[wp] 攻防世界 ics-05

在这里插入图片描述
进入题目发现也只有设备维护中心的选项可以点[wp] 攻防世界 ics-05_第1张图片
[wp] 攻防世界 ics-05_第2张图片
page传的参数在页面会有回显,fuzz一下:
[wp] 攻防世界 ics-05_第3张图片
尝试通过PHP内置协议直接读取代码:

?page=php://filter/read=convert.base64-encode/resource=index.php

将返回的字符串进行base64解密:
在这里插入图片描述
[wp] 攻防世界 ics-05_第4张图片
在尾部发现之前查看源代码发现不了的代码,结合题目提示,这里应该就是后门~
首先我们尝试绕过这一个判断:

if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1')

[wp] 攻防世界 ics-05_第5张图片
加上这个就绕过成功了,可以看到显示 Welcome My Admin !
这里使用了preg_replace()函数,这个函数是看起来是可以利用的,在网上找到了相关的文章,这里就不作过多的解释了
慎用preg_replace危险的/e修饰符(一句话后门常用)

[wp] 攻防世界 ics-05_第6张图片
经过查找发现在s3chahahaDir下有flag
[wp] 攻防世界 ics-05_第7张图片
[wp] 攻防世界 ics-05_第8张图片

system("cat%20s3chahahaDir/flag/flag.php")

在这里插入图片描述

你可能感兴趣的:(网安)