代码审计
进入环境,根据题目的提示,本题考察文件包含漏洞
<?php
show_source(__FILE__);
echo $_GET['hello'];
$page=$_GET['page'];
while (strstr($page, "php://")) {$page=str_replace("php://", "", $page);
}
include($page);
?>- 源码中利用GET请求hello和page两个变量的值
- hello的参数会被直接打印输出
- page参数会被赋值并利用strstr函数进行php://字符串匹配,将匹配到的字符串替换为空
- 最后包含$page变量
strstr
strstr() 函数搜索字符串在另一字符串中的第一次出现,返回字符串的剩余部分(从匹配点)。如果未找到所搜索的字符串,则返回 FALSE。
该函数对大小写敏感。如需进行不区分大小写的搜索,请使用 stristr() 函数。
语法: strstr(string,search,before_search)
| 参数 | 描述 |
|---|---|
| string | 必需。规定被搜索的字符串。 |
| search | 必需。规定所搜索的字符串。 如果此参数是数字,则搜索匹配此数字对应的 ASCII 值的字符。 |
| before_search | 可选。默认值为 "false" 。 如果设置为 "true",它将返回 search 参数第一次出现之前的字符串部分。 |
解题步骤
解1(大小写绕过)
第一时间想到的是构造page变量的值,因为源码中并没有检测hello变量必须存在的函数
虽然对page变量进行了php://匹配,但是只是查找匹配,所以可以尝试大小写看能不能绕过
利用到php://头的协议有两个:input和filter,因为没有提供flag存在的文件,所以filter不好用,我们可以尝试input协议POST方法写入系统命令
可惜没有任何的回显,我去不应该的
查看了wp,我的思路是对的,不过别人用的工具是burp
我也是一样的方法,结果就有回显了,搞不懂
但是如果在写入语句的前面用一个变量赋值,就可以产生回显,不过这输出也不对啊,这咋直接用url编码输出字符串了
网上暂时没找到什么原因,然后我把手放在了enctype(表单类型)上,heckbar一共提供了四种类型,一个一个试了一下,在appilcation/x-www-form-urlencode(row) 类型的基础上,让页面成功回显
又成功得知一个缺口知识,下来得补上
有回显说明我们注入成功,接着注入恶意代码
发现一个疑似flag的PHP文件,继续构造
页面没回回显,吓我一跳,在源码中获得flag
知道了flag文件的名字,尝试了一下filter方法,没有回显,可能通配符不起作用
解2(data://上传木马)
在查看wp时,看到了几种其他的方式去获取flag
其实当时也想到过利用data://写入木马文件,然后利用蚁剑连接,但是怎么连接这方面触及到了我的知识盲区
有两种方式:
第一种是直接写入数据,然后全部复制到蚁剑,直接链接就好了
第二种是对数据进行base64加密后在利用data写入
解3(data://命令执行)
解2只是data://协议的其中一个用法
data://协议跟php://input类似,可以让用户来控制输入流,当他与包含函数时,用户输入的data://流会被当做PHP代码执行
构造方式跟input一样,不过变成了GET传参
依旧在源码中获得flag
解4(hello)
一直忽略了一个hello变量,根据大佬wp得知
这里hello是有回显的,所以我们可以利用hello的参数进行命令执行,然后回显到浏览器
要实现hello命令执行,要先使page变量为真,然后将hello作为参数传递
但不知道为啥不能包含php头
最后利用show_source函数对flag文件进行高亮显示
