打开题目,给出PHP源码,开始审代码
下面是对代码的逐行解释
<?php
function check_inner_ip($url)
{
// 使用正则表达式匹配有效的 URL 格式
$match_result = preg_match('/^(http|https|gopher|dict)?:\/\/.*(\/)?.*$/',$url);
// 如果匹配失败
if (!$match_result)
{
// 输出错误信息并终止程序
die('url fomat error');
}
try
{
// 解析 URL 获取其组成部分
$url_parse = parse_url($url);
}
catch(Exception $e)
{
// 处理解析 URL 时出现的异常,输出错误信息并终止程序,同时返回 false
die('url fomat error');
return false;
}
// 获取解析后的主机名
$hostname = $url_parse['host'];
// 通过主机名获取对应的 IP 地址
$ip = gethostbyname($hostname);
// 将 IP 地址转换为长整型
$int_ip = ip2long($ip);
// 判断 IP 地址是否属于常见的内部 IP 地址范围,返回布尔值
return ip2long('127.0.0.0')>>24 == $int_ip>>24 || ip2long('10.0.0.0')>>24 == $int_ip>>24 || ip2long('172.16.0.0')>>20 == $int_ip>>20 || ip2long('192.168.0.0')>>16 == $int_ip>>16;
}
function safe_request_url($url)
{
// 如果是内部 IP 地址
if (check_inner_ip($url))
{
// 输出提示信息
echo $url.' is inner ip';
}
else
{
// 初始化 cURL 会话
$ch = curl_init();
// 设置要请求的 URL
curl_setopt($ch, CURLOPT_URL, $url);
// 设置获取的内容以字符串形式返回
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
// 不包含响应头信息
curl_setopt($ch, CURLOPT_HEADER, 0);
// 执行 cURL 会话,获取响应内容
$output = curl_exec($ch);
// 获取 cURL 操作的详细信息
$result_info = curl_getinfo($ch);
// 如果有重定向的 URL
if ($result_info['redirect_url'])
{
// 递归调用本函数处理重定向的 URL
safe_request_url($result_info['redirect_url']);
}
// 关闭 cURL 会话
curl_close($ch);
// 输出响应内容
var_dump($output);
}
}
// 如果通过 GET 方式接收到了 'url' 参数
if(isset($_GET['url'])){
$url = $_GET['url'];
// 并且该参数不为空
if(!empty($url)){
// 调用 safe_request_url 函数处理该 URL
safe_request_url($url);
}
}
else{
// 如果没有接收到 'url' 参数,高亮显示当前文件的代码
highlight_file(__FILE__);
}
// 提示本地访问
// Please visit hint.php locally.
?>代码审计
代码主要实现了对输入URL的安全性检查和请求操作包含两个主要函数
check_inner_ip和safe_request_url
check_inner_ip函数用于检查输入的 URL 是否指向内部 IP 地址
safe_request_url函数首先调用check_inner_ip函数检查URL是否为内部IP地址,如果是则输出相应信息,如果不是则使用 cURL 库发起请求,处理重定向,并将最终请求结果输出
正则表达式匹配,使用preg_match('/^(http|https|gopher|dict)?:\/\/.*(\/)?.*$/',$url);检查URL的格式是否正确,涵盖了常见的协议(http、https、gopher、dict)如果不匹配,程序会终止并输出 url fomat error
URL 解析,使用parse_url函数将 URL 解析为各个部分,并存储在$url_parse数组中。对解析过程进行了异常处理,如果解析出错也会终止程序
IP地址转换和检查,从解析后的$url_parse中获取主机名,使用gethostbyname函数将主机名转换为IP地址,然后使用ip2long函数将IP地址转换为长整型。最后通过位移操作和比较操作,检查IP地址是否属于内部IP范围(127.0.0.0/8、10.0.0.0/8、172.16.0.0/12、192.168.0.0/16)
用户输入未过滤,直接使用$_GET['url']而未进行充分的输入过滤,可以传入恶意构造的URL可能导致SSRF(服务器端请求伪造)攻击,攻击者可以利用该功能探测内部网络的资源
根据最后一行代码提示在本地访问
利用http://0.0.0.0/hint.php绕过check_inner_ip()函数检查url是否是内网
下面是对上述代码的解释
<?php
// 检查当前请求的客户端 IP 地址是否为 127.0.0.1
if($_SERVER['REMOTE_ADDR']==="127.0.0.1"){
// 如果客户端 IP 是 127.0.0.1,则使用 highlight_file 函数显示当前文件的源代码
highlight_file(__FILE__);
}
// 检查是否有通过 POST 方法提交的名为 file 的参数
if(isset($_POST['file'])){
// 使用 file_put_contents 函数将以下内容写入到文件中
// 写入的内容是一段 PHP 代码:<?php echo 'redispass is root';exit(); 以及用户提交的文件名称
file_put_contents($_POST['file'],"<?php echo 'redispass is root';exit();".$_POST['file']);
}获取了reids密码:root
这里涉及
redis主从漏洞的知识点
Redis 主从漏洞主要指在 Redis 主从复制架构中存在的安全风险
Redis 是一款开源的高性能键值对数据库,主从复制是 Redis 实现数据冗余、读写分离的重要机制。主节点负责写入数据,从节点通过复制主节点的数据来保持数据的一致性。
常见的 Redis 主从漏洞类型及原理
Redis 未授权访问漏洞
原理:Redis 默认情况下没有开启身份验证机制,如果没有对 Redis 服务进行合理配置,外部网络可以直接访问 Redis 服务。在主从复制场景中,攻击者可以利用未授权的主节点,通过主从复制命令让从节点加载恶意模块,进而执行任意命令。
攻击方式:攻击者可通过网络直接连接到 Redis 主节点,使用 SLAVEOF 命令将恶意节点设置为主节点,然后让从节点从该恶意节点同步数据,加载恶意模块,最终达到控制从节点的目的。
Redis 弱密码漏洞
原理:虽然开启了 Redis 的身份验证,但设置的密码过于简单,攻击者可以通过暴力破解的方式获取密码。一旦密码被破解,攻击者就能像未授权访问一样对主从节点进行操作。
攻击方式:攻击者使用密码字典对 Redis 服务进行暴力破解,获取密码后,使用正常的身份验证方式登录 Redis 主节点,再利用主从复制机制控制从节点。
Redis 远程代码执行漏洞
原理:Redis 某些版本存在代码逻辑漏洞,攻击者可以构造特殊的请求,触发漏洞,从而在 Redis 主从节点上执行任意代码。例如,在 Redis 主从复制过程中,攻击者可利用主节点处理复制数据的漏洞,向从节点注入恶意代码。
攻击方式:攻击者分析 Redis 版本存在的漏洞,构造特定的请求数据包,发送给 Redis 主节点。主节点在处理复制数据时触发漏洞,将恶意代码传递给从节点执行。
没有思路了qyq,跟着大佬的思路做题,原文链接如下
[网鼎杯 2020 玄武组]SSRFMe_网鼎杯 2020 玄武组]ssrfme 1-****博客
跟着大佬下载了这两个项目
大佬这里写的很详细,很好
恕我有点小白,试了很久还是没能弄好监听qyq,最终还是没能得到flag,这里只是代码审计处和整理了一些知识点