执行的结果,放入到filename中,并且,对filename进行了限制,不允许通过…/的方式改变传入文件的位置。如果filename有地址,则会把当前目录改变到filename绝对路径下。
最后,把data中的内容(执行get 命令的结果)传入到filename中。

这道题突破点都在第五行,即执行的GET命令上,必须对perl中GET命令缺陷有了解,才能找到对应的思路。
这道题有两种解法,第一种需要一个公网服务器,在服务器上创建一个本地payload,然后控制url参数访问本地的payload,之后就能够反弹得到shell了;下面我主要来讲解一下第二种,即利用GET中的open函数漏洞。
open函数在GET命令被调用时执行,也就是第五行执行GET命令时,perl语言会调用open命令,漏洞就存在于open命令对于文件的处理上,关于这个漏洞,外国人有文章,是这样写的:
Perl saw that your “file” ended with a “pipe” (vertical
bar) character. So it interpreted the “file” as a command to be executed, and interpreted the command’s output as the “file”'s contents. The command is “who” (which prints information on currently logged-in users). If you execute that command, you will see that the output is exactly what the Perl program gave you.
翻译过来意思是:
perl函数看到要打开的文件名中如果以管道符(键盘上那个竖杠)结尾,就会中断原有打开文件操作,并且把这个文件名当作一个命令来执行,并且将命令的执行结果作为这个文件的内容写入。这个命令的执行权限是当前的登录者。如果你执行这个命令,你会看到perl程序运行的结果。

因此,我们可以构造这样的payload:
首先:
url=【任意】&filename=cat /flag|
如下所示:
第一步:构造payload文件
之所以要进行这一步,是因为构造一个文件名为cat /flag|的文件,open函数只有在找到指定文件文件名的情况下才会把该特殊形式的文件当作命令在执行。
完成这一步,访问cat /flag|文件,会发现该文件存在(具体内容是什么不重要),如下所示:
在这里插入图片描述
其次,
url=file:cat /flag|&filename=/123.txt
如下所示:
第二步
之所以要进行这一步,是因为url要作为open的一个参数,打开上述构造好的文件,前面已经讲过,当文件名以管道符结尾时,该文件名所指的命令会被中断执行,及cat /flag会被执行,并且根据这道题的特性,该命令执行的结果会被写入到filename所指定的文件中,因此,访问filename所指定的文件,就可以看到结果了。如下所示:
结果

最后,为了照顾小白,在这里讲解一下sandbox和flag位置的问题,大神们可以直接略过:
sandbox的问题很好解决,直接百度搜索【IP地址】,就可以查看自己所连入的第一个公网IP,其次用orange和IP地址组合后,生成md5码即可,这里就不再详述了。
至于为什么知道flag位置是/flag,其实这是BMZCTF的“惯例”,如果要对此较真,也可以在一开始执行ls /命令,进而找到/flag的位置。

