攻防世界Web Cat和ics-05

　　高手进阶第一题Cat

　　看了看源码，试了试注入，一番摸索后才发现，这个系统原来是ping一个ip地址的功能，并且和新手区一个同样也是ping的题目不同，这里无法命令执行，大概是进行了过滤处理

　　这确实让我找不到突破点，无奈寻求网络帮助，看了一步提示，说是16进制编码，%80属于范围外的值，会报错，于是就得到下面这个页面

 

　　里面有部分js和html源码，身为菜鸟的我自然认为要进行代码审计，看看能不能绕过过滤检测什么来进行命令执行，可最后实在看吐了，代码也太多了，无奈继续看提示，原来里面暴露的文件位置才是关键，Ctrl+F搜索/api/，里面有21处，但仅有一处下级目录是/database，看来突破口在这里！

 

 

　　直接?url=/opt/api/database.sqlite3，结果网站没反应，这下可真没辙，只能再看提示，原来要用@符号加上完整地址才可以，原理触及我的知识盲区，就不多说了。添加了@后，回车，果真出现了不一样的信息，但是还是相当冗长，查找flag、cyberpeace等等都没有像样的，无奈最后看了一眼答案，搜索关键字ctf，才总算找到了flag

　　这道题目可真是把我打击地不轻，一丁点门路都没有，全程在错误的方向上浪费了不少时间，只有一步步按照答案地步骤来，不得不承认自己还是相当的菜，对于很多场景都不了解，这道题做完后好长时间没做web题了，仗着大学密码学学得好，花了些时间把crypto的新手题全部做完了（其实也看了不少提示），这好好休息了一天，这才接着来到web区。

　　高手进阶第二题ics-05

　　还是ics场景，啥都不能点，就设备维护中心能进入，进去了啥都不显示，突破口一看就在url上：

 

 

 

 

　　这个学过，page参数一般是文件包含，利用php伪协议读出源码并把它base64编码输出（要不然就直接在网页上执行看不到源码了），这里的命令是：

　　　　　　page=php://filter/read=convert.base64-encode/resource=./index.php

 

 

 

　　　　记住就好了！在线base64解码后，根据题目提示留有后门，那么有了源码就进行代码审计，根据注释很容易找到后门：

　　　　　　

 

 

　　可以知道后门逻辑，需要burp改包XFF为127.0.0.1，然后get传参，这里的漏洞考点是preg_replace（）函数的命令执行漏洞，一旦pattern是/e模式，那么就会把替换之后的结果当作php代码直接执行，就像eval（）函数一样。

 

　　接下来有了明确的目标，开始使用burp改包，先使用system（“ls”）得到文件目录，然后system("cd+可疑文件&& ls")，得到可疑文件夹的目录，一直向下找到flag.php，然后使用cat命令拿到flag。

 

 

 

 

 

 

 

 

 

　　其中有一个问题就是，空格有可能不能作为get的参数传入，是因为编码问题导致的，这就需要知道空格可以用+号代替。

　　这一道题做起来就很舒坦，知识点都会，不用上网搜答案，只需要搜搜用php伪协议把源码base64显示出来的代码就好，做完之后又对自己有了信心，淡淡的成就感，而不是Cat那题满满的挫败感——它属于我的知识盲区吧，搜了答案也不懂那种。不过呢，学海无涯，或许学的越多就越会发现自己知识量越渺小吧，以前还认为发现了许多未知的知识会很兴奋地去学习，可经过这一战，才暗暗感到知识的无穷尽，一个人怎么可能在某个领域无所不知、无所不能。学安全的我们，广泛涉猎没错，但是必须得有一门精通，能够一招鲜，并且要学会知识的取舍。大学的知识，毕竟是上个时代的知识，时下的技术是硕士在学习的，前沿技术是博士去研究的。作为一个大四学生，不能读死课本，课本里的其实片面，有很多偏冷的基础知识并没有实涉及，这就需要我不断在答题、竞赛和实际工作中去弥补。