[GKCTF 2020]cve版签到

[GKCTF 2020]cve版签到 wp

信息搜集

题目页面：

页面中有提示：You just view *.ctfhub.com

点一下 View CTFHub 会回弹一些信息：

抓包看看：

url 传参，判断是 ssrf 。但是当我将其改为 http://www.baidu.com 或者是 http://127.0.0.1 时却没有任何响应：

看了大佬的博客，知道了这是 cve-2020-7066 。

cve-2020-7066

根据阿里云漏洞库：

CVE-2020-7066 是 php 函数 get_headers 中的信息泄漏漏洞。

在低于7.2.29的PHP版本7.2.x，低于7.3.16的7.3.x和低于7.4.4的7.4.x中，同时将get_headers()与用户提供的URL一起使用时，如果URL包含零(\0) 字符，则URL将被静默地截断。这可能会导致某些软件对get_headers()的目标做出错误的假设，并可能将某些信息发送到错误的服务器。

就是我们常说的 %00 截断。

那么上面这句提示：You just view *.ctfhub.com ，我大概懂它的意思了，是要以 *.ctfhub.com 结尾。

payload

传入：

?url=http://127.0.0.1%00www.ctfhub.com

返回：

提示中给出：主机名必须以 123 结尾。

传入：

?url=http://127.0.0.123%00www.ctfhub.com

返回：

拿到 flag 。