永远是少年啊
关注
  • 8
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理...............................................................................................................................................................................
HITCON-Training-Writeup:https的简要说明
04-29
HITCON培训 我为了简短的 有关Linux二进制开发的信息,请参见。 环境设定 git clone https://github.com/scwuaptx/HITCON-Training.git ~/ cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh ...
i春秋CTF ssrfme (peal函数中get命令漏洞)命令执行 详细题解+原理 学习过程
AAAAAAAAAAAA66的博客
12-16 1384
前几天刚一道命令执行的题目累的够呛,这会刷题又碰见一道,所以个总结,梳理一下自己学到的各方面知识。 题目 分析 <?php $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); @mkdir($sandbox); @chdir($sandbox); $data = shell_exec("GET " . escapeshellarg($_GET["url"]));
5位可控字符下的命令执行
qq_45521281的博客
05-03 1600
遇到了这样一个题,这题是一个特别的命令执行题, 首先进去首页之后发现以下源码: <?php $sandbox = '/www/sandbox/' . md5("orange" . $_SERVER['REMOTE_ADDR']); @mkdir($sandbox); @chdir($sandbox); if (isset($_GET['cmd']) &...
[HITCON 2017]SSRFme代码审计
最新发布
BoJing6的博客
04-11 356
认认真真了一次代码审计的题目,感觉收获很大,决定记录下来一打开题目就是源代码首先isset()是 PHP 中的一个函数,用于检查变量是否已经被设置并且不是 null。它接受一个或多个参数,并返回一个布尔值,指示每个参数是否被设置。//输出ip地址,在网页上也能看到总之前面这一串的目的就是输出ip地址题目会将orange和ip地址进行拼接,然后md5加密然后使用mkdir()创建了这样的一个沙盒路径,并且使用chdir()进入该目录。
BUUCTF之[HITCON 2017]SSRFme详解
m0_62107966的博客
09-09 732
BUUCTF之[HITCON 2017]SSRFme详解 $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);//题目提供了沙盒目录,目录名就是sandbox , 给了沙盒目录, $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);//题目提供了沙盒目录,目录名就是sandbox ,md5是将(orangeip地址)这个整体进行加密。,注意中间不能有空格!
[HITCON 2017]SSRFme(perl脚本中get命令执行漏洞)
记录学习,一起进步
01-28 826
[HITCON 2017]SSRFme(perl脚本中get命令执行漏洞)
[HITCON 2017]SSRFme
Sk1y的博客
01-14 975
[HITCON 2017]SSRFme 文章目录[HITCON 2017]SSRFmepathinfo()函数payload参考文章 打开题目,就是源码 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR'] = $http_x_hea
信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf
08-22
【标题】"信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf" 涉及的是2019年HITCON活动的安全挑战,重点在于利用ARM TrustZone技术在微控制器(MCU)上的应用,特别是与数据安全和信息安全建设相关的内容...
信息安全_数据安全_HITCON_GIRLS_成果分享與_CyberSec_week.pdf
08-22
HITCON GIRLS是一个以女性为主体的信息安全社区,致力于推广信息安全学习和提升科技行业的包容性。 【HITCON GIRLS】 HITCON GIRLS社区通过组织各种主题的读书会,鼓励女性成员深入学习信息安全知识和技术,促进...
台灣駭客年會 HITCON CMT 2017 - 安全技术资料汇总(共3份).zip
02-06
Breaking_into_the_iCloud_Keychain.pdf CSCS_以技術力協助公民社會的初次嘗試.pdf 臺灣資安人才教育_Cybersecurity_Education_in_Taiwan.pdf
命令注入突破长度限制 | 从CTF题目讲起
纸房子
12-03 7075
在命令注入中往往会存在注入命令的长度过短的情况,无法将全部命令完全的输入进去,这种情况下就需要我们来想办法突破系统命令长度的限制。我们从三道CTF题目来讲解一下这种渗透策略。一.BabyfirstSovled: 33 / 969 Difficulty: ★★ Tag: WhiteBox, PHP, Command InjectionIdeaUse NewLine to bypass regula
hitcon_2017_ssrfme
o3Ev的博客
05-02 379
hitcon_2017_ssrfme 题目: 打开环境,得到: <?php $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); @mkdir($sandbox); @chdir($sandbox); $data = shell_exec("GET " . escapeshellarg($_GET["url"])); $info = pathinfo($_GET["file
HITCON2017-Web-writeup
无节操
10-27 1788
HITCON2017-Web-writeupProblemsbabyfirst-revenge Problems babyfirst-revenge Description: <?php $sandbox = '/www/sandbox/' . md5("orange" . $_SERVER['REMOTE_ADDR']); @mkdir($sandbox); @ch...
(4)5位可控字符下的任意命令执行-----另一种解题方法
大方子
11-06 3297
有道分享链接:https://note.youdao.com/ynoteshare1/index.html?id=55e53db4f857d81515e57e104777b88b&type=note 前言: 题目是hitcon-ctf-2017的babyfirst-revenge,之前是针对babyfirst-revenge-v2来进行学习研究的 <?php ...
end的学习 21-4-20
qq_45781155的博客
04-20 136
mkdir 创建权限为777的目录:mkdir -m 777 test3 通过 mkdir 命令可以实现在指定位置创建以 DirName(指定的文件名)命名的文件夹或目录。要创建文件夹或目录的用户必须对所创建的文件夹的父文件夹具有写权限。并且,所创建的文件夹(目录)不能与其父目录(即父文件夹)中的文件名重名,即同一个目录下不能有同名的(区分大小写)。 chdir() chdir() 函数改变当前的目录。 <?php // Get current directory echo getcwd() .
SSRF题目复现
qq_40909772的博客
11-19 2670
1. [HITCON 2017] SSRFme。 题目平台地址:https://buuoj.cn/challenges 进入题目环境之后是代码审计,代码如下: 59.49.169.109 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_AD
php如何打网页ctf,【CTF 攻略】如何绕过四个字符限制getshell
weixin_28729331的博客
03-17 670
预估稿费:400RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿前言本文主要整理如何巧用Linux命令绕过命令注入点的字符数量限制,内容围绕HITCON CTF 2017 的两道题展开,先讲五个字符的限制,再讲四个字符的。在此感谢下主办方分享这么有趣的点子。热身问题的起源是 HITCON CTF 2017 的 BabyFirst Revenge 题,题目的主要代码如下:B...
[hitcon 2017]ssrfme 1
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。此题的目标是通过一个输入参数包含的URL,探测出内部的flag并输出。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

永远是少年啊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值