CTF-web-攻防世界-3

1、inget

(1)、进入网站，提示传入id值

(2)、用一些闭合方式，返回都一样。

(3)、尝试万能密码。获得flag

2、mfw

(1)、页面没有什么特殊的异常，使用dirsearch进行目录扫描，有一些.git文件。看样子是.git文件泄露。

• 使用githack下载并恢复.git文件：python githack.py URL
• githack使用：Githack工具安装及使用教程

(2)、查看下载后的文件，只有index.php文件特殊些。有PHP代码，代码审计

• 使用get请求给page传参，对$page进行拼接赋值给$file，对$file进行判断
• assert()：断言函数，用于判断一个表达式是否为真
• strpos(var，str)：查找var在str中第一次出现的位置

(3)、可以将判断语句闭合掉，使用命令执行漏洞。后面语句注释掉。使用get传参

• POC：x') or system("cat templates/flag.php");//
  • x处，有没有真实文件都一样
• 访问后，原本网页可能没有，右击查看源代码

3、fileclude

(1)、访问网页，有一段php代码。代码审计

• 传入两个文件，当file2的内容为hello ctf时，包含file1文件
• 没有做过滤，使用文件包含漏洞

(2)、file2内容需要等于hello ctf，可以使用php://input，通过post请求提交一段php代码。

(3)、file1使用php://filter进行任意文件读取，并进行base64编码输出

•  POC：?file1=php://filter/read=convert.base64-encode/resource=flag.php&file2=php://input

(4)、获得base64编码的数据，解码获得flag

4、fileinclude

(1)、右键查看源代码，有一段php代码。代码审计

• 通过cookie给$lan传入参数，$lan不存在就包含english.php文件，存在就包含文件名基于$lan的值，后缀为'.php'的文件。

(2)、尝试使用php://filter进行任意文件读取

(3)、获得base64编码的数据，解码获得flag

注：另外一题使用base64编码的不行，需要更改convert.* 过滤器

5、ics-05

(1)、只有设备维修中心能跳转，点击跳转。

(2)、查看源代码发现一个a标签中出现?page=index。可能是文件包含漏洞，尝试一下

(3)、尝试php伪协议，给page传入参数

• POC：?page=php://filter/read=convert.base64-encode/resource=index.php
• 访问后，查看源代码，最下面有base64编码的字符，解码是一段PHP代码，分析
• 重要的是测试人员用的那段代码
  • 检查访问者的IP地址是否为'127.0.0.1'，判断成功后，进行对变量进行正则匹配
  • preg_replace(rule,dstr,sstr)：sstr通过正则匹配规则rule，能匹配到规则的部分被替换为dstr

(4)、故现在只有考虑将xff改为本地和怎么执行命令语句

• xff使用hackbar更改或bp抓包更改即可
• 命令执行
  • /e 修正符使 preg_replace() 将 dstr 参数当作 PHP 代码，其他两个参数满足该函数下的规则即可。
• poc：?pat=/125e/e&rep=system('ls')&sub=125e

(5)、找到有关flag文件，查看即可