sniperoj的baby-ssrf wp

0x00:题目介绍

sniperoj是王一航大佬出的ctf题目（题目是从他github上扒下来的，就先这么猜测了）

https://github.com/SniperOJ/Jeopardy-Dockerfiles

0x01:题解

切到baby-ssrf路径下，docker-compose up -d，访问127.0.0.1:10015

得到题目如下

<?php

/*
 * I stored flag.txt at baidu.com
 */

show_source(__FILE__);

if(isset($_GET['url'])){
    $url = parse_url($_GET['url']);
    if(!$url){
        die('Can not parse url: '.$_GET['url']);
    }
    if(substr($_GET['url'], strlen('http://'), strlen('baidu.com')) === 'baidu.com'){
        die('Hey, papi, you have to bypass this!');
    }
    if(
        $url['host'] === 'baidu.com'
    ){
        $ch = curl_init();
        curl_setopt ($ch, CURLOPT_URL, $_GET['url']);
        curl_exec($ch);
        curl_close($ch);
    }else{
        die('Save it, hacker!');
    }
}

题目说baidu.com下有个flag.txt，那我们主要目的是拿到这个flag.txt

题目名字肯定是ssrf入口啦

再来看一下代码，涉及到了ssrf漏洞的利用代码curl_exec。

确定ssrf读文件无疑了

需要注意几个函数

parse_url：php解析url的函数

$url = 'http://username:password@hostname/path?arg=value#anchor';
print_r(parse_url($url));

Array
(
    [scheme] => http
    [host] => hostname
    [user] => username
    [pass] => password
    [path] => /path
    [query] => arg=value
    [fragment] => anchor
)

还需要注意这里

if(substr($_GET['url'], strlen('http://'), strlen('baidu.com')) === 'baidu.com')

substr截取字符串函数，截取url的第七位后面的9位，如果是baidu.com那就不符合

所以我们可以通过@符号来绕过：@baidu.com,这样截取的就不是baidu.com，但解析仍然是baidu.com，@多用于url跳转漏洞。

因为是读取文件，我们用file://

所以最终payload：url=file://@baidu.com/flag.txt

 

 

0x02:小结

ssrf这个漏洞平时做渗透遇到的不多（也可能自己太菜了，漏了也说不定 emmm）

但仔细一想 这个漏洞多发生于需要处理图片，处理url等等

涉及函数file_open、curl_exec、file_get_contents等等，想想日常测得网站系统也很少涉及这些，毕竟都是以业务为主。

ssrf原理网上很多相关资料，不多赘述，就是让服务器帮你请求，多用于探测内网、攻击内网。

这道题目不难，巩固一下ssrf的利用嘛。

想写一下ssrf配合dnslog的相关题目，有朋友可以推荐一下吗，有类似的题目吗 嘻嘻 感激~