XCTF攻防世界web进阶练习_ 5_mfw

XCTF攻防世界web进阶练习—mfw

题目

题目为mfw，没有任何提示。
直接打开题目，是一个网站

大概浏览一下其中的内容，看到其中url变化其实只是get的参数的变化
查看它的源码，看到有一个?page=flag，flag应该在这个页面里面

但是进入这个页面发现是空的
注意到有这样一个页面，说道用到了Git，想到是否可能和Git源码泄露有关

于是试一下http://111.198.29.45:33750/.git这个url，果然有猫腻

利用.git源码泄漏漏洞，使用githack(GitHack.py http://www.example.com/.git/）得到网站源码
注意：Githack要用python2来运行

得到源码后直接看flag.php，但是没啥有价值的东西

大概浏览一下所有的php文件，发现只有index.php有可能有切入口
于是分析index.php

其中assert()函数会将括号中的字符当成代码来执行，并返回true或false。
strpos()函数会返回字符串第一次出现的位置，如果没有找到则返回False
这里的两个assert看起来没什么破绽，但是用到了上面的file变量
于是重心就放在file变量中，发现file变量是用我们输入的page变量拼接而成的，而且没有任何的过滤，看到了胜利的曙光！
我们可以在这段输入的字符中插入system函数来执行系统命令。

$file = "templates/" . $page . ".php";

assert("strpos('$file', '..') === false") or die("Detected hacking attempt!");

注意到调用file时用的单引号和括号来限制file的范围。
于是可以构造url为page=abc') or system("cat templates/flag.php");//
(这里是网上找的大佬的url，因为自己实在是太菜)
因为在strpos中只传入了abc，所以其肯定返回false，在利用or让其执行system函数，再用" // "将后面的语句注释掉

回车，F12看看源码，得到flag!

关于源码泄露

1.svn 源码泄露

SVN（subversion）是源代码版本管理软件。在使用SVN管理本地代码过程中，会自动生成一个名为.svn的隐藏文件夹，其中包含重要的源代码信息。但一些网站管理员在发布代码时，不愿意使用‘导出’功能，而是直接复制代码文件夹到WEB服务器上，这就使.svn隐藏文件夹被暴露于外网环境，黑客可以借助其中包含的用于版本信息追踪的‘entries’文件，逐步摸清站点结构。
例：http://127.0.0.1/.svn/entries
工具：Seay-Svn

2.git 源码泄露

在运行git init初始化代码库的时候，会在当前目录下面产生一个.git的隐藏文件，用来记录代码的变更记录等等。在发布代码的时候，把.git这个目录没有删除，直接发布了。使用这个文件，可以用来恢复源代码。
例：http://127.0.0.1/.git/config
工具：GitHack

3. 网站源码压缩备份泄露

一般网站管理员在日常维护中，总会把网站源码给备份一下，防止网站出现问题时，能马上的恢复使用，不过一般的管理员安全意识不高，在备份的时候，会使用一些常见的压缩备份名，而且不光使用常见的备份名字，大部分的管理还会把备份好的源码直接放在网站根目录里

 常见备份文件后缀名：
 .rar
.zip
.7z
.tar.gz
.bak
.swp
.txt
.html

还有更多的源码泄露参考：
https://www.secpulse.com/archives/55286.html
https://www.freebuf.com/sectool/66096.html
http://www.s2.sshz.org/post/source-code-leak/