[XCTF] ics-07 WP

最新推荐文章于 2024-05-16 11:21:11 发布
最新推荐文章于 2024-05-16 11:21:11 发布
阅读量141 收藏
点赞数 1
文章标签: PHP漏洞 session劫持 文件上传 绕过逻辑 admin权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57131590/article/details/120228624
版权

        进入页面,一通乱点发现除了项目管理之外其他页面没反应

 

然后提示我们进入view-source.php, 进入之后则是一页代码

<!DOCTYPE html>
<html>
  <head>
    <meta charset="utf-8">
    <title>cetc7</title>
  </head>
  <body>
    <?php
    session_start();

    if (!isset($_GET[page])) {
      show_source(__FILE__);
      die();
    }

    if (isset($_GET[page]) && $_GET[page] != 'index.php') {
      include('flag.php');
    }else {
      header('Location: ?page=flag.php');
    }

    ?>

    <form action="#" method="get">
      page : <input type="text" name="page" value="">
      id : <input type="text" name="id" value="">
      <input type="submit" name="submit" value="submit">
    </form>
    <br />
    <a href="index.phps">view-source</a>

    <?php
     if ($_SESSION['admin']) {
       $con = $_POST['con'];
       $file = $_POST['file'];
       $filename = "backup/".$file;

       if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){
          die("Bad file extension");
       }else{
            chdir('uploaded');
           $f = fopen($filename, 'w');
           fwrite($f, $con);
           fclose($f);
       }
     }
     ?>

    <?php
      if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') {
        include 'config.php';
        $id = mysql_real_escape_string($_GET[id]);
        $sql="select * from cetc007.user where id='$id'";
        $result = mysql_query($sql);
        $result = mysql_fetch_object($result);
      } else {
        $result = False;
        die();
      }

      if(!$result)die("<br >something wae wrong ! <br>");
      if($result){
        echo "id: ".$result->id."</br>";
        echo "name:".$result->user."</br>";
        $_SESSION['admin'] = True;
      }
     ?>

  </body>
</html>

第一段php代码提示我们要用get方式传递参数?page=flag.php.

进入之后发现是这样的一个页面。

再结合二三段代码。

<?php
     if ($_SESSION['admin']) {
       $con = $_POST['con'];
       $file = $_POST['file'];
       $filename = "backup/".$file;

       if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){
          die("Bad file extension");
       }else{
            chdir('uploaded');
           $f = fopen($filename, 'w');
           fwrite($f, $con);
           fclose($f);
       }
     }
     ?>

    <?php
      if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') {
        include 'config.php';
        $id = mysql_real_escape_string($_GET[id]);
        $sql="select * from cetc007.user where id='$id'";
        $result = mysql_query($sql);
        $result = mysql_fetch_object($result);
      } else {
        $result = False;
        die();
      }

      if(!$result)die("<br >something wae wrong ! <br>");
      if($result){
        echo "id: ".$result->id."</br>";
        echo "name:".$result->user."</br>";
        $_SESSION['admin'] = True;
      }
     ?>

第二段代码是以post传输文件名及内容,且需要特定session,该session无法伪造,而突破点就在第三段代码中。

第三段代码中需要一个绕过,绕过之后便得到了特定session。

if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9')

很简单的一个绕过,floatval是返回变量的浮点值的一个函数,而substr是返回字符串的指定部分,因为是-1,所以是最后一位,这里只需要1/9,/可以换为其他符号。

绕过之后便得到了session。

这时候便可以传文件了

 <?php
     if ($_SESSION['admin']) {
       $con = $_POST['con'];
       $file = $_POST['file'];
       $filename = "backup/".$file;

       if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){
          die("Bad file extension");
       }else{
            chdir('uploaded');
           $f = fopen($filename, 'w');
           fwrite($f, $con);
           fclose($f);
       }
     }
     ?>

代码中有一个正则过滤,以php,php3,php4,php5,php7为后缀名的文件都不允许上传,而这里只是从.后面开始匹配,所以1.php/.可以绕过

绕过之后注意文件上传保存地址,这里代码告诉我们/bakeup是/uploaded的子目录,所以正确的文件保存地址是/uploaded/backup/1.php

蚁剑链接,找到flag

 

 

 

 

