curl_exec--任意文件讀取

今天看到一段代碼欧宜，如下，主要是使用curl發(fā)起網(wǎng)絡(luò)請(qǐng)求然后返回客戶端拴魄，這里我請(qǐng)求加載圖片冗茸。

<?php
  $URL = $_GET['URL'];
  $info = parse_url($URL);
  if($info['host'] != '192.168.224.130')
  {
  echo '目標(biāo)網(wǎng)址不合法';
  exit;
  }
  $CH = curl_init();
  curl_setopt($CH, CURLOPT_URL, $URL);
  curl_setopt($CH, CURLOPT_HEADER, false);
  curl_setopt($CH, CURLOPT_RETURNTRANSFER, true);
  curl_setopt($CH, CURLOPT_SSL_VERIFYPEER, false);
  curl_setopt($CH, CURLOPT_FOLLOWLOCATION, true);// 允許302跳轉(zhuǎn),默認(rèn)不開(kāi)啟
  $RES = curl_exec($CH);
  header('CONTENT-TYPE: IMAGE/PNG');// 設(shè)置CONTENT-TYPE
  curl_close($CH) ;
  echo $RES;
?>

首先，這里parse_url只是負(fù)責(zé)字符串解析匹中，并不判斷協(xié)議真?zhèn)蜗氖缫韵吕印?/p>

<?php
$url = 'abc://www.baidu.com/test';
$info = parse_url($url);
var_dump($info);
?>

執(zhí)行后結(jié)果如下：

array(3) {
  ["scheme"]=>
  string(3) "abc"
  ["host"]=>
  string(13) "www.baidu.com"
  ["path"]=>
  string(5) "/test"
}

其次，curl支持file偽協(xié)議顶捷，利用file偽協(xié)議可以獲取本地文件系統(tǒng)

直接上攻擊測(cè)試?yán)樱?/p>

http://192.168.224.130/1.php?URL=file://192.168.224.130/etc/passwd

php curl識(shí)別出來(lái)這是個(gè)file協(xié)議挂绰，他會(huì)忽略192.168.224.130，而是直接讀取文件/etc/passwd。

reference：
1.https://love.ranshy.com/file協(xié)議可能會(huì)引發(fā)的漏洞
2.https://zhuanlan.zhihu.com/p/27898202
3.http://vinc.top/2016/11/22/【ssrf】繞過(guò)姿勢(shì)總結(jié)/
4.http://www.cnblogs.com/LittleHann/p/3665062.html

最后編輯于：2017.12.17 19:52:48

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者

人面猴
序言：七十年代末葵蒂，一起剝皮案震驚了整個(gè)濱河市交播，隨后出現(xiàn)的幾起案子，更是在濱河造成了極大的恐慌践付，老刑警劉巖秦士，帶你破解...
沈念sama閱讀 217,185評(píng)論 6贊 503
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件，死亡現(xiàn)場(chǎng)離奇詭異永高，居然都是意外死亡隧土，警方通過(guò)查閱死者的電腦和手機(jī)，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 92,652評(píng)論 3贊 393
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進(jìn)店門命爬，熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái)曹傀，“玉大人，你說(shuō)我怎么就攤上這事饲宛〗杂洌” “怎么了？”我有些...
開(kāi)封第一講書人閱讀 163,524評(píng)論 0贊 353
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵落萎，是天一觀的道長(zhǎng)亥啦。經(jīng)常有香客問(wèn)我，道長(zhǎng)练链，這世上最難降的妖魔是什么翔脱？我笑而不...
開(kāi)封第一講書人閱讀 58,339評(píng)論 1贊 293
?港島之戀（遺憾婚禮）
正文為了忘掉前任，我火速辦了婚禮媒鼓，結(jié)果婚禮上届吁，老公的妹妹穿的比我還像新娘。我一直安慰自己绿鸣，他們只是感情好疚沐，可當(dāng)我...
茶點(diǎn)故事閱讀 67,387評(píng)論 6贊 391
惡毒庶女頂嫁案：這布局不是一般人想出來(lái)的
文/花漫我一把揭開(kāi)白布。她就那樣靜靜地躺著潮模，像睡著了一般亮蛔。火紅的嫁衣襯著肌膚如雪。梳的紋絲不亂的頭發(fā)上擎厢，一...
開(kāi)封第一講書人閱讀 51,287評(píng)論 1贊 301
城市分裂傳說(shuō)
那天究流，我揣著相機(jī)與錄音，去河邊找鬼动遭。笑死芬探，一個(gè)胖子當(dāng)著我的面吹牛，可吹牛的內(nèi)容都是我干的厘惦。我是一名探鬼主播偷仿，決...
沈念sama閱讀 40,130評(píng)論 3贊 418
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開(kāi)眼，長(zhǎng)吁一口氣：“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼！你這毒婦竟也來(lái)了酝静？” 一聲冷哼從身側(cè)響起节榜，我...
開(kāi)封第一講書人閱讀 38,985評(píng)論 0贊 275
萬(wàn)榮殺人案實(shí)錄
序言：老撾萬(wàn)榮一對(duì)情侶失蹤，失蹤者是張志新（化名）和其女友劉穎别智，沒(méi)想到半個(gè)月后全跨，有當(dāng)?shù)厝嗽跇?shù)林里發(fā)現(xiàn)了一具尸體，經(jīng)...
沈念sama閱讀 45,420評(píng)論 1贊 313
?護(hù)林員之死
正文獨(dú)居荒郊野嶺守林人離奇死亡亿遂，尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點(diǎn)故事閱讀 37,617評(píng)論 3贊 334
?白月光啟示錄
正文我和宋清朗相戀三年，在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了渺杉。大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片蛇数。...
茶點(diǎn)故事閱讀 39,779評(píng)論 1贊 348
活死人
序言：一個(gè)原本活蹦亂跳的男人離奇死亡，死狀恐怖是越，靈堂內(nèi)的尸體忽然破棺而出耳舅，到底是詐尸還是另有隱情，我是刑警寧澤倚评，帶...
沈念sama閱讀 35,477評(píng)論 5贊 345
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布浦徊，位于F島的核電站，受9級(jí)特大地震影響天梧，放射性物質(zhì)發(fā)生泄漏盔性。R本人自食惡果不足惜，卻給世界環(huán)境...
茶點(diǎn)故事閱讀 41,088評(píng)論 3贊 328
男人毒藥：我在死后第九天來(lái)索命
文/蒙蒙一呢岗、第九天我趴在偏房一處隱蔽的房頂上張望冕香。院中可真熱鬧，春花似錦后豫、人聲如沸悉尾。這莊子的主人今日做“春日...
開(kāi)封第一講書人閱讀 31,716評(píng)論 0贊 22
一樁弒父案挫酿，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽(yáng)构眯。三九已至，卻和暖如春早龟，著一層夾襖步出監(jiān)牢的瞬間惫霸，已是汗流浹背。一陣腳步聲響...
開(kāi)封第一講書人閱讀 32,857評(píng)論 1贊 269
情欲美人皮
我被黑心中介騙來(lái)泰國(guó)打工拄衰，沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留它褪，地道東北人。一個(gè)月前我還...
沈念sama閱讀 47,876評(píng)論 2贊 370
代替公主和親
正文我出身青樓翘悉，卻偏偏與公主長(zhǎng)得像茫打，于是被迫代替她去往敵國(guó)和親。傳聞我的和親對(duì)象是個(gè)殘疾皇子，可洞房花燭夜當(dāng)晚...
茶點(diǎn)故事閱讀 44,700評(píng)論 2贊 354

curl_exec--任意文件讀取

推薦閱讀更多精彩內(nèi)容