首页 > 后端开发 > php教程 > Alictf web 400 Recruitment[II] Write Up

Alictf web 400 Recruitment[II] Write Up

WBOY
发布: 2016-06-20 12:26:01
原创
1016 人浏览过

记录一下这道比较有意思的题目

首先,首页是一个登陆页,其他地方没有看到明显的漏洞

头像上传点可以从网页直接获取,猜测是用curl或者file_get_contents完成的

那么这里就可能具有SSRF漏洞了。

对Url严格的限制了格式,只能是xx.jpg

但这难不倒我们,在nodeJS中使用路由xx.jpg

然后使用writeHead输出302重定向头。

response.writeHead(302, {  'Location': 'gopher://127.0.0.1:80/'});response.end();
登录后复制

这样就可以使用任意协议了

我首先尝试file:// php://等协议均无效

初步可以推测是用curl实现的

那么这里我使用gopher协议探测开启的端口

果不其然,11211的memcached对本地是开放的。

使用gopher://127.0.0.1:11211/ 访问到了memcached

gopher://127.0.0.1:11211/_stats%20items%0d%0a

并发送 stats item 指令 列出

然后使用

stats cachedump 5 100
登录后复制

来导出item中的键值,这里得到了session序列化后的数值。那么推测是,php中的处理器设置为了memcached

用set key flags exptime bytes

来增加一条新的cookies

然后成功伪造cookies后登陆到了管理员后台

看到了一个'秘密'文件

修改ip为127.0.0.1均无果

于是查看源码下载到了备份

虽然加载了全局防注入,但是没有考虑到$_SESSION

于是尝试构造注入,得到了flag

这道题比较有意思,总的来说考察了一下gopher和SSRF的知识

来源:php.cn
本站声明
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
热门教程
更多>
最新下载
更多>
网站特效
网站源码
网站素材
前端模板