XX3SAX
关注
【网络安全 | XCTF】攻防世界 ics-05 解题详析
等风来
05-31 3817
题目描述:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统。在当前目录及其子目录中查找文件名中包含 xx 的文件,如。构造Payload如下,实现将sub中的。根据提示,进入维护中心页面。查看源代码 发现注入点。
XCTF Web 记录(ics-07
ximo的博客
03-10 117
ics-07 打开页面: 直接就有view-source,打开,一共三部分: <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]) && $_GET[page] != 'index.php') { include('flag.php'); }else
攻防世界-ics-05-WP
xiaoduanDDG的博客
04-16 315
进入题目,找到这个页面 在url中没有变化,右键查看源码 进入这个页面 /index.php?page=index 看到page,可能存在文件包含漏洞 补充知识点: LFI漏洞的黑盒判断方法: 单纯的从URL判断的话,URL中path、dir、file、pag、page、archive、p、eng、语言文件等相关关键字眼的时候,可能存在文件包含漏洞 利用文件包含漏洞,有一个直接读取源代码的方法...
xctf攻防世界ics-07 wp
sash1mi
02-20 237
xctf攻防世界ics-07 wp 考察知识点:php代码审计、命令执行 访问题目地址 随便点一点,康康能发现什么 发现这里有源码 进行php代码审计 分析: 参数page存在且其值不等于index.php,才会包含flag.php 将$ con的内容写入$ file中,但文件后缀名不能为.php3/4/5/6/7/t/html $_SESSION[‘admin’] = True可以满足以上所需 此段需要满足参数id存在,id的浮点值不为’1’,id参数的最后一个数值是9 可以使用id=1-9
攻防世界ics-07 wp
freerats的博客
06-14 348
打开容器,看到view-source,点进去可以看到源码 <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]) && $_GET[page] != 'index.php') { include('flag.php'); }else { he
攻防世界web进阶ics-05 详细wp
zhwho的博客
09-10 4768
攻防世界web进阶区ics-05 wp 题目网站 根据题目提示选择设备维护中心,或者简单粗暴的全都点一遍,发现也只有设备维护中心能点开 打开后 F12 调网页源码 查看后发现 ?page=index 有page这个get参数 自然联想到可能存在利用文件包含读取网页源码的漏洞 这里给出利用php内置filter协议读取文件的代码 ?page=php://filter/read=convert....
CTF工控工业互联网(ISC)复现总结WP(超详细)_工控ctf
最新发布
2401_84302628的博客
05-16 430
工厂车间流水线某工业控制设备遭到不明人员攻击,根据对攻击行为的溯源分析发现攻击者对设备进行了程序上传操作,请根据网络数据流量协助运维人员查找证据找到flag,flag格式为flag{}。我们在SCADA 工程中写入了flag字段,请获取该工程flag,flag形式为 flag{}。工业网络中存在的异常,尝试通过分析PACP流量包,分析出流量数据中的异常点,并拿到FLAG,flag格式为 flag{}。现存在一份被黑客攻击修改了的工程文件,请应急工作人员找出黑客攻击的痕迹,flag格式为:flag{}。
xctf ics-02
weixin_51861515的博客
11-07 289
访问网址,打开文档中心,查看源代码。 发现 secure/default.php(没啥用) 和<a href="download.php?dl=ssrf">paper. </a> 会下载一个download.php文件。(浏览器的自解码机制,a标签的href属性会进行URL解码)。 打开看一下 没啥有用的信息。 可以用的信息太少了,dirsearch扫一下。 访问secret/ secret.php是一个注册页面,secret_deb...
XCTFics-07
小白渣的博客
10-28 2307
三种解题方法 (1) 步骤 1.进入题目后,查看源码进行审计,第一步需要进行绕过,获取到admin的session。 2.绕过要注意的三个点为: ​ (1)floatval($ _ GET [id])!==‘1’ //浮点不为1 ​ (2)substr($ _ GET [id],-1)==='9‘ //id最后一位为9 ​ (3)Mysql查询结果限制,id不能过大, 3.构建后exp为http:...
攻防世界xctf writeup ics-07
qq_43370221的博客
04-20 727
文章目录xctf_writeup_ics-07审计代码审计写入文件代码构造最后的payload菜刀连接的到webshell xctf_writeup_ics-07 审计代码 浏览页面 发现了view-source链接 ,接下来审计代码 if (!isset($_GET[page])) { show_source(__FILE__); die(); }...
