代码审计

[!IMPORTANT] linux文件上传,.读取，glob正则 0x01 访问靶场，回显源码 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 <?php /* # -*- coding: utf-8 -*- # @Author: Lazzaro # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-07 22:02:47 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ // 你们在炫技吗？ if(isset($_GET['c'])){ $c=$_GET['c']; if(!preg_match("/\;|[a-z]|[0-9]|\\$|\(|\{|\'|\"|\`|\%|\x09|\x26|\>|\</i", $c)){ system($c); } }else{ highlight_file(__FILE__); } 0x02 [!NOTe] ...

[!IMPORTANT] preg_match过滤绕过及RCE重定向截断 0x01 访问靶场，回显源码 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-05 22:50:30 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ if(isset($_GET['c'])){ $c=$_GET['c']; if(!preg_match("/\;|cat|flag| |[0-9]|\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26|\>|\</i", $c)){ system($c." >/dev/null 2>&1"); } }else{ highlight_file(__FILE__); } 0x02 [!NOTE] ...

[!IMPORTANT] preg_match过滤绕过 0x01 访问靶场，回显源码 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-07 18:21:02 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ if(isset($_GET['c'])){ $c=$_GET['c']; if(!preg_match("/\;|cat|flag| |[0-9]|\*|more|wget|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26|\>|\</i", $c)){ echo($c); $d = system($c); echo "<br>".$d; }else{ echo 'no'; } }else{ highlight_file(__FILE__); } 0x02 [!NOTE] ...

[!IMPORTANT] preg_match过滤 0x01 访问靶场，回显源码 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 <?php /* # -*- coding: utf-8 -*- # @Author: Lazzaro # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-07 19:43:42 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ if(isset($_GET['c'])){ $c=$_GET['c']; if(!preg_match("/\;|.*c.*a.*t.*|.*f.*l.*a.*g.*| |[0-9]|\*|.*m.*o.*r.*e.*|.*w.*g.*e.*t.*|.*l.*e.*s.*s.*|.*h.*e.*a.*d.*|.*s.*o.*r.*t.*|.*t.*a.*i.*l.*|.*s.*e.*d.*|.*c.*u.*t.*|.*t.*a.*c.*|.*a.*w.*k.*|.*s.*t.*r.*i.*n.*g.*s.*|.*o.*d.*|.*c.*u.*r.*l.*|.*n.*l.*|.*s.*c.*p.*|.*r.*m.*|\`|\%|\x09|\x26|\>|\</i", $c)){ system($c); } }else{ highlight_file(__FILE__); } 0x02 [!NOTE] ...

题目提示：开发注释未及时删除 1.连接至题目所给靶场 2.尝试查看源代码，发现flag

题目提示：js前台拦截 === 无效操作 连接至靶场后发现无法直接查看源码 尝试关闭chrome的JavaScript功能，刷新靶场 成功绕过js拦截，查看源码获得flag ...

题目提示：没思路的时候抓个包看看，可能会有意外收获 链接至题目靶场，尝试查看源码及url，并未发现可利用项 尝试使用BurpSuite进行抓包，重放将请求包放出，查看服务器的响应包，发现flag

题目提示：总有人把后台地址写入robots，帮黑阔大佬们引路。 链接至题目所给靶场尝试查看源码和URL，并未发现可利用项 尝试访问robots.txt，获得提示 尝试访问/flagishere.txt，获得flag

查看URL及源代码未发现可用项 尝试访问同名.phps文件，下载靶场发送的phps文件，查看，发现flag

连接靶场，尝试查看源代码及URL，未发现利用点 已知题目提示解压源码到当前目录，测试正常，收工，可知网站主页源码和源码压缩包在同一目录下。尝试猜测常见源码压缩包名进行穷举，访问www.zip成功。下载源码压缩包进行解压并查看源码，得到flag 题目提示：考察代码泄露。直接访问url/www.zip,获得flag ...