CTF中的CVE-2020-7066

PHP中get_headers函数

在PHP开发中,我们经常需要获取HTTP请求中发送的服务器信息,本文通过一个简单的PHP示例介绍了通过get_headers函数获取服务器的相关信息。

get_headers() 是PHP系统级函数,他返回一个包含有服务器响应一个 HTTP 请求所发送的标头的数组。 如果失败则返回 FALSE 并发出一条 E_WARNING 级别的错误信息(可用来判断远程文件是否存在)。

array get_headers ( string $url [, int $format = 0 ] )
url 目标 URL

示例


$url='http://www.phpernote.com';
print_r(get_headers($url));
print_r(get_headers($url,1));
?>

以上例程的输出类似于:

Array(
    [0] => HTTP/1.1 200 OK
    [1] => Date: Sat, 29 May 2004 12:28:13 GMT
    [2] => Server: Apache/1.3.27 (Unix)  (Red-Hat/Linux)
    [3] => Last-Modified: Wed, 08 Jan 2003 23:11:55 GMT
    [4] => ETag: "3f80f-1b6-3e1cb03b"
    [5] => Accept-Ranges: bytes
    [6] => Content-Length: 438
    [7] => Connection: close
    [8] => Content-Type: text/html
)Array(
    [0] => HTTP/1.1 200 OK
    [Date] => Sat, 29 May 2004 12:28:14 GMT
    [Server] => Apache/1.3.27 (Unix)  (Red-Hat/Linux)
    [Last-Modified] => Wed, 08 Jan 2003 23:11:55 GMT
    [ETag] => "3f80f-1b6-3e1cb03b"
    [Accept-Ranges] => bytes
    [Content-Length] => 438
    [Connection] => close
    [Content-Type] => text/html
)

CVE-2020-7066

PHP 7.2.29之前的7.2.x版本、7.3.16之前的7.3.x版本和7.4.4之前的7.4.x版本中的‘get_headers()’函数存在安全漏洞。攻击者可利用该漏洞造成信息泄露。

描述

在低于7.2.29的PHP版本7.2.x,低于7.3.16的7.3.x和低于7.4.4的7.4.x中,将get_headers()与用户提供的URL一起使用时,如果URL包含零(\ 0)字符,则URL将被静默地截断这可能会导致某些软件对get_headers()的目标做出错误的假设,并可能将某些信息发送到错误的服务器。
测试脚本:

 
//⽤户输⼊ 
$_GET['url'] =" http:// localhost \ 0.example.com "; 

$host = parse_url($_GET['url'], PHP_URL_HOST);    // 解析URL并返回其组成部分
if(substr($host, -12) !=='.example.com'){ 
	die(); 
}
$headers = get_headers($_GET['url']); 
var_dump($headers); 预期结果:
?>

[GKCTF2020]cve版签到

给出提示说是CVE-2020-7066
CTF中的CVE-2020-7066_第1张图片
打开题目:
CTF中的CVE-2020-7066_第2张图片
这里F12可以再network里面看到提示
CTF中的CVE-2020-7066_第3张图片
点击View CTFHub之后发现多了URL多了个url?=
在这里插入图片描述
注意到了url,这不就是ssrf的标志吗???!!!
这里是一个ssrf,思路应该是构造ssrf让服务器去请求自己获得flag。但是这里利用正则表达式让我们请求的url只能以.ctfhub.com结尾。
这里就运用到的我们的CVE了,其实就是get_header()的CVE。这个函数特点就是会去请求url并返回header头部。但是CVE告诉我们,如果是用%00截断,就可能让命令去请求用户的可控网址。

构造payload:/?url=http://127.0.0.1%00.ctfhub.com
CTF中的CVE-2020-7066_第4张图片
又说host必须以123结尾,构造:/?url=http://127.0.0.123%00.ctfhub.com
CTF中的CVE-2020-7066_第5张图片
得到flag。

你可能感兴趣的:(CTF-Web,ctf,cve,安全,php,安全漏洞)