XCTF攻防世界web进阶练习—mfw题目为mfw,没有任何提示。直接打开题目,是一个网站
大概浏览一下其中的内容,看到其中url变化其实只是get的参数的变化
查看它的源码,看到有一个?page=flag,flag应该在这个页面里面
但是进入这个页面发现是空的
注意到有这样一个页面,说道用到了Git,想到是否可能和Git源码泄露有关
于是试一下http://111.198.29.45:33750/.git这个url,果然有猫腻
利用.git源码泄漏漏洞,使用githack(下载地址:https://github.com/lijiejie/GitHack)
得到网站源码
注意:Githack要用python2来运行
得到源码后直接看flag.php,但是没啥有价值的东西
大概浏览一下所有的php文件,发现只有index.php有可能有切入口
于是分析index.php
<?php if (isset($_GET['page'])) { $page = $_GET['page']; } else { $page = "home"; } //以get方式获得一个page变量,如果没有,则设置为home $file = "templates/" . $page . ".php"; //将page变量拼接成一个templates下的php文件,设置为变量file // I heard '..' is dangerous! assert("strpos('$file', '..') === false") or die("Detected hacking attempt!"); //判断file中是否有" .. ",如果有则直接退出 // TODO: Make this look nice assert("file_exists('$file')") or die("That file doesn't exist!")
其中assert()函数会将括号中的字符当成代码来执行,并返回true或false。
strpos()函数会返回字符串第一次出现的位置,如果没有找到则返回False
这里的两个assert看起来没什么破绽,但是用到了上面的file变量
于是重心就放在file变量中,发现file变量是用我们输入的page变量拼接而成的,而且没有任何的过滤,看到了胜利的曙光!
我们可以在这段输入的字符中插入system函数来执行系统命令。
$file = "templates/" . $page . ".php"; assert("strpos('$file', '..') === false") or die("Detected hacking attempt!");
注意到调用file时用的单引号和括号来限制file的范围。
于是可以构造url为
page=abc') or system("cat templates/flag.php");//
因为在strpos中只传入了abc,所以其肯定返回false,在利用or让其执行system函数,再用" // "将后面的语句注释掉
回车,F12看看源码,得到flag!
关于源码泄露
1.svn 源码泄露
SVN(subversion)是源代码版本管理软件。在使用SVN管理本地代码过程中,会自动生成一个名为.svn的隐藏文件夹,其中包含重要的源代码信息。但一些网站管理员在发布代码时,不愿意使用‘导出’功能,而是直接复制代码文件夹到WEB服务器上,这就使.svn隐藏文件夹被暴露于外网环境,黑客可以借助其中包含的用于版本信息追踪的‘entries’文件,逐步摸清站点结构。
例:http://127.0.0.1/.svn/entries
工具:Seay-Svn
2.git 源码泄露
在运行git init初始化代码库的时候,会在当前目录下面产生一个.git的隐藏文件,用来记录代码的变更记录等等。在发布代码的时候,把.git这个目录没有删除,直接发布了。使用这个文件,可以用来恢复源代码。
例:http://127.0.0.1/.git/config
工具:GitHack
3. 网站源码压缩备份泄露
一般网站管理员在日常维护中,总会把网站源码给备份一下,防止网站出现问题时,能马上的恢复使用,不过一般的管理员安全意识不高,在备份的时候,会使用一些常见的压缩备份名,而且不光使用常见的备份名字,大部分的管理还会把备份好的源码直接放在网站根目录里
常见备份文件后缀名:
.rar
.zip
.7z
.tar.gz
.bak
.swp
.txt
.html
还有更多的源码泄露参考:
https://www.secpulse.com/archives/55286.html
https://www.freebuf.com/sectool/66096.html
http://www.s2.sshz.org/post/source-code-leak/
————————————————
版权声明:本文为CSDN博主「Dar1ing9」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/silence1_/article/details/89741733