[BMZCTF]-hitcon_2017_ssrfme

最新推荐文章于 2024-04-11 17:56:22 发布
最新推荐文章于 2024-04-11 17:56:22 发布
阅读量233 收藏
点赞数
分类专栏: BMZCTF php 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cjdgg/article/details/117195398
版权

SSRF漏洞 文件访问 MD5加密 源代码分析 flag获取
关键词由优快云通过智能技术生成

[BMZCTF]-hitcon_2017_ssrfme
在这里插入图片描述
依旧是直接给出题目源代码
这里列一下几个用到的函数吧

file_put_contents — 将一个字符串写入文件
pathinfo — 返回文件路径的信息
escapeshellarg — 把字符串转码为可以在 shell 命令里使用的参数
shell_exec — 通过 shell 环境执行命令,并且将完整的输出以字符串的方式返回。

这题代码简而言之就是会先生成一个文件夹,路径是orange+你的ip地址经过MD5加密后的密文,所以实际位置就是/sandbox/md5(orange+ip)

接下来就是get访问一个url,url可控
然后就是一个可控的filename,将会生成一个文件在/sandbox/md5(orange+ip),也就是说会有/sandbox/md5(orange+ip)/filename,最后会将url访问到的数据写在filename

总的来说,就是url记录你想查看的文件路径,filename确定一个文件名,你访问该文件可以看到url记录的文件路径的内容

那就开始操作吧
在这里插入图片描述
在这里插入图片描述

md5这里是32位小写
在这里插入图片描述
这里说我没有权限访问该路径,这让我一下子就有点懵了,我还以为cookie什么的有问题,或者是我做题思路错了,后来看了大佬们的wp才知道,这里没权限并不影响后续操作