【pikachu渗透靶场&Web安全从入门到放弃】之 越权漏洞
algae
04-17 765
46.9-2 垂直越权漏洞原理和测试流程案例(Av96582332,P46) if(isset($_GET['submit']) && $_GET['username']!=null){ //没有使用session来校验,而是使用的传进来的值,权限校验出现问题,这里应该跟登录态关系进行绑定 $username=...
php中floatval是什么意思,【后端开发】php floatval()函数的用法详解
weixin_30152861的博客
04-12 497
本篇文章主要给大家介绍php floatval()函数的用法,希望对需要的朋友有所帮助!floatval()函数是PHP中的内置函数,它返回变量的浮点值。语法:float floatval ( $var )参数:此函数接受一个必需参数,如下所述:$var:将返回其相应浮点值的变量。此变量不应是对象。返回值:返回给定变量的浮点值。空数组返回0,非空数组返回1。注意:如果将对象传递给函数,则会产生E_...
[SCUCTF]2021 校赛 Web题目复现
cosmoslin的博客
04-08 2045
web 1 入门 查看headers 2 shell <?php if(isset($_GET['eval'])){ $eval = $_GET['eval']; if(!preg_match('/[0-9]|[a-z]|\^|\+|\||\$|\[|\]|\{|\}|\&|\-/i', $c)){ eval("$eval"); }else{ die("hacker??"); } }else{ highlight_file(__FILE__); } ?
WEB 渗透题(二)
0xac001d09
12-09 1683
[ACTF2020 新生赛]Upload–上传 验证了后缀名,要求上传 jpg、png、gif 结尾的图片,写一句话木马上传,一开始只能是图片的后缀,抓包改后缀为 phtml,文件内容如下 GFI89a <script language="php">eval($_POST['hello']) </script> 上传成功,显示 Upload Success! Look here~ ./uplo4d/fc7cad21c9c68a7847837cf3c194f78d.phtml 直接
linux系统过滤文件类型,攻防世界-web-ics-07PHP弱类型、linux目录结构特性绕过文件类型过滤)...
weixin_36434967的博客
05-15 185
工控云管理系统项目管理页面解析漏洞。进入题目后,点击进入项目管理页面。点击view-source查看源码。cetc7session_start();if (!isset($_GET[page])) {show_source(__FILE__);die();}if (isset($_GET[page]) && $_GET[page] != 'index.php') {include(...
攻防世界-web-ics-07
mlws1900的博客
08-23 1103
判断session是不是admin,然后获取到一些值(应该就是我们post传上去的),如果匹配到php3457,pht,phtml这种特殊的后缀名,那么就结束。第三段代码是对get参数id进行校验,如果id的浮点数不是1,且最后一位是9那么实行查询语句,如果查询正确,会得到一个admin的session。get通过page传参,不能是index.php,否则包含flag.php,直接重定向到flag.php(就是界面没变)上传成功后,会切换到uploaded目录,创建文件,并将con的内容写入,
攻防世界----ics-07
qq_44418229的博客
07-26 452
攻防世界---ics-07 分析源码+正则
攻防世界-web-ics-07-从0到1的解题历程writeup
CTF小白的博客
04-17 3374
题目分析 首先拿到题目描述:工控云管理系统项目管理页面解析漏洞 找到题目入口 点击view-source对源码进行审计 if (isset($_GET[page]) && $_GET[page] != 'index.php') {      include('f...
题目讲解3
aetlypdlg_ys的博客
05-18 509
id等于这玩意儿是因为$_SESSION['tokennum']没有什么东西,就直接让id=md5($_SESSION['tokennum'])就行,d41d8cd98f00b204e9800998ecf8427e这一串就是$_SESSION['tokennum']的md5加密。potin1k就是绕过addslashes,构造查看ae86qfC.php的内容。1{${highlight_file( 中的1是为了满足 if (intval,只要是数字开头的字符串就会返回数字,如果是纯字符串返回0。
web-ics-05
07-28
- *1* *3* [xctf-web-ics05](https://blog.csdn.net/zhejichensha_l7l/article/details/113530046)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值