> 백엔드 개발 > PHP 튜토리얼 > Alictf web 400 Recruitment[II] Write Up

Alictf web 400 Recruitment[II] Write Up

WBOY
풀어 주다: 2016-06-20 12:26:01
원래의
1016명이 탐색했습니다.

记录一下这道比较有意思的题目

首先,首页是一个登陆页,其他地方没有看到明显的漏洞

头像上传点可以从网页直接获取,猜测是用curl或者file_get_contents完成的

那么这里就可能具有SSRF漏洞了。

对Url严格的限制了格式,只能是xx.jpg

但这难不倒我们,在nodeJS中使用路由xx.jpg

然后使用writeHead输出302重定向头。

response.writeHead(302, {  'Location': 'gopher://127.0.0.1:80/'});response.end();
로그인 후 복사

这样就可以使用任意协议了

我首先尝试file:// php://等协议均无效

初步可以推测是用curl实现的

那么这里我使用gopher协议探测开启的端口

果不其然,11211的memcached对本地是开放的。

使用gopher://127.0.0.1:11211/ 访问到了memcached

gopher://127.0.0.1:11211/_stats%20items%0d%0a

并发送 stats item 指令 列出

然后使用

stats cachedump 5 100
로그인 후 복사

来导出item中的键值,这里得到了session序列化后的数值。那么推测是,php中的处理器设置为了memcached

用set key flags exptime bytes

来增加一条新的cookies

然后成功伪造cookies后登陆到了管理员后台

看到了一个'秘密'文件

修改ip为127.0.0.1均无果

于是查看源码下载到了备份

虽然加载了全局防注入,但是没有考虑到$_SESSION

于是尝试构造注入,得到了flag

这道题比较有意思,总的来说考察了一下gopher和SSRF的知识

원천:php.cn
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