在这里插入图片描述
在这里插入图片描述
这里看到一个/flag,访问看看
在这里插入图片描述

在这里插入图片描述
emem啥也没有,应该是这里没错的啊,后面转念一想,flag应该记录在文本文件才对

在这里插入图片描述
在这里插入图片描述
成功拿下

BMZCTF hitcon_2017_ssrfme
qq_26243045的博客
11-26 702
考点:perl脚本open命令执行 打开题目显示如下代码 将GET请求到的数据保存在我们自定义的文件名当中。 给url参数传递/可以查看根目录下的内容 Perl的open函数执行会执行给open函数所传递的文件名参数中的系统命令,但是前提是这个文件名是需要存在的。 这道题因为文件名是可以控制的,所以就先生成一个以读取flag命令命名的文件 然后使用file协议去读取文件 访问即可获得flag ...
houseoforange_hitcon_2016
fayinq的博客
04-07 339
houseoforange_hitcon_2016 先检查保护 保护全开 FSOP:对于_IO_FILE_plus结构体的利用 首先,在分析这个题目之前,我们需要知道两个知识点,一个是_IO_FILE_plus,一个是FSOP _IO_FILE_PLUS _IO_FILE_plus是ptmalloc中定义的一种结构体,他决定了很多东西,先在gdb里面查看一眼 在此,我们就用本次题目中会使用到的_IO_list_all结构体来作为参考。 _IO_FILE_plus 主要是由两个部分组成,其中一个是_IO
hitcon_2017_ssrfme
o3Ev的博客
05-02 438
hitcon_2017_ssrfme 题目: 打开环境,得到: <?php $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); @mkdir($sandbox); @chdir($sandbox); $data = shell_exec("GET " . escapeshellarg($_GET["url"])); $info = pathinfo($_GET["file
BMZCTFhitcon_2017_ssrfme
末初 - mochu7
01-25 769
http://bmzclub.cn/challenges#hitcon_2017_ssrfme <?php $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); @mkdir($sandbox); @chdir($sandbox); $data = shell_exec("GET " . escapeshellarg($_GET["url"])); $info = pat
[HITCON 2017]SSRFme
D.MIND 的博客
04-22 482
文章目录pathinfo()perl脚本GET的使用open存在命令执行访问VPS写下木马文件总结: 172.16.128.254 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR'] = $http_x_headers[0];
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理...............................................................................................................................................................................
houseoforange_hitcon_2016(House of orange, unsorted bin attack,FSOP)
weixin_44145820的博客
04-27 1674
目录题目分析漏洞利用Exp 题目分析 只有添加,显示,编辑三个功能,没有删除 添加函数,最多只能添加四次,每次添加会依次执行malloc(0x10),malloc(name_size),calloc(8) House结构体如下 在编辑函数中,可以进行堆溢出,因为House没有把name的size保存下来 编辑次数最多为3 漏洞利用 Exp ...
Hitcon2017 babyfirst-revenge复现
0verWatch的博客
09-06 2948
前言 开学了还是得学习的,复现一波题目来玩玩,其实是实力不够不能去打网鼎杯emmm 正文 先从Hitcon2017 babyfirst-revenge这一个题目,总结一下还是学到很多东西的 复现地址 https://github.com/Pr0phet/hitconDockerfile/tree/master/hitcon-ctf-2017/babyfirst-revenge 这是题目回...
2017 hitcon Ssrf_me 详解 (perl脚本中GET open漏洞及解析漏洞)
a3320315的博客
12-15 1911
0x01 源码 http://117.50.3.97:8004/ <?php $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); @mkdir($sandbox); @chdir($sandbox); $data = shell_exec("GET " . escapesh...
[HITCON 2017]SSRFme代码审计
BoJing6的博客
04-11 549
认认真真做了一次代码审计的题目,感觉收获很大,决定记录下来一打开题目就是源代码首先isset()是 PHP 中的一个函数,用于检查变量是否已经被设置并且不是 null。它接受一个或多个参数,并返回一个布尔值,指示每个参数是否被设置。//输出ip地址,在网页上也能看到总之前面这一串的目的就是输出ip地址题目会将orangeip地址进行拼接,然后md5加密然后使用mkdir()创建了这样的一个沙盒路径,并且使用chdir()进入该目录。
CTF中文件上传及文件包含总结
None安全团队
12-15 4883
【文件上传】 一、前端检查 前端对文件后缀进行检查,该种通过抓包修改数据包即可解决 二、文件名检查 (1)大小写绕过 在windows下,可以将后缀写为pHp (2)unicode 当目标存在json_decode且检查在json_decode之前,可以将php写为\u0070hp (3)php3457 该项为apache专属 关键点在/etc/apache2/mods-available/php5.6.conf这个文件,满足.+\.ph(p[3457]?|t|tml)$,都会被当.
ctfshow web入门 文件包含
Lum1n0us's Blog
02-03 1140
文章目录web78web79web80-81web82-86web87web88web116web117参考链接 web78 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 第一题是最基础的文件包含,直接上payload payload: ?file=php://filter/convert.base64-enco
网络安全之文件包含漏洞总结
kali_Ma的博客
03-10 2458
介绍 文件包含漏洞属于代码注入漏洞,为了减少重复代码的编写,引入了文件包含函数,通过文件包含函数将文件包含进来,直接使用包含文件的代码;简单来说就是一个文件里面包含另外一个或多个文件。 但我们除了包含常规的代码文件外,包含的任意后缀文件都会被当作代码执行,因此,如果有允许用户控制包含文件路径的点,那么则很有可能包含非预期文件,从而执行非预期的代码导致getshell。 几乎所有的脚本语言中都会提供文件包含的功能,但文件包含漏洞在PHP Web Application中居多,在JSP、ASP中十分少甚至没有,
[HITCON 2017]SSRFme 1
最新发布
03-30
### HITCON 2017 SSRF Challenge Overview The **HITCON 2017 CTF** featured a variety of challenges, including those related to Server-Side Request Forgery (SSRF). These challenges were designed to test participants' understanding of web application vulnerabilities and their ability to exploit them effectively. One notable challenge was the **SSRFme task**, which involved exploiting an SSRF vulnerability within a PHP-based system. The provided code snippet demonstrates how the `$_SERVER['HTTP_X_FORWARDED_FOR']` variable is manipulated by splitting its value using commas as delimiters[^5]. This manipulation allows attackers to control the `$http_x_headers[0]` value, potentially leading to unauthorized access or command execution scenarios. In another instance, contestants had to leverage file-writing capabilities through GET requests combined with filename parameters[^4]. By carefully crafting filenames that included shell commands such as `/readflag`, they could execute arbitrary commands on the server side. Specifically: - A request like `/?url=/&filename=aaa` would create a new file named after the specified parameter. - Subsequent exploitation steps allowed reading sensitive files from restricted directories via crafted URLs incorporating malicious payloads into both query strings (`?`) and headers. Additionally, there exists documentation regarding similar exercises where users reconstruct past competitions’ problems locally for practice purposes&mdash;such efforts often involve setting up Docker containers mimicking original environments accurately so learners may gain hands-on experience without needing direct participation during actual events themselves[^1]. For further exploration beyond just theoretical knowledge about these types of attacks but also practical implementations thereof consider reviewing additional resources discussing advanced techniques surrounding path traversal exploits alongside other common injection vectors present throughout modern-day applications today too! ```python import os from flask import Flask, request app = Flask(__name__) @app.route('/') def index(): url = request.args.get('url', '') filename = request.args.get('filename', 'default.txt') try: response = open(url) # Vulnerable line due to lack of validation content = response.read() with open(f"/tmp/{filename}", "w") as f: f.write(content) return f"Content written successfully to {filename}" except Exception as e: return str(e), 400 if __name__ == '__main__': app.run(debug=True) ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值