攻防世界-web-csaw-mfw
一.题目分析
这边提示使用了Git,试着访问.git看是否存在.git泄露
浏览了一下,很多都是乱码,想着用githack将git库克隆下看一下
二.操作
python2 GitHack.py http://url/.git
访问了一下flag.php,没啥发现,在看一下index.php
审计一下:
仅展示部分代码
第一思路使用文件包含(发现不行)
我在这边发现有一个require_once第一想法就是通过文件包含漏洞,所以去找这个$file参数。
$file会从前端的$page获取数据并在前面拼接template/ ,在后面还有对这个参数的过滤,
①如果参数含有..就会终止整个程序并且返回Detected hacking attempt
②如果$file传的文件路径要是不存在则会终止程序,返回That file doesn't exist
所以如果要通过文件包含去渗透就需要绕过这两个防护,这边最初想法在后面文件包含部分可能就需要eval(system('cat ./template/flag.php')),后面发现这边还没到require_once的时候就以及会执行cat ./template/flag.php了。这边是因为assert也会把内部的字符串当成php命令执行
第二思路通过assert()
php版本在7.3以下会存在assert()会执行字符串中的php代码
①测试
?page=%27).phpinfo();//%27代表'
%27)闭合前面的strop函数 .作为字符串的分隔符号,最后会执行phpinfo()这边没闭合assert,但是内部的其他函数是完整合法所以不影响函数执行,但是这边闭合了assert反而无法执行了,这边自己也不知道。
成功显示了
②打开目标文件
').system('cat ./templates/flag.php');//
') or print_r(file_get_contents('templates/flag.php'));//
', '..') or eval($_REQUEST['hacker']); //第三个句子,得用蚁剑去连接,但是我自己不爱用蚁剑所以就没有演示了
这道题目做完我也有点问题,希望有人给我解答一下,为什么通过git库下载下来的flag.php文件没法看到我们想要的flag,但是我们在进行渗透的时候也是去cat这个文件,为什么可以得到,还有就是为闭合assert()却反而没法渗透成功