1、inget
(1)、进入网站,提示传入id值
(2)、用一些闭合方式,返回都一样。
(3)、尝试万能密码。获得flag
2、mfw
(1)、页面没有什么特殊的异常,使用dirsearch进行目录扫描,有一些.git文件。看样子是.git文件泄露。
- 使用githack下载并恢复.git文件:python githack.py URL
- githack使用:Githack工具安装及使用教程
(2)、查看下载后的文件,只有index.php文件特殊些。有PHP代码,代码审计
- 使用get请求给page传参,对$page进行拼接赋值给$file,对$file进行判断
- assert():断言函数,用于判断一个表达式是否为真
- strpos(var,str):查找var在str中第一次出现的位置
(3)、可以将判断语句闭合掉,使用命令执行漏洞。后面语句注释掉。使用get传参
- POC:x') or system("cat templates/flag.php");//
- x处,有没有真实文件都一样
- 访问后,原本网页可能没有,右击查看源代码
3、fileclude
(1)、访问网页,有一段php代码。代码审计
- 传入两个文件,当file2的内容为hello ctf时,包含file1文件
- 没有做过滤,使用文件包含漏洞
(2)、file2内容需要等于hello ctf,可以使用php://input,通过post请求提交一段php代码。
(3)、file1使用php://filter进行任意文件读取,并进行base64编码输出
- POC:?file1=php://filter/read=convert.base64-encode/resource=flag.php&file2=php://input
(4)、获得base64编码的数据,解码获得flag
4、fileinclude
(1)、右键查看源代码,有一段php代码。代码审计
- 通过cookie给$lan传入参数,$lan不存在就包含english.php文件,存在就包含文件名基于$lan的值,后缀为'.php'的文件。
(2)、尝试使用php://filter进行任意文件读取
(3)、获得base64编码的数据,解码获得flag
注:另外一题使用base64编码的不行,需要更改convert.* 过滤器
5、ics-05
(1)、只有设备维修中心能跳转,点击跳转。
(2)、查看源代码发现一个a标签中出现?page=index。可能是文件包含漏洞,尝试一下
(3)、尝试php伪协议,给page传入参数
- POC:?page=php://filter/read=convert.base64-encode/resource=index.php
- 访问后,查看源代码,最下面有base64编码的字符,解码是一段PHP代码,分析
- 重要的是测试人员用的那段代码
- 检查访问者的IP地址是否为'127.0.0.1',判断成功后,进行对变量进行正则匹配
- preg_replace(rule,dstr,sstr):sstr通过正则匹配规则rule,能匹配到规则的部分被替换为dstr
(4)、故现在只有考虑将xff改为本地和怎么执行命令语句
- xff使用hackbar更改或bp抓包更改即可
- 命令执行
- /e 修正符使 preg_replace() 将 dstr 参数当作 PHP 代码,其他两个参数满足该函数下的规则即可。
- poc:?pat=/125e/e&rep=system('ls')&sub=125e
(5)、找到有关flag文件,查看即